קבוצת האקרים איראנית תוקפת את ישראל בסייבר. שוב
עמי רוחקס דומבה
| 26/04/2017
http://en.parliran.ir/eng/en/Content/artdeafult/Israel%20spreading%20terrorism%20to%20weaken%20Muslims%20Larijani
בשבוע שעבר זוהתה תקיפת סייבר על עסקים ומוסדות ממשלתיים בישראל. הערכות הן כי מדובר בקבוצת האקרים איראנית בשם OilRig שפועלת נגד ישראל מאז סוף 2015. על פי חוקרי סייבר ישראלים, מדובר בגל תקיפות נוסף של אותה קבוצה. רשות הסייבר חשפה כי בגל הנוכחי הותקפו כ-120 ארגונים.
"בחמישי האחרון התחיל להצטבר מידע ממקורות גלויים אודות התקיפה. ברגע שכלי התקיפה הגיע אלינו, הוא נכנס לחקירה במעבדה. הבנו שהגל הזה מייצר הודעות זדוניות למספר גופים", אמר גורם בכיר ברשות הסייבר בראיון מיוחד לאתר ישראל דיפנס. "הפצת המיילים הגיעה מגורם אקדמאי וחברה תעשייתית נוספת. סה"כ נשלחו מיילים ל-120 חברות, מתוכן רק בשלוש פתחו את המיילים. כל ה-117 האחרות לא פתחו.
"למרות שמיקרוסופט הוציאה עדכון לגבי החולשה כבר ב-11.4.2017, וההתקפה הייתה שמונה ימים לאחר מכן, כל 120 החברות לא הספיקו להתקין את העדכון. כאשר הבנו שיש בעיה, התקשרנו לכל חברה וביקשנו ממנה לשדרג את מערכת 'חלונות' עם העדכון הרלוונטי.
"התקיפה הזו ממוקדת מאד. רצו את כתובות המייל המסוימות כי רצו להגיע לקהל יעד שהיה ברשמית התפוצה שלהן. כלומר, לאנשים שהיו בקשר עם שולח האימייל. תיאורטית, היו יכולים לשלוח מכל כתובת באותו מוסד אקדמאי או חברה.
"לפוגען יש כמה יכולות. כולל דלף מידע, שיבוש מידע ומחיקת מידע. שאתה אורז את כל הסממנים יחד - היכולות של הכלי, המיקוד בקהל מסוים, השיטה, אתה מקבל תקיפה שלא ראינו עד היום על המשק האזרחי בישראל. המשמעות היא שמרחב הסייבר הופך להיות אגרסיבי מאד. לאור הממצאים, יש גם ההערכה שהתוקפים עשו איסוף מל"מ מקדים.
"היות ומדובר בתקיפה מתוחכמת מאד וממוקדות, חשוב שבעלי העסקים ידעו שהרשות פועלת להגנת המשק האזרחי. יש לנו אתר עם התרעות, ובכל אירוע שנחשוב שיש סיכון מיידי, כמו בימים האחרונים, נהיה אקטיביים. נוציא הודעות פוש לעסקים ונתקשר למי שצריך."
ההתחלה: פריצה לחשבונות מייל
הגל הנוכחי החל בפריצה לשני חשבונות מייל של אוניברסיטת בן גוריון. מחשבונות אלו הופצו הודעות עם קובץ זדוני למטרות נוספות בישראל. במהלך ההתקפה נפגעו מספר מחשבים באוניברסיטה, אך רק שני חשבונות מייל נוצלו לטובת ההתקפה.
"מיד לאחר זיהוי התקיפה, פעלנו לניקוי חשבונות הדואר והמחשבים שנפגעו כדי להפסיק את הפצת המיילים הזדוניים", אומרים בבן גוריון. "עדכנו את מערכות ההגנה ואנו עובדים בקשר צמוד עם הרשות כדי לוודא שההתקפה הזו לא תחזור על עצמה אצלנו. אנחנו לא יודעים איך הצליחו לפרוץ את חשבונות המייל המסויימים. הנושא עדיין בבדיקה".
