רגולציה והומלנד סקיוריטי
ספאם בתחפושת סקירות שב"כ איפשר חדירה למנהל האזרחי ביהודה ושומרון
ספאם זדוני ממוקד היטב הביא לחדירה של האקרים ל- 15 מערכות מחשוב של ארגונים ישראלים. בין הארגונים גם המנהל האזרחי ביהודה ושומרון שאחראי על הנפקת אישורי כניסה לישראל.
ההתקפת הספאם עשתה שימוש חוזר בסוס טרויאני בשם "Xtreme RAT". התקפה זאת הייתה בשימוש גם בנובמבר 2012, אז התוקפים הצליחו י לנתק את כל רשת המשטרה הישראלית מן האינטרנט. זו לא הייתה הפעם הראשונה בה הקוד הזדוני הזה חשף את פרצופו המכוער.
כיום, שנתיים לאחר מכן, נראה כי אותה קבוצה של האקטביסטים פלסטיניים לכאורה חזרה לפעילות. ב- 15 בינואר, מומחי מעבדת המחקר Seculert זיהו התקפה ממוקדת חדשה שעשתה שימוש ב- Xtreme RAT. התקפה חדשה זו התבססה על הודעות פישינג ממוקד, כדי לחדור לארגונים ישראלים ולהפעיל את הקוד הזדוני התוקפני הזה. נכון להיום, זוהו 15 מכונות שנחשפו לאיום, כולל כאלו השייכות למנהל האזרחי של יהודה ושומרון. הדבר מדאיג במיוחד מאחר והמנהל אחראי להנפקת אישורי כניסה לישראל.
עדויות מראות כי המילה "הורעלו" הוספה לסוף המשפט כפי שרואים להלן.מ- Seculert נמסר כי כי עברייני הרשת השתמשו במספרי אפיקי תקיפה כדי להשיג את היעדים שלהם. התקפת פישינג ממוקדת מהדואר האלקטרוני Shabakreport@gmail.com (תמונה 1) הכילה שני קבצים. אחד מהם הוא מסמך פתוח לציבור של השב"כ, אשר מסכם עשורים של התקפות טרור (תמונה 2). המסמך השני קשור לראש הממשלה המנוח אריאל שרון (תמונה 3). שני הדוחות הם בעברית, והשני מביניהם נשלח ימים ספורים לאחר פטירתו של אריאל שרון. בחינה מדוקדקת של הודעות הפישינג חושף כי התוקפים אינם דוברי עברית שוטפת, וכנראה העתיקו ושינו
טקסט בלתי שלם כדי ליצור את שורת הנושא של הודעות הדואר האלקטרוני.
הקבצים שצורפו להודעת הפישינג הממוקדת הכילו קוד זדוני שהסתווה למסמך PDF. ברגע שקבצי ה- PDF נפתחו, Xtreme RAT הופעל ברקע. הדבר אפשר לתוקפים להשתמש בפרוטוקול HTTP על גבי פורט 1863. שער גישה זה נמצא בדרך כלל בשימוש על ידי אפליקציות מסרים מידיים, אבל במקרה זה הוא סיפק לתוקפים גישה לרשת מרחוק. המומחים שלנו קבעו כי במקרה זה של התקפה ממוקדת שרתי הפיקוד והשליטה (C&C) ממוקמים בארה"ב.
זה אינו המקרה הראשון, ובטח לא האחרון, בו אנו רואים את Xtreme RAT בשימוש מצד עברייני רשת והאקטביסטים. במקרה של התקפות ממוקדות אלה, האופי של הארגונים שנחשפו לאיום מייצר פוטנציאל לתרחיש בלהות לאומי של אבטחת מידע.
לדברי אלון מנצור, מנכ"ל 2Bsecure, חברת אבטחת המידע והסייבר של מטריקס, רואה בדברים אירוע שגרתי: "מדובר במתווה מיושן מאד של התקפות – גניבת סיסמאות באמצעות שתילת סוס טרויאני. מייל שהגיע למשרד הביטחון ולגופים נוספים נשלח מכתובת מייל – כביכול – של השב"כ בג'ימייל – מי שעובד במשרד הביטחון יודע שמיילים מהשב"כ אינם מגיעים מדומיין של ג'ימייל אלא יש להם פורמט קבוע ודומיין שלהם כמובן. מדובר בהתקפות שחווים אותן כל הזמן וכרגע אין שום חדש תחת השמש".
1. לדבריו מדובר במתווה מיושן מאד של התקפות – גניבת סיסמאות באמצעות שתילת סוס טרויאני (פישינג).