ב-Online
 
 
 
 
 
 
 
סייבר 
חוקרי סייבר ישראלים: "חשפנו את הקשר הרוסי מאחורי הפריצה למשרדי הממשלה" 

חוקרי סייבר ישראלים: "חשפנו את הקשר הרוסי מאחורי הפריצה למשרדי הממשלה"

 
סייבר |
 

מיוחד לנענע10 אונליין: חברת אבטחת המידע הישראלית טראפאקס (TrapX) מדווחת כי מאחורי נסיון התקיפה בחודש שעבר למשרדים ממשלתיים עומדים האקרים רוסים

 
 
 
 
 
 
 
 
 
נמצא הקשר מאחורי הפריצה למשרדי הממשלה?
 נמצא הקשר מאחורי הפריצה למשרדי הממשלה?   צילום: fottolia 
 
 

מי עומד מאחורי האיראנים? בראיון לניו יורק טיימס שפורסם אמש (בלילה בין שני לשלישי), מדווחים ראשי חברת אבטחת המידע הישראלית טראפאקס (TrapX) כי במהלך 18 ימים בחודש שעבר, צוות של מומחי אבטחת מחשבים מצאו עצמם עוסקים בקרב פנים אל פנים עם קבוצת האקרים שנסתה לפרוץ לרשת של קבלן צבאי.

 

ניתוח ראשוני של החברה העלה כי מדובר בהאקרים, המשתייכים לקבוצת ההאקרים האיראנית, OilRig, אותה קבוצה שכפי שפורסם לראשונה בחדשות 10 - תקפה בדיוק במהלך אותה תקופה משרדים ממשלתיים באמצעות פריצה למחשבי אוניברסיטת בן גוריון. אך בעודם מתמודדים עם האקרים, מומחי האבטחה של החברה נתקלו במשהו שלא ראו מעולם קודם לכן כאשר התמודדו מול התוקפים האיראנים: חיבור רוסי.

 

>> לכתבות נוספות בנושא

האם איראן תקפה את סעודיה? הוירוס הקטלני חוזר

מלחמת סייבר: צבא אוקראינה מאשים את רוסיה בתקיפה

הסיפור המלא: כיצד חדרו איראנים למחשבי מוסדות ממשלתיים?

 

"מתקפה זו כוונה כלפי מספר מדינות, ביניהן ערב הסעודית וישראל, ובכוונתה היה לפגוע בגופי ממשלה וביטחון, תשתיות ומערכות קריטיות", אמר לנענע 10 אונליין יובל מלאכי, מייסד וסמנכ"ל טכנולוגיות TrapX. שאלנו את מלאכי האם יש קשר בין המתקפה שהחברה שלו זיהתה, לבין אותו ארוע מתקפת סייבר שעליו דיווחה במקביל הרשות להגנת הסייבר, ובו זוהו האקרים מקבוצת OilRig המנסים לפרוץ למערכות ממשלתיות, ונענו בתשוב הקצרה ופשוטה ולפיו "TrapX זיהתה וריאנט זהה למה שהרשות להגנת הסייבר דיווחה" - משמע, בחברה טוענים להתאמה מלאה בין המתקפה שזוהתה אצלם לבין מה שדווח בתקשורת.

 

 
חברת הנפט הסעודית אליה ניסו ההאקרים מקבוצת OilRig לפרוץ
 חברת הנפט הסעודית אליה ניסו ההאקרים מקבוצת OilRig לפרוץ   צילום: Sadara- PR 
 

כזכור, לפני כשלושה שבועות דיווחה הרשות הלאומית להגנה בסייבר כי זיהתה מתקפה, חריגה בהיקפה לטענתה, על המשק האזרחי בישראל. מה שהחל כמייל עם קובץ זדוני שנשלח ברשימת תפוצה באוניברסיטת בן גוריון, הפך לאיום של ממש שהגיע עד לפתחם של כמה משרדים ממשלתיים, כשלפי אחת ההערכות, למעלה מ-20 מוסדות נפגעו בהתקפה הזו. חוקרי מעבדות קספרסקי שניתחו את המתקפה פרסמו אז כי מדובר בהאקרים המשתייכם לקבוצת OilRig האיראנית. בעוד חברי קבוצת התקיפה האיראנית מוכרים בשוק הסייבר לפחות מאז שנת 2015, הרי שככל הנראה זו הפעם הראשונה שנמצא קשר ישיר בינם לבין האקרים רוסים.

 

הקבוצה זכתה לשם OilRig משום שההופעות הראשונות שלהם היו במתקפות כנגד תעשיית הנפט הסעודית, הכוויתית וזו הקטארית, כשבהמשך, מטרות התקיפה שלהם נעו צפונה ומערבה לעבר ישראל, ארה"ב, אירופה וטורקיה - והחלו להתמקד בחברות אנרגיה ופיננסים, כמו גם חברות צבאיות וארגונים ממשלתיים. מלאכי מספר כי ברגע שפתרון האבטחה של החברה זיהה את התקיפה, העבירו שם מידע לצוותי אבטחת המידע של הלקוחות, ויחד חקרו הצדדים את התקיפות כשבטראפאקס סיפקו את האמצעים לנטרול התוקף. אז מה בדיוק קרה שם?