חולשה במנגנון תוכנת Office Word
"במהלך אמצע אפריל השנה, משרד ממשלתי אשר ביצע תחקיר אירוע שלאחר התקפה בארגון, מצא מייל שהגיע לכאורה ממרצה בכיר באוניברסיטת בן גוריון. המייל, שהעלה את חשדם של החוקרים, זוהה כמזויף. לאחר חקירה של המייל, נתגלה כי הוא מכיל וירוס בקובץ המצורף", אמר עידו נאור, חוקר בכיר בצוות המחקר הבינלאומי של קספרסקי.
"מייל אחר הגיע יום קודם (19/4), לכאורה גם הוא מעובדת באוניברסיטת בן גוריון. גם במקרה זה, חקירה קצרה זיהתה שהתוקפים מצאו את אותו המייל, כנראה בהיסטוריה של אחד הקורבנות הקודמים, לחצו על 'העבר' בצורה ידנית והוסיפו משפט באנגלית המורה לקורא לפתוח את הקובץ המצורף.
"המטרה היא לגרום לקורבן לחשוב שהוא בדרך למלא פרטים, כאשר בפועל ירוץ קוד זדוני ברקע שיוריד נוזקה נוספת למחשבו הארגוני. הקובץ הכיל חולשה במנגנון תוכנת Office Word על כלל גרסאותיה. החולשה אמנם נתגלתה ונסגרה קודם לכן, אך עדיין היה ניתן לנצלה בארגונים אשר לא עדכנו את תוכנות ה-Office.
"החולשה היא במנגנון ה-Ole2Link, אשר זכה למספר הסידורי – CVE-2017-0199. (התגלה על ידי fireeye בתאריך 8.4.2017. כאן הפרסום הראשון). המנגנון מקנה הצמדה של אובייקט שנקרא מרחוק ומופעל בתוך דף הקריאה של Word. ההתקפה מקנה לתוקף יכולת לייבא דף עם סיומת HTA, אשר מזוהה על ידי מערכת ההפעלה 'חלונות' כקובץ הרצה (סקריפט HTML) שיכול להכיל קוד זדוני שיגרום לתוקף להשתלט על מחשבו של הקורבן. בהמשך להתחבר סקריפט זה יקנה לתוקף אפשרות גם להתחבר אליו מרחוק.
"עד כה, קבוצת התוקפים שזוהתה תקפה באמצעות שיטות אחרות. בינואר האחרון נכתב ב'כלכליסט' כי השיטות כללו שימוש בקבצי אקסל המכילים מאקרו עם קוד זדוני אשר היה מריץ קוד על מערכת ההפעלה של הקורבן בעת פתיחתו של המסמך. קוד זה היה מוריד קבצים נוספים משרת התקיפה ולאחר מכן ומזליג מידע החוצה דרך חלקי מידע שמורים בחבילת ה-DNS.
"השימוש בחולשה של Office Word מעלה את החשד כי התוקפים מחפשים כעת לשפר את יכולות ההתקפה שברשותם, היות והבינו מתוך הפרסומים במדיה שהשיטה שלהם נתגלתה ונחסמה".
בין הקורבנות: משרדי ממשלה
חברת קספרסקי ביצעה את האנליזה ושיתפה גורמי אכיפה, האמונים על בטחון המדינה, בפרטים שמצאה. כמו כן, פנתה קספרסקי לחברות האירוח של שרתי התקיפה במטרה לוודא שאם אכן ישנם קורבנות, המידע יחדל מלזלוג לאותם שרתים. מכיוון שכתובת השרת מוטבעת בקובץ הנוזקה, פעולה זו מחלישה את התוקף לחלוטין, ואף עלולה לגרום להפסקת התקיפה באופן רוחבי. חברות האירוח ביקשו את הממצאים של חברת קספרסקי וזו סיפקה אותם. השרתים שהתגלו נחסמו באופן מיידי ויצאו מכלל פעולה.
על פי נאור, המייל המדובר היה מיועד ל-49 נמענים, אך אותם נמענים לא היו רנדומליים. בנמענים ניתן היה ניתן למנות משרדים ממשלתיים רבים, מוסדות לימוד ואף עיריות גדולות. בכל ארגון היו מספר עובדים אשר קיבלו את הודעת הפישינג, על מנת להעלות את רמת ההצלחה.
