סוס טרויאני במשטרה?

במשטרת ישראל החליטו לנתק את רשת המחשבים מהאינטרנט בשל חשד להתקפת סייבר

סוס טרויאני במשטרה?

(shutterstock.com)

במשטרת ישראל החליטו הבוקר לנתק את רשת המחשבים של הארגון מרשת האינטרנט בשל חשש לסוס טרויאני שעלול לשלוח מידע למפעיליו. בנוסף, החליטו מנהלי הרשת במשטרה לאסור חיבור מדיה נתיקה לרשת על מנת לצמצם את האפשרות להכנסת תוכנות זדוניות לתוך הארגון מבחוץ.

"הסיבה היחידה לניתוק מחשבים מרשת האינטרנט היא כפי הנראה החשש שמידע ידלוף החוצה. זהו לא צעד פשוט לביצוע והוא מיושם רק במקרים אקוטיים שבהם יש חשש אמיתי לדליפת מידע ומימוש פעילותו של אותו סוס טרויאני שהושתל בדרך זו או אחרת ברשת", אומר רוני בכר, מנהל תחום סייבר ותקיפה בחברת אבנת אבטחת מידע.

"בחלק מהפרסומים מצוין כי הוחלט במשטרה לאסור שימוש בכוננים חיצוניים ותקליטורים, דבר המעיד על חששם של אנשי הטכנולוגיה במשטרה מפני הדבקות בסוס הטרויאני ממקור חיצוני. ככלל, כדי שסוס טרויאני ישתלט על מחשב מתוך תקליטור או כונן חיצוני הוא חייב להשתמש או במתקפת zero day חדשה, שאינה ידועה במערכת ההפעלה, או בקובץ LMK (פגיעות שהתגלתה בזמן ההתקפה של וירוס סטקסטנט) המאפשר את הפעלת הקוד באופן אוטומטי ושיפעל במחשבים ללא טלאי אבטחה.

"אין ספק שהתקפה על משטרת ישראל היא לא עוד התקפה שגרתית שמתרחשת על מאות עסקים ישראליים באופן יומיומי. מדובר מלבד בפגיעה תדמיתית חמורה, גם בפגיעה ממשית באחד מגופי התשתית הקריטיים במדינה".

במשטרה סירבו להגיב על הדברים.

עדכון: נכון לשעה 20:00

הוירוס נשלח מכתובת מייל [email protected] הכולל קובץ RAR ובתוכו קובץ וורד שמזוהה כ- EXE עם הזמנה לצפות בתמונות מהירי על עזה.

ההערכה היא כי הוירוס הסתובב במחשבי משטרת ישראל כשבוע, ורק אתמול בלילה אותר ולכן התקבלה ההחלטה המהירה לנתק את האינטרנט. במקביל ידוע כעת כי הוירוס נשלח גם למספר משרדים ממשלתיים אולם לא אותר או דווח שם על זיהויו. ההערכה נוספת – למרות שלא מדובר בהליך מורכב או מתוחכם, הוא דומה מאוד לאירועים שנותחו באבנת ולכן ניתן לאמר כמעט בודאות (בשלב זה) כי מאחורי הפעולה עומדת מדינה, ככל הנראה איראן.