האקרים מתוחכמים ניסו לתקוף את ישראל

האקרים, ככל הנראה בחסות מדינה זרה, ניסו לתקוף רשתות של גופים ישראלים הקשורים לתחומי הבטחון, החלל והאקדמיה החל מחודש אפריל האחרון, כך חושפת עמותת IL-CERT, ארגון אזרחי שמרכז התראות לתקיפות על ומתוך ישראל, ועוזר בתאום התגובה אליהן. כפי הנראה התוקפים לא הצליחו לממש את התקיפה.

מסמך עם וירוס

הפריצה פעלה כך: אימייל שנשלח לגורמים בארגונים הללו בו הוזזה אות אחת בשם של מנכ"ל הארגון, על מנת שייראה כאילו המייל הגיע ממנו. בגוף המכתב אין קובץ אבל נכתב שיש. 

הקובץ נראה כאילו שייך לארגון אבל ביקש להפעיל פקודות מאקרו. כלומר על הנתקף היה להדביק את המחשב שלו באופן אקטיבי, אם אכן טעה או האמין שמקור הקובץ במנכ"ל.

בניסוי מעבדה שערכו IL-CERT פתחו את הקובץ וגילו כי הפעלתו גורמת להורדת סוס טרויאני מהאינטרנט שלא מזוהה על ידי תוכנות אנטי וירוס שקיימות בשוק. הקובץ הזה הוריד סוס טרויאני נוסף שהיה אמור לאפשר גישה למחשבים

כלי פריצה בעשרות אלפי דולרים

ב-IL-CERT אומרים כי בעוד התוקפים עשו שימוש בכמה כלי תקיפה מפיתוח עצמאי, הכלי הראשי תפס את תשומת ליבם - הוא המתוחכם ביותר שראו בתקיפות ברחבי בעולם עד היום.

"מעבר לכך שהסוס הטרוייאני הוא ברמה של כלי מדינתי-מעצמתי, והמתקדמים ביותר שנראו עד היום, גילינו במהלך החקירה משהו מעניין הרבה יותר, הוא פותח מסחרית", מסביר גדי עברון יו"ר הוועד המנהל של IL-CERT.  "פוטנציאלית, כל ארגון יכול להשיג יכולת מעצמתית עם כלי כזה, מה שמשנה נגזרת בצורת הפעילות של תוקפים מתקדמים כפי שפעלו עד עתה".

(צילום: ShutterStock)

עברון מוסיף: "המוצר הזה נמכר בדרך כלל בעשרות רבות של אלפי דולרים, ומיועד לאפשר לארגונים לבצע בדיקות אבטחה על המערכות שלהם. לא ברור אם ההאקרים קנו את המוצר דרך צד שלישי או גנבו אותו. שימוש במוצר כזה מאפשר לתוקפים להסוות טוב יותר את זהותם, במקרה שמנתחים את התקיפה ומנסים למצוא מאפיינים מסויימים. סיבה נוספת אפשרית - לארגון שתקף את את היכולת הטכנית לפתח בעצמו כלי עם יכולות דומות.

לפי הדו"ח של IL-CERT, בשיתוף עם חברות CrowdStrike האמריקאית ו-Cymmetria הישראלית,  נעשו קמפיינים נוספים של הארגון התוקף ננקטו כנגד ארגונים בטחוניים גם במדינות אחרות באירופה. הדוח המלא ייחשף במלואו באירוע שיתקיים ביום חמישי, ובו יוצג דו"ח התקיפות על ישראל בשנת 2014.