חשד: תקפו מטרות בצרפת דרך ישראל
בניתוח שעשתה חברת סימנטק על מתקפת הנדסה חברתית מסוג Francophoned שכוונה נגד מטרות בצרפת, התגלה כי התוקפים השתמשו בכתובות IP ישראליות השייכות לחברת סלולאר בארץ
עמי רוחקס דומבה
| 19/05/2011
מתקפת הנדסה חברתית מסוג Francophoned כנגד מטרות בצרפת שמקורה בישראל ואוקראינה
באפריל 2013, עוזר מנהל לסגן נשיא בחברה רב לאומית המבוססת בצרפת קיבל דוא"ל עם בקשה להתייחסות לחשבונית הנמצאת בשירות שיתוף קבצים פופולרי. כמה דקות לאחר מכן, אותו עוזר מנהל קיבל שיחת טלפון מסגן נשיא אחר בחברה, שהורה לו לבדוק ולעבד את החשבונית. סגן הנשיא דיבר בסמכות ובצרפתית מושלמת. עם זאת, החשבונית הייתה מזויפת וסגן הנשיא שדיבר בטלפון היה למעשה האקר. כך עולה מתחקיר שביצעה חברת סימנטק.
קובץ החשבונית הכיל סוס טרויאני המאפשר גישה מרחוק (RAT) והוא מוגדר ליצור קשר עם שרת פיקוד ושליטה (C & C) של התוקפים הממוקם באוקראינה. שימוש ב-RAT, מאפשר לתוקף לקחת שליטה על המחשב הנגוע של העוזר המנהלי באופן מידי. הוא יכול לראות את ההקשות על המקלדת, לצפות בשולחן העבודה, ולפתוח קבצים.
טקטיקות אלה, תוך שימוש בדואר אלקטרוני ופעולת המשך על ידי שיחת טלפון בצרפתית מושלמת, הן חריגות ביותר והן סימן של הנדסה חברתית תוקפנית. בחודש מאי 2013, סימנטק פרסמה פרטים על ההתקפות הראשונות מסוג זה המתמקדות בארגונים באירופה. מדובר על התקפות שמטרתן כלכלית, והן ממשיכות עד עצם היום הזה.
ארגונים רבים והבנקים המטפלים בהם, מיישמים הגנות כדי למנוע העברות כספים בלתי מורשות. עם זאת, התוקפים משתמשים בטקטיקות הנדסה חברתיות אגרסיביות כדי להביס כל אחת מהשיטות ההגנתיות.
לדוגמה, במקרה אחד:
• התוקף חדר למערכות בתוך ארגון באמצעות סוס טרויאני המכיל קוד מסוג RAT.
• ברגע שהמערכות נפרצו, התוקף אחזר פרטים מזהים, כולל תוכניות התאוששות מאסון של הבנק, הארגון וספקי הטלקום.
• באמצעות שימוש בנתונים אלו, התוקף היה מסוגל להתחזות לנציג הארגון, והוא התקשר לספק הטלקום של הארגון. הוא הוכיח את האותנטיות שלו לספק הטלקום, וטען כי אסון פיזי התרחש והוא צריך לנתב את כל מספרי הטלפון של הארגון לטלפונים שבשליטתו.
• מיד לאחר הניתוב מחדש של מספרי הטלפון, התוקף פקסס בקשה לבנק של הארגון, וביקש העברות בנקאיות בסכומים גדולים לחשבונות מעבר לים.
• בגלל שזו הייתה עסקה יוצאת דופן, נציג הבנק התקשר למספר של הארגון כדי לאמת את העסקה. קריאה זו נותבה לתוקף שאישר את העסקה.
• הכספים הועברו בהצלחה לחשבונות מעבר לים, אשר לאחר מכן כובסו באמצעות חשבונות אחרים וכלים מוניטריים.
במקרה אחר, התוקף היה צריך להשתמש במערכת ייחודית של הארגון (in-house) כדי להעביר כספים. המערכת כללה הזדהות דו שלבית באמצעות התקני חומרה. בפעולה זו:
• התוקף התחזה לצוות ה-IT בארגון, הוא התקשר לקורבן והודיע לו כי דרושה תחזוקה למערכת העברת הכספים.
• הוא שכנע את הקורבן, כי בשל סיבות הקשורות לפרטיות הלקוח, מערכת הניטור על העברת הכספים צריכה להיות כבויה בזמן ביצוע המשימה.
• בעוד שהצג היה כבוי, התוקף השתמש במערכת העברת הכספים כדי להעביר סכומי כסף גדולים לחשבונות מעבר לים באמצעות הגישה הקיימת של הקורבן למערכת.
