ההתקפה עליה דיווח CERT ישראל החלה במייל מלגה שזויף

רשות הסייבר הישראלית דיווחה על ניסיון תקיפה נרחב נגד טווח רחב של מוסדות ממשלתיים וגופי ציבוריים. ההתקפה התבססה על הודעות דואר אלקטרוני שהכילו קבצים זדוניים מצורפים והגיעו ממערכת ישראלית באוניברסיטת בן גוריון. על פי דיווחי רשות הסייבר נפרצה תיבה נוספת ממנה נעשו נסיונות פריצה דומים.

מייל חשוד שהגיע אל רשות הסייבר במהלך חודש אפריל זוהה כזדוני ומזויף והוציא לדרך חקירה. החשד התבסס על כך שהגיע מתיבת דואר של חוקר באוניברסיטת בן גוריון, אבל היה חתום על ידי עובדת מטעם עובדת ב"קרן הידע ההנדסי-אקדמי". חקירה קצרה זיהתה שהתוקפים מצאו את אותו המייל, כנראה בהיסטוריה של אחד הקורבנות, לחצו על "העבר" בצורה ידנית והוסיפו משפט באנגלית המורה לקורא לפתוח את הקובץ שברכיבים, על מנת לגרום לקורבן לחשוב שהוא בדרך למלא פרטים, אך בפועל ירוץ קוד זדוני ברקע שיוריד נוזקה נוספת למחשבו הארגוני.

לאחר שיתוף הממצאים, חוקר בכיר בצוות המחקר הגלובלי של חברת קספרסקי, עידו נאור, החל לבצע אנליזה בקובץ אשר היה מוצמד ברכיבים.

הקובץ הכיל חולשה במנגנון של תוכנת Office Word על כלל  גירסאותיה. החולשה אמנם נתגלתה ונסגרה חודש קודם לכן, אך עדיין היה ניתן לנצלה בארגונים אשר לא עדכנו את תוכנות ה-Office שלהם.

החולשה היא במנגנון ה-Ole2Link, אשר זכה למספר הסידורי –CVE-2017-0199. המנגנון מקנה הצמדה של אובייקט שנקרא מרחוק ומופעל בתוך דף הקריאה של Word.

עצם ההתקפה מקנה לתוקף ליבא דף עם סיומת HTA, אשר מזוהה על ידי מערכת ההפעלה "חלונות" כקובץ הרצה (סקריפט HTML) ויכול להכיל קוד זדוני שיגרום לתוקף להשתלט על מחשבו של הקורבן ואף בהמשך להתחבר אליו מרחוק.

עד כה קבוצת התוקפים שזוהתה תקפה באמצעות שיטות אחרות, כפי שפורסם בינואר האחרון. השיטות היו בעיקרן סביב השימוש בקבצי אקסל המכילים מאקרו עם קוד זדוני אשר היה מריץ קוד על מערכת ההפעלה של הקורבן בעת פתיחתו של המסמך. קוד זה היה מוריד קבצים נוספים משרת התקיפה ולאחר מכן מזליג מידע החוצה דרך חלקי מידע שמורים בחבילת ה-DNS.

השימוש בחולשה של Office Word מעלה את החשד כי התוקפים מחפשים כעת לשפר את יכולות ההתקפה שברשותם ושהבינו מתוך הפירסומים במדיה שהשיטה שלהם נתגלתה ונחסמה.

מעבדת קספרסקי ביצעה את האנליזה ושיתפה גורמי אכיפה, האמונים על בטחון המדינה, בפרטים שמצאה, ואף פנתה לחברות האירוח של שרתי התקיפה במטרה לוודא שאם אכן ישנם קורבנות, המידע יחדל מלזלוג לאותם שרתים. מכיוון שהכתובת השרת מוטבעת בקובץ הנוזקה, פעולה זו מחלישה את התוקף לחלוטין, ואף עלולה לגרום להפסקת התקיפה באופן רוחבי.

חברות האירוח ביקשו את הממצאים של חברת קספרסקי וזו סיפקה אותם. השרתים נחסמו באופן מיידית וכרגע יצאו מכלל פעולה.

 המייל המדובר היה מיועד ל-49 נמענים, אך אותם נמענים לא היו רנדומליים. בנמענים ניתן היה ניתן למנות משרדים ממשלתיים רבים, מוסדות לימוד ואף עיריות גדולות. בכל ארגון היו מספר עובדים אשר קיבלו את הודעת הפישינג, על מנת להעלות את רמת ההצלחה. להערכת מעבדת קספרסקי, מעל 20 מוסדות נפגעו בהתקפה הזו.

על ההתקפה חתומים קבוצת האקרים המזוהים כאירניים, בשם OilRig. הפעילות מאחורי OilRig נתגלתה ע"י חברת פאלו אלטו, במאי 2016.

 קספרסקי ממליצים לארגונים אשר עברו תקיפה ליצור קשר עם חוקרים מיומנים ועתירי ניסיון ולהימנע משיתוף מידע בפלטפורמות חברתיות אשר הגישה אליהן פתוחה. זליגה של מידע על תקיפה עלולה להגיע גם לתוקפים, אשר יוכלו לכייל מחדש את כלי התקיפה ו"להרחיב את היריעה" בהתאם למצב בשטח.