פרשנות: מה עומד מאחורי מתקפת צפון קוריאה נגד עובדי תעשיות ביטחוניות בישראל
בהמשך לפרסום של מקאפי מחודש מסוף יולי האחרון, מלמ"ב טוענים כי המתקפה של "לזרוס" הופנתה גם נגד תעשיות ביטחוניות בישראל. המטרה: ריגול תעשייתי
עמי רוחקס דומבה
| 12/08/2020
bigstock
בסוף חודש יולי האחרון פירסמה חברת מקאפי אודות מתקפת הנדסה חברתית מצד קבוצת תקיפה המזוהה עם צפון קוריאה. הקבוצה, "לזרוס" או "Hidden Cobra", מוכרת בתחום, שלחה קורות חיים בלינקאדין לעובדים בתעשיות ביטחוניות שונות בעולם. ביניהן, כאלו בארה"ב. כעת מלמ"ב מאשרים כי ניסיונות כאלו בוצעו גם נגד תעשיות בישראל.
מודל המתקפה פשוט. התוקפים יוצרים קשר עם אנשי תעשיות בלינקאדין (או בכל רשת חברתית אחרת). יוצרים עמם קשר בזהות מזויפת בקשר למודעת דרושים. ומנסים לשלוח מסמך קו"ח , לכאורה של עובד בעל כישורים מתאימים, לאיש החברה הביטחונית. אם המסמך (לרוב קובץ וורד) נפתח בתוך רשת הקורבן, מתחיל לרוץ סקריפט מאקרו להתקנה של נוזקה ברשת הקורבן. משם, בשלבים הבאים התוקפים מנסים לבצע תזוזה רוחבית ברשת במטרה להגיע לשרת עם מסמכים מעניינים.
כאמור, אין מדובר במתקפות חדשות נגד תעשיות ביטחוניות. גם וקטור הכניסה (לינקאדין) אינו חדש. מתקפות כאלו תועדו על ידי מקאפי לפחות מ2017 נגד תעשיות ביטחוניות בעולם. ראוי לציין כי במרבית החברות הביטחוניות בארץ יש מערכות הלבנה (CDR) שמפרקות ומרכיבות את הקבצים שנכנסים לרשת החברה, ובצורה כזו מנטרלים סקריפטים מוחבאים בתוך הקובץ. מערכות כאלו אף מנקות קבצים מקוננים. כך שלא ברור מה בדיוק סיכלו במלמ"ב. כאמור, תשתית הלבנה נורמלית עושה את העבודה אוטומטית.
גם אם לא מותקנת מערכת הלבנה (הסתברות אפסית בתעשייה ביטחונית), ישנה מדיניות אבטחת מידע שאינה מאפשרת הרצת פקודות מאקרו בקבצי אופיס. בדרך יש גם סנדבוקים (לפחות אחד) בכל עמדת קצה. יתרה מכך, סביר להניח כי מי שמקבל את הקבצים אלו אנשי כוח אדם או מנהלים שפירסמו את מודעת הדרושים. אלו נחשבים מראש למטרות ערך, כך שסיסו הארגון הביטחוני מחיל עליהם מדיניות קשיחה גם ביחס לעובדים אחרים בארגון.
לסיכום, מדובר בגל תקיפות נגד תעשיות ביטחוניות בעולם שלא פסח על ישראל. בארה"ב מקאפי טוענים שלא נמצאו מסמכים מהמתקפה ולא ידוע על הצלחה כלשהי. בהיבט טכני מדובר בוקטור תקיפה ידוע (שימוש בקבצים עם מאקרו או קבצים מקוננים), מכוסה היטב על ידי מערכות הלבנה וסנדבוקסים. לזאת יש להוסיף את השאלה מה הייתה איכות השפה העברית או האנגלית במסמכים. במתקפות קודמות של צפון קוריאה השפה לא תמיד הייתה ברמה גבוהה והעלתה חשש כי מדובר בניסיון פישינג. מלמ"ב לא פרסמו דוגמת מסמך זדוני.