במקרה נוסף, התוקפים לא ניצלו תוכנות זדוניות בכלל. בפעולה זו:
• התוקף התחזה לעובד בנק ושלח דואר אלקטרוני לעובדי הבנק בפועל, בצרפתית מושלמת, עם תזכורת כי מערכות המחשב של הבנק עוברות שדרוג.
• למחרת, התקשר התוקף לנמען הדואר האלקטרוני, בטענה שהוא עובד בשביל אותו הבנק, וביקש לבצע ההעברה בנקאית כ-"מבחן".
• ההעברה הבנקאית ("המבחן") שלחה את הכסף לחשבון התוקפים.
על ידי בחינת תנועת הודעות הדואר לשרתי השליטה והבקרה של התוקפים, קבעו בסימנטק כי התוקף נמצא או מנתב את ההתקפות דרך ישראל. יחד עם זאת, כתובות ה-IP שמקורן בישראל לא היו רגילות, היות והן שייכות לטווח לקוחות סלולאריים של חברת סלולאר ישראלית. יתר על כן, על ידי ביצוע ניתוח התנועה, אפשר לזהות כי ההתקפות אכן בוצעו מרשת סלולרית, וכי התוקף השתמש בכרטיסי MiFi.
כרטיסי MiFi הם מכשירי רדיו סלולריים GSM (שווה ערך לטלפון GSM) שיכולים לספק גישה לאינטרנט באמצעות רשת הטלפון הסלולארית. הם עלולים לספק אנונימיות לתוקף, במידה וכרטיס ה-SIM GSM עבור כרטיס ה-MiFi נרכש במזומן. ספקי סלולר רבים ברחבי העולם מאפשרים קנייה של תכנית נתונים מראש (pre-paid) מבלי לאמת את זהותו של הקונה. כתוצאה מכך, רשומות התקשורת לא יובילו לתוקף.
מפתיעה עוד יותר, היא תוצאת ניתוח התנועה של התוקף שהצביעה על כך כי התוקף היה בתנועה בעת שערך את ההתקפות. טכניקות תקיפה מבצעיות אלה הופכות את איתור התוקף לקשה מאוד. השימוש בטכניקה זו לביצוע פשעי אינטרנט, ממחישה את התחכום של טכניקות ההתקפה.
מציאת כרטיס MiFi בתנועה דורשת פעילות "על הקרקע" של אנשים עם ציוד מיוחד וסיוע של ספקית הטלקום בביצוע טריאנגולציה (חישוב קואורדינטות של נקודה במרחב) של מיקום כרטיס ה-MiFi.
הכתבה התפרסמה לראשונה באתר הטכנולוגיה ישראל טק
באפריל 2013, עוזר מנהל לסגן נשיא בחברה רב לאומית המבוססת בצרפת קיבל דוא"ל עם בקשה להתייחסות לחשבונית הנמצאת בשירות שיתוף קבצים פופולרי. כמה דקות לאחר מכן, אותו עוזר מנהל קיבל שיחת טלפון מסגן נשיא אחר בחברה, שהורה לו לבדוק ולעבד את החשבונית. סגן הנשיא דיבר בסמכות ובצרפתית מושלמת. עם זאת, החשבונית הייתה מזויפת וסגן הנשיא שדיבר בטלפון היה למעשה האקר. כך עולה מתחקיר שביצעה חברת סימנטק.
קובץ החשבונית הכיל סוס טרויאני המאפשר גישה מרחוק (RAT) והוא מוגדר ליצור קשר עם שרת פיקוד ושליטה (C & C) של התוקפים הממוקם באוקראינה. שימוש ב-RAT, מאפשר לתוקף לקחת שליטה על המחשב הנגוע של העוזר המנהלי באופן מידי. הוא יכול לראות את ההקשות על המקלדת, לצפות בשולחן העבודה, ולפתוח קבצים.
טקטיקות אלה, תוך שימוש בדואר אלקטרוני ופעולת המשך על ידי שיחת טלפון בצרפתית מושלמת, הן חריגות ביותר והן סימן של הנדסה חברתית תוקפנית. בחודש מאי 2013, סימנטק פרסמה פרטים על ההתקפות הראשונות מסוג זה המתמקדות בארגונים באירופה. מדובר על התקפות שמטרתן כלכלית, והן ממשיכות עד עצם היום הזה.
ארגונים רבים והבנקים המטפלים בהם, מיישמים הגנות כדי למנוע העברות כספים בלתי מורשות. עם זאת, התוקפים משתמשים בטקטיקות הנדסה חברתיות אגרסיביות כדי להביס כל אחת מהשיטות ההגנתיות.
לדוגמה, במקרה אחד:
• התוקף חדר למערכות בתוך ארגון באמצעות סוס טרויאני המכיל קוד מסוג RAT.