על החתום - טהרן
על פי הערכות בעולם הסייבר הישראלי, על ההתקפה חתומה קבוצת האקרים המזוהים כאיראניים, בשם OilRig. האופרציה מאחורי OilRig נתגלתה על ידי חברת פאלו אלטו, במאי 2016. חשוב לציין כי בעולם הסייבר ייחוס התוקף הוא משימה קשה עד בלתי אפשרית להוכחה, אך קיימים סמננים מזהים לכל קבוצת האקרים בעולם שעוזרים להעריך את מקור ההתקפה.
"מדובר בהמשכו של קמפיין תקיפה שהחל בסוף 2015 על ידי קבוצת OilRig", מסבירים בחברת ClearSky העוסקת במודיעין סייבר וחוקרת את התקיפות של הקבוצה. "זה אותו קמפיין. ניתן לדעת זאת על פי חפיפה בתשתיות התקיפה (דומיינים וכתובות IP), והנוזקות בהן נעשה שימוש. על אף שהן עוברות שינוי עם הזמן, יש מאפיינים רבים שנשארים זהים.
"אין משהו 'שונה' בגל הנוכחי. עם זאת, מדובר באירוע משמעותי. הוא עדות נוספת לתקיפות איראניות שמטרתן, כפי הנראה, ריגול מדינתי. במסגרתן, התוקפים פורצים לחברות IT ישראליות (וגם לא ישראליות), ומשתמשים במידע שלהן לצורך תקיפת ארגונים נוספים. בתוך כך נגנבות תעודות דיגיטליות של חברות אלו. תעודות אלו משמשות לחתימת הנוזקות באופן שמקשה על זיהוי הקבצים הזדוניים במערכות ההגנה, היות ואלו נראים כאילו הגיעו מחברות IT לגיטימיות.
"כמו כן, נעשה שימוש בקבצים וכתובות מייל של אנשים מהחברות הפרוצות. זאת, בכדי לשטות בקורבנות ולגרום להם לפתוח את הקבצים הנשלחים במייל, או להוריד אותם מאתרים מתחזים".
http://en.parliran.ir/eng/en/Content/artdeafult/Israel%20spreading%20terrorism%20to%20weaken%20Muslims%20Larijani
בשבוע שעבר זוהתה תקיפת סייבר על עסקים ומוסדות ממשלתיים בישראל. הערכות הן כי מדובר בקבוצת האקרים איראנית בשם OilRig שפועלת נגד ישראל מאז סוף 2015. על פי חוקרי סייבר ישראלים, מדובר בגל תקיפות נוסף של אותה קבוצה. רשות הסייבר חשפה כי בגל הנוכחי הותקפו כ-120 ארגונים.
"בחמישי האחרון התחיל להצטבר מידע ממקורות גלויים אודות התקיפה. ברגע שכלי התקיפה הגיע אלינו, הוא נכנס לחקירה במעבדה. הבנו שהגל הזה מייצר הודעות זדוניות למספר גופים", אמר גורם בכיר ברשות הסייבר בראיון מיוחד לאתר ישראל דיפנס. "הפצת המיילים הגיעה מגורם אקדמאי וחברה תעשייתית נוספת. סה"כ נשלחו מיילים ל-120 חברות, מתוכן רק בשלוש פתחו את המיילים. כל ה-117 האחרות לא פתחו.
"למרות שמיקרוסופט הוציאה עדכון לגבי החולשה כבר ב-11.4.2017, וההתקפה הייתה שמונה ימים לאחר מכן, כל 120 החברות לא הספיקו להתקין את העדכון. כאשר הבנו שיש בעיה, התקשרנו לכל חברה וביקשנו ממנה לשדרג את מערכת 'חלונות' עם העדכון הרלוונטי.
"התקיפה הזו ממוקדת מאד. רצו את כתובות המייל המסוימות כי רצו להגיע לקהל יעד שהיה ברשמית התפוצה שלהן. כלומר, לאנשים שהיו בקשר עם שולח האימייל. תיאורטית, היו יכולים לשלוח מכל כתובת באותו מוסד אקדמאי או חברה.