בהמשך לפרסום של מקאפי מחודש מסוף יולי האחרון, מלמ"ב טוענים כי המתקפה של "לזרוס" הופנתה גם נגד תעשיות ביטחוניות בישראל. המטרה: ריגול תעשייתי
bigstock
בסוף חודש יולי האחרון פירסמה חברת מקאפי אודות מתקפת הנדסה חברתית מצד קבוצת תקיפה המזוהה עם צפון קוריאה. הקבוצה, "לזרוס" או "Hidden Cobra", מוכרת בתחום, שלחה קורות חיים בלינקאדין לעובדים בתעשיות ביטחוניות שונות בעולם. ביניהן, כאלו בארה"ב. כעת מלמ"ב מאשרים כי ניסיונות כאלו בוצעו גם נגד תעשיות בישראל.
מודל המתקפה פשוט. התוקפים יוצרים קשר עם אנשי תעשיות בלינקאדין (או בכל רשת חברתית אחרת). יוצרים עמם קשר בזהות מזויפת בקשר למודעת דרושים. ומנסים לשלוח מסמך קו"ח , לכאורה של עובד בעל כישורים מתאימים, לאיש החברה הביטחונית. אם המסמך (לרוב קובץ וורד) נפתח בתוך רשת הקורבן, מתחיל לרוץ סקריפט מאקרו להתקנה של נוזקה ברשת הקורבן. משם, בשלבים הבאים התוקפים מנסים לבצע תזוזה רוחבית ברשת במטרה להגיע לשרת עם מסמכים מעניינים.
כאמור, אין מדובר במתקפות חדשות נגד תעשיות ביטחוניות. גם וקטור הכניסה (לינקאדין) אינו חדש. מתקפות כאלו תועדו על ידי מקאפי לפחות מ2017 נגד תעשיות ביטחוניות בעולם. ראוי לציין כי במרבית החברות הביטחוניות בארץ יש מערכות הלבנה (CDR) שמפרקות ומרכיבות את הקבצים שנכנסים לרשת החברה, ובצורה כזו מנטרלים סקריפטים מוחבאים בתוך הקובץ. מערכות כאלו אף מנקות קבצים מקוננים. כך שלא ברור מה בדיוק סיכלו במלמ"ב. כאמור, תשתית הלבנה נורמלית עושה את העבודה אוטומטית.
גם אם לא מותקנת מערכת הלבנה (הסתברות אפסית בתעשייה ביטחונית), ישנה מדיניות אבטחת מידע שאינה מאפשרת הרצת פקודות מאקרו בקבצי אופיס. בדרך יש גם סנדבוקים (לפחות אחד) בכל עמדת קצה. יתרה מכך, סביר להניח כי מי שמקבל את הקבצים אלו אנשי כוח אדם או מנהלים שפירסמו את מודעת הדרושים. אלו נחשבים מראש למטרות ערך, כך שסיסו הארגון הביטחוני מחיל עליהם מדיניות קשיחה גם ביחס לעובדים אחרים בארגון.
לסיכום, מדובר בגל תקיפות נגד תעשיות ביטחוניות בעולם שלא פסח על ישראל. בארה"ב מקאפי טוענים שלא נמצאו מסמכים מהמתקפה ולא ידוע על הצלחה כלשהי. בהיבט טכני מדובר בוקטור תקיפה ידוע (שימוש בקבצים עם מאקרו או קבצים מקוננים), מכוסה היטב על ידי מערכות הלבנה וסנדבוקסים. לזאת יש להוסיף את השאלה מה הייתה איכות השפה העברית או האנגלית במסמכים. במתקפות קודמות של צפון קוריאה השפה לא תמיד הייתה ברמה גבוהה והעלתה חשש כי מדובר בניסיון פישינג. מלמ"ב לא פרסמו דוגמת מסמך זדוני.
