דו״ח: פושעי סייבר מנצלים את החשש מתוכנת ״פגסוס״ לביצוע תקיפות
גם ההאקרים קוראים חדשות: על פי מחקר של סיסקו טאלוס, הקימה קבוצה זדונית אתר אינטרנט המתחזה לזה של אמנסטי אינטרנשיונל המציע ״הגנה״ מפני התוכנה – שהיא למעשה הנוזקה סרוונט
מנדי קוגוסובסקי
| 04/10/2021
BIGSTOCK/Copyright: AndreyPopov
קבוצת סייבר זדונית מנצלת את החשש מתוכנת המעקב ״פגסוס״ של NSO הישראלית על מנת לבצע מתקפות בקרב אלו המבקשים להתגונן ממנה. דו״ח חדש של טאלוס, אחד מגופי מודיעין הסייבר הפרטי הגדולים בעולם, השייך לסיסקו מערכות, חושף כי התוקפים הקימו אתר דומה מאוד לזה של אמנסטי אינטרנשיונל (אחד הגופים העומדים מאחורי התחקיר ״פרויקט פגסוס״), ומציע כביכול אנטי-וירוס שיספק הגנה מפני הכלי של NSO. ואולם, מי שנופל בפח ומקיש על כפתור ההתקנה, מתקין למעשה את הנוזקה סרוונט (Sarwent).
על פי החוקרים של טאלוס, לסרוונט יש את היכולות הרגילות של כלי גישה מרחוק, המשמש בעיקר כדלת אחורית, והיא גם יכולה להפעיל את פרוטוקול שולחן העבודה מרחוק אצל המותקף – ולמעשה להעביר כל סוג של נתונים. החוקרים ציינו כי לאור הפרסומים האחרונים בנוגע לתוכנה, הם מאמינים כי לקמפיין זדוני זה יש פוטנציאל להדביק משתמשים רבים.
מי עומד מאחורי המתקפה? לדעת החוקרים, העובדה שהקמפיין ממוקד באנשים שעלולים להיות מודאגים מתוכנת הריגול, ״מראה על מצב אפשרי של מעורבות מדינה, אך אין ברשותנו מספיק מידע כדי לקבוע באיזו מדינה מדובר. ייתכן וזהו פשוט שחקן בעל מוטיבציה כלכלית שמחפש למנף כותרות״. בהתחשב בנתונים, גם המניעים העומדים מאחורי המתקפה אינם ברורים בשלב זה.
ואולם, החוקרים ״מאמינים ברמה גבוהה של ביטחון שהשחקן במקרה זה הוא דובר רוסית המבוסס ברוסיה, המפעיל מתקפות מבוססות סרוונט מאז ינואר 2021 לפחות״ – זאת על סמך מעקב אחרי מתקפות קודמות בעלות מאפיינים דומים. ברוסיה גם נמצא מספר הנפגעים השני הגבוה ביותר, אחרי ארה״ב – ולפני הודו, אוקראינה, רומניה וקולומביה״.
העמוד הזדוני המתחזה לאתר אמנסטי אינטרנשיונל. צילום מסך, מתוך blog.talosintelligence.com
״זוהי רק הדוגמא האחרונה בשרשרת של שחקנים זדוניים שמנסים לנצל חששות של אנשים בנוגע לביטחונם בהקשר למה שמופיע בכותרות״, נכתב בסיכום הדו״ח. ״׳פגסוס׳ הייתה בחדשות לאחרונה, בדיוק כמו נגיף הקורונה – שמהווה כבר חודשים נושא פיתוי נפוץ עבור התוקפים. הם השתמשו גם בפסגות בינלאומיות, אירועי בחירות ועוד כדי לנסות לפתות קורבנות ולגנוב את המידע שלהם, או להפיץ תוכנות זדוניות״.
כזכור, בחודש יוני האחרון פורסם תחקיר משותף של כלי התקשורת המובילים בעולם יחד עם אמנסטי אינטרנשיונל וסיטיזן לאב, בשם ״פרויקט פגסוס״ לפיו התוכנה שימשה לכאורה לריגול אחרי ראשי מדינות, מתנגדי משטר, עיתונאים ופעילים נוספים, וסייעה להפרת זכויות אדם במספר מדינות, כולל אוטוריטריות. כמו כן, הודלפה רשימת ענק של כ-50 אלף מספרי טלפון, כולל של ראשי מדינות, ונטען כי יש לכאורה קורולציה בינה לבין גופים מדיניים המשתמשים ב״פגסוס״. יצוין כי NSO דחתה את כל הטענות בכל תוקף.