"לפוגען יש כמה יכולות. כולל דלף מידע, שיבוש מידע ומחיקת מידע. שאתה אורז את כל הסממנים יחד - היכולות של הכלי, המיקוד בקהל מסוים, השיטה, אתה מקבל תקיפה שלא ראינו עד היום על המשק האזרחי בישראל. המשמעות היא שמרחב הסייבר הופך להיות אגרסיבי מאד. לאור הממצאים, יש גם ההערכה שהתוקפים עשו איסוף מל"מ מקדים.
"היות ומדובר בתקיפה מתוחכמת מאד וממוקדות, חשוב שבעלי העסקים ידעו שהרשות פועלת להגנת המשק האזרחי. יש לנו אתר עם התרעות, ובכל אירוע שנחשוב שיש סיכון מיידי, כמו בימים האחרונים, נהיה אקטיביים. נוציא הודעות פוש לעסקים ונתקשר למי שצריך."
ההתחלה: פריצה לחשבונות מייל
הגל הנוכחי החל בפריצה לשני חשבונות מייל של אוניברסיטת בן גוריון. מחשבונות אלו הופצו הודעות עם קובץ זדוני למטרות נוספות בישראל. במהלך ההתקפה נפגעו מספר מחשבים באוניברסיטה, אך רק שני חשבונות מייל נוצלו לטובת ההתקפה.
"מיד לאחר זיהוי התקיפה, פעלנו לניקוי חשבונות הדואר והמחשבים שנפגעו כדי להפסיק את הפצת המיילים הזדוניים", אומרים בבן גוריון. "עדכנו את מערכות ההגנה ואנו עובדים בקשר צמוד עם הרשות כדי לוודא שההתקפה הזו לא תחזור על עצמה אצלנו. אנחנו לא יודעים איך הצליחו לפרוץ את חשבונות המייל המסויימים. הנושא עדיין בבדיקה".
חולשה במנגנון תוכנת Office Word
"במהלך אמצע אפריל השנה, משרד ממשלתי אשר ביצע תחקיר אירוע שלאחר התקפה בארגון, מצא מייל שהגיע לכאורה ממרצה בכיר באוניברסיטת בן גוריון. המייל, שהעלה את חשדם של החוקרים, זוהה כמזויף. לאחר חקירה של המייל, נתגלה כי הוא מכיל וירוס בקובץ המצורף", אמר עידו נאור, חוקר בכיר בצוות המחקר הבינלאומי של קספרסקי.
"מייל אחר הגיע יום קודם (19/4), לכאורה גם הוא מעובדת באוניברסיטת בן גוריון. גם במקרה זה, חקירה קצרה זיהתה שהתוקפים מצאו את אותו המייל, כנראה בהיסטוריה של אחד הקורבנות הקודמים, לחצו על 'העבר' בצורה ידנית והוסיפו משפט באנגלית המורה לקורא לפתוח את הקובץ המצורף.
"המטרה היא לגרום לקורבן לחשוב שהוא בדרך למלא פרטים, כאשר בפועל ירוץ קוד זדוני ברקע שיוריד נוזקה נוספת למחשבו הארגוני. הקובץ הכיל חולשה במנגנון תוכנת Office Word על כלל גרסאותיה. החולשה אמנם נתגלתה ונסגרה קודם לכן, אך עדיין היה ניתן לנצלה בארגונים אשר לא עדכנו את תוכנות ה-Office.
"החולשה היא במנגנון ה-Ole2Link, אשר זכה למספר הסידורי – CVE-2017-0199. (התגלה על ידי fireeye בתאריך 8.4.2017. כאן הפרסום הראשון). המנגנון מקנה הצמדה של אובייקט שנקרא מרחוק ומופעל בתוך דף הקריאה של Word. ההתקפה מקנה לתוקף יכולת לייבא דף עם סיומת HTA, אשר מזוהה על ידי מערכת ההפעלה 'חלונות' כקובץ הרצה (סקריפט HTML) שיכול להכיל קוד זדוני שיגרום לתוקף להשתלט על מחשבו של הקורבן. בהמשך להתחבר סקריפט זה יקנה לתוקף אפשרות גם להתחבר אליו מרחוק.
"עד כה, קבוצת התוקפים שזוהתה תקפה באמצעות שיטות אחרות. בינואר האחרון נכתב ב'כלכליסט' כי השיטות כללו שימוש בקבצי אקסל המכילים מאקרו עם קוד זדוני אשר היה מריץ קוד על מערכת ההפעלה של הקורבן בעת פתיחתו של המסמך. קוד זה היה מוריד קבצים נוספים משרת התקיפה ולאחר מכן ומזליג מידע החוצה דרך חלקי מידע שמורים בחבילת ה-DNS.
"השימוש בחולשה של Office Word מעלה את החשד כי התוקפים מחפשים כעת לשפר את יכולות ההתקפה שברשותם, היות והבינו מתוך הפרסומים במדיה שהשיטה שלהם נתגלתה ונחסמה".
בין הקורבנות: משרדי ממשלה
חברת קספרסקי ביצעה את האנליזה ושיתפה גורמי אכיפה, האמונים על בטחון המדינה, בפרטים שמצאה. כמו כן, פנתה קספרסקי לחברות האירוח של שרתי התקיפה במטרה לוודא שאם אכן ישנם קורבנות, המידע יחדל מלזלוג לאותם שרתים. מכיוון שכתובת השרת מוטבעת בקובץ הנוזקה, פעולה זו מחלישה את התוקף לחלוטין, ואף עלולה לגרום להפסקת התקיפה באופן רוחבי. חברות האירוח ביקשו את הממצאים של חברת קספרסקי וזו סיפקה אותם. השרתים שהתגלו נחסמו באופן מיידי ויצאו מכלל פעולה.
על פי נאור, המייל המדובר היה מיועד ל-49 נמענים, אך אותם נמענים לא היו רנדומליים. בנמענים ניתן היה ניתן למנות משרדים ממשלתיים רבים, מוסדות לימוד ואף עיריות גדולות. בכל ארגון היו מספר עובדים אשר קיבלו את הודעת הפישינג, על מנת להעלות את רמת ההצלחה.
על החתום - טהרן
על פי הערכות בעולם הסייבר הישראלי, על ההתקפה חתומה קבוצת האקרים המזוהים כאיראניים, בשם OilRig. האופרציה מאחורי OilRig נתגלתה על ידי חברת פאלו אלטו, במאי 2016. חשוב לציין כי בעולם הסייבר ייחוס התוקף הוא משימה קשה עד בלתי אפשרית להוכחה, אך קיימים סמננים מזהים לכל קבוצת האקרים בעולם שעוזרים להעריך את מקור ההתקפה.
"מדובר בהמשכו של קמפיין תקיפה שהחל בסוף 2015 על ידי קבוצת OilRig", מסבירים בחברת ClearSky העוסקת במודיעין סייבר וחוקרת את התקיפות של הקבוצה. "זה אותו קמפיין. ניתן לדעת זאת על פי חפיפה בתשתיות התקיפה (דומיינים וכתובות IP), והנוזקות בהן נעשה שימוש. על אף שהן עוברות שינוי עם הזמן, יש מאפיינים רבים שנשארים זהים.
"אין משהו 'שונה' בגל הנוכחי. עם זאת, מדובר באירוע משמעותי. הוא עדות נוספת לתקיפות איראניות שמטרתן, כפי הנראה, ריגול מדינתי. במסגרתן, התוקפים פורצים לחברות IT ישראליות (וגם לא ישראליות), ומשתמשים במידע שלהן לצורך תקיפת ארגונים נוספים. בתוך כך נגנבות תעודות דיגיטליות של חברות אלו. תעודות אלו משמשות לחתימת הנוזקות באופן שמקשה על זיהוי הקבצים הזדוניים במערכות ההגנה, היות ואלו נראים כאילו הגיעו מחברות IT לגיטימיות.
"כמו כן, נעשה שימוש בקבצים וכתובות מייל של אנשים מהחברות הפרוצות. זאת, בכדי לשטות בקורבנות ולגרום להם לפתוח את הקבצים הנשלחים במייל, או להוריד אותם מאתרים מתחזים".