• ברגע שהמערכות נפרצו, התוקף אחזר פרטים מזהים, כולל תוכניות התאוששות מאסון של הבנק, הארגון וספקי הטלקום.
• באמצעות שימוש בנתונים אלו, התוקף היה מסוגל להתחזות לנציג הארגון, והוא התקשר לספק הטלקום של הארגון. הוא הוכיח את האותנטיות שלו לספק הטלקום, וטען כי אסון פיזי התרחש והוא צריך לנתב את כל מספרי הטלפון של הארגון לטלפונים שבשליטתו.
• מיד לאחר הניתוב מחדש של מספרי הטלפון, התוקף פקסס בקשה לבנק של הארגון, וביקש העברות בנקאיות בסכומים גדולים לחשבונות מעבר לים.
• בגלל שזו הייתה עסקה יוצאת דופן, נציג הבנק התקשר למספר של הארגון כדי לאמת את העסקה. קריאה זו נותבה לתוקף שאישר את העסקה.
• הכספים הועברו בהצלחה לחשבונות מעבר לים, אשר לאחר מכן כובסו באמצעות חשבונות אחרים וכלים מוניטריים.
במקרה אחר, התוקף היה צריך להשתמש במערכת ייחודית של הארגון (in-house) כדי להעביר כספים. המערכת כללה הזדהות דו שלבית באמצעות התקני חומרה. בפעולה זו:
• התוקף התחזה לצוות ה-IT בארגון, הוא התקשר לקורבן והודיע לו כי דרושה תחזוקה למערכת העברת הכספים.
• הוא שכנע את הקורבן, כי בשל סיבות הקשורות לפרטיות הלקוח, מערכת הניטור על העברת הכספים צריכה להיות כבויה בזמן ביצוע המשימה.
• בעוד שהצג היה כבוי, התוקף השתמש במערכת העברת הכספים כדי להעביר סכומי כסף גדולים לחשבונות מעבר לים באמצעות הגישה הקיימת של הקורבן למערכת.
במקרה נוסף, התוקפים לא ניצלו תוכנות זדוניות בכלל. בפעולה זו:
• התוקף התחזה לעובד בנק ושלח דואר אלקטרוני לעובדי הבנק בפועל, בצרפתית מושלמת, עם תזכורת כי מערכות המחשב של הבנק עוברות שדרוג.
• למחרת, התקשר התוקף לנמען הדואר האלקטרוני, בטענה שהוא עובד בשביל אותו הבנק, וביקש לבצע ההעברה בנקאית כ-"מבחן".
• ההעברה הבנקאית ("המבחן") שלחה את הכסף לחשבון התוקפים.
על ידי בחינת תנועת הודעות הדואר לשרתי השליטה והבקרה של התוקפים, קבעו בסימנטק כי התוקף נמצא או מנתב את ההתקפות דרך ישראל. יחד עם זאת, כתובות ה-IP שמקורן בישראל לא היו רגילות, היות והן שייכות לטווח לקוחות סלולאריים של חברת סלולאר ישראלית. יתר על כן, על ידי ביצוע ניתוח התנועה, אפשר לזהות כי ההתקפות אכן בוצעו מרשת סלולרית, וכי התוקף השתמש בכרטיסי MiFi.
כרטיסי MiFi הם מכשירי רדיו סלולריים GSM (שווה ערך לטלפון GSM) שיכולים לספק גישה לאינטרנט באמצעות רשת הטלפון הסלולארית. הם עלולים לספק אנונימיות לתוקף, במידה וכרטיס ה-SIM GSM עבור כרטיס ה-MiFi נרכש במזומן. ספקי סלולר רבים ברחבי העולם מאפשרים קנייה של תכנית נתונים מראש (pre-paid) מבלי לאמת את זהותו של הקונה. כתוצאה מכך, רשומות התקשורת לא יובילו לתוקף.
מפתיעה עוד יותר, היא תוצאת ניתוח התנועה של התוקף שהצביעה על כך כי התוקף היה בתנועה בעת שערך את ההתקפות. טכניקות תקיפה מבצעיות אלה הופכות את איתור התוקף לקשה מאוד. השימוש בטכניקה זו לביצוע פשעי אינטרנט, ממחישה את התחכום של טכניקות ההתקפה.
מציאת כרטיס MiFi בתנועה דורשת פעילות "על הקרקע" של אנשים עם ציוד מיוחד וסיוע של ספקית הטלקום בביצוע טריאנגולציה (חישוב קואורדינטות של נקודה במרחב) של מיקום כרטיס ה-MiFi.
הכתבה התפרסמה לראשונה באתר הטכנולוגיה ישראל טק