מוקדם יותר החודש, פרסמה אפל עדכון חירום לתיקון חולשה קריטית בכלל מכשיריה לאחר שחוקרי מכון סיטיזן לאב באוניברסיטת טורונטו חשפו פרצת אבטחה שמאפשרת את התקנת תכנת ״פגסוס״, מבלי שבעלי המכשיר אפילו יתבקשו להקליק על קישור או לבצע כל פעולה אחרת (אפס קליק) – גרסה מתקדמת יותר מהקודמות.
גם ההאקרים קוראים חדשות: על פי מחקר של סיסקו טאלוס, הקימה קבוצה זדונית אתר אינטרנט המתחזה לזה של אמנסטי אינטרנשיונל המציע ״הגנה״ מפני התוכנה – שהיא למעשה הנוזקה סרוונט
BIGSTOCK/Copyright: AndreyPopov
קבוצת סייבר זדונית מנצלת את החשש מתוכנת המעקב ״פגסוס״ של NSO הישראלית על מנת לבצע מתקפות בקרב אלו המבקשים להתגונן ממנה. דו״ח חדש של טאלוס, אחד מגופי מודיעין הסייבר הפרטי הגדולים בעולם, השייך לסיסקו מערכות, חושף כי התוקפים הקימו אתר דומה מאוד לזה של אמנסטי אינטרנשיונל (אחד הגופים העומדים מאחורי התחקיר ״פרויקט פגסוס״), ומציע כביכול אנטי-וירוס שיספק הגנה מפני הכלי של NSO. ואולם, מי שנופל בפח ומקיש על כפתור ההתקנה, מתקין למעשה את הנוזקה סרוונט (Sarwent).
על פי החוקרים של טאלוס, לסרוונט יש את היכולות הרגילות של כלי גישה מרחוק, המשמש בעיקר כדלת אחורית, והיא גם יכולה להפעיל את פרוטוקול שולחן העבודה מרחוק אצל המותקף – ולמעשה להעביר כל סוג של נתונים. החוקרים ציינו כי לאור הפרסומים האחרונים בנוגע לתוכנה, הם מאמינים כי לקמפיין זדוני זה יש פוטנציאל להדביק משתמשים רבים.
מי עומד מאחורי המתקפה? לדעת החוקרים, העובדה שהקמפיין ממוקד באנשים שעלולים להיות מודאגים מתוכנת הריגול, ״מראה על מצב אפשרי של מעורבות מדינה, אך אין ברשותנו מספיק מידע כדי לקבוע באיזו מדינה מדובר. ייתכן וזהו פשוט שחקן בעל מוטיבציה כלכלית שמחפש למנף כותרות״. בהתחשב בנתונים, גם המניעים העומדים מאחורי המתקפה אינם ברורים בשלב זה.
ואולם, החוקרים ״מאמינים ברמה גבוהה של ביטחון שהשחקן במקרה זה הוא דובר רוסית המבוסס ברוסיה, המפעיל מתקפות מבוססות סרוונט מאז ינואר 2021 לפחות״ – זאת על סמך מעקב אחרי מתקפות קודמות בעלות מאפיינים דומים. ברוסיה גם נמצא מספר הנפגעים השני הגבוה ביותר, אחרי ארה״ב – ולפני הודו, אוקראינה, רומניה וקולומביה״.
העמוד הזדוני המתחזה לאתר אמנסטי אינטרנשיונל. צילום מסך, מתוך blog.talosintelligence.com
״זוהי רק הדוגמא האחרונה בשרשרת של שחקנים זדוניים שמנסים לנצל חששות של אנשים בנוגע לביטחונם בהקשר למה שמופיע בכותרות״, נכתב בסיכום הדו״ח. ״׳פגסוס׳ הייתה בחדשות לאחרונה, בדיוק כמו נגיף הקורונה – שמהווה כבר חודשים נושא פיתוי נפוץ עבור התוקפים. הם השתמשו גם בפסגות בינלאומיות, אירועי בחירות ועוד כדי לנסות לפתות קורבנות ולגנוב את המידע שלהם, או להפיץ תוכנות זדוניות״.
כזכור, בחודש יוני האחרון פורסם תחקיר משותף של כלי התקשורת המובילים בעולם יחד עם אמנסטי אינטרנשיונל וסיטיזן לאב, בשם ״פרויקט פגסוס״ לפיו התוכנה שימשה לכאורה לריגול אחרי ראשי מדינות, מתנגדי משטר, עיתונאים ופעילים נוספים, וסייעה להפרת זכויות אדם במספר מדינות, כולל אוטוריטריות. כמו כן, הודלפה רשימת ענק של כ-50 אלף מספרי טלפון, כולל של ראשי מדינות, ונטען כי