 

 
אוניברסיטת בן גוריון. הפריצה בוצעה באמצעותם
 אוניברסיטת בן גוריון. הפריצה בוצעה באמצעותם   צילום: מיכאלי, ויקיפדיה העברית 
 
 

בראיון לניו יורק טיימס, חשפו בכירים בחברה כי מבדיקת קוד התקיפה עלה כי יותר מ-70% מהקוד ששימש את ההאקרים היה זהה לקוד שב-OilRig השתמש בו במאות תקיפות קודמות. למעשה רוב שלבי התקיפה היו זהים למאות תקיפות אחרות של האיראנים שנצפו ונותחו ביסודיות, אך לאחר שאלו סברו כי הם בתוך המערכת, או אז התרחש משהו בלתי צפוי. מסתבר שבשלבי התקיפה האחרונים, המגנים של TrapX הבחינו בשינוי גדול בשיטות העבודה של ההאקרים, כמו גם בכלים ובטכניקות שעמדו לרשותם. "מדובר היה בתפנית מכל מה שהם עשו בלמעלה מ-200 התקפות מתועדות", אמר לטיימס משה בן סימון, סגן נשיא מעבדות טראפקס, זרוע המחקר של החברה.


שתי ערכות כלים במערכת

 

בן סימון סיפר לעיתון האמריקני כי ברגע שההאקרים חדרו למערכת, הם הניחו שתי ערכות כלים במערכות הקורבן. הערכה הראשונה הייתה מורכבת מכלי פריצה בסיסיים שנועדו לגנוב ססמאות משתמש למערכות ורשתות. הערכה השנייה היתה כבר מתוחכמת מכל מה שנצפה בעבר בשימוש הקבוצה הזו. מדובר בכלי מוצפן שתוכנן לחמוק בצורה כמעט מושלמת מזיהוי על ידי מערכות הגנה ואנליזה, שלדברי בן סימון, לקח לחברה שבועות לפצחו.

 

משזה פוצח לבסוף, גילו בחברה סוג של נוזקה בשם BlackEnergy - אותו כלי תקיפה רוסי שנעשה בו שימוש גם בשיתוק חלקים נרחבים מרשת החשמל באוקראינה - במתקפה כמעט חסרת תקדים שיוחסה למוסקבה, על רקע המאבק המזויין לשליטה באזור. החוקרים מספרים שגילו גם מאפיין דומה למתקפה ההיא, לאחר שזיהו שכלי הפריצה מעביר מידע ממערכות הקורבן ישירות לשרת שנעשה בו שימוש גם בתקיפת תשתית רשת החשמל האוקראינית.

 

 
יובל מלאכי, מייסד וסמנכ"ל טכנולוגיות, TrapX. "מצאנו את הווריאנט"
 יובל מלאכי, מייסד וסמנכ"ל טכנולוגיות, TrapX. "מצאנו את הווריאנט"   צילום: יח"צ 
 

כאמור, ככל הידוע זו הפעם הראשונה שנצפה שיתוף פעולה רוסי-איראני במתקפת סייבר, אך יש לציין שעדיין לא ברור טיבו. ב-TrapX טוענים כי ייתכן ומדובר בהאקרים רוסים להשכרה, בדומה ליחידות שנטען בעבר כי הממשלה הרוסית מפעילה.

 

מלאכי מספר לנענע10 אונליין כי באמצעות פתרון ההטעיה של החברה (המבוסס על מלכודות ופתיונות שגורמות לתוקף לחשוב כאילו וחדר למערכות קריטיות של הקורבן) הפלטפורמה שלהם "הצליחה לעקוב אחר המתקפה, ניתחה אותה, סיפקה תובנות ללקוח ונתנה לו משהו שהוא יקר מפז - את הקוד של וריאנט התקיפה הספציפי שפותח במיוחד עבורו, כולל הסבר מפורט על דרכי העבודה שלו וכו'".

 

 
 
 
@@@@@@@@@@@@@@@@@@@ ilan @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
 
@@@@@@@@@@@@@@@@@@@ ilan @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
 
 
תגובות
הוסף תגובה0 תגובות
הוספת תגובה
מאת
 
נושא
 
תוכן
 
 
 
 
תודה! תגובתך התקבלה.
התגובה תתפרסם בכפוף לתנאי האתר.
 
 
 
 
 

כל הזכויות שמורות 2011 © נענע 10 בע"מ
 
 
 
 
כל הזכויות שמורות © Nana10 בע"מ
Video powered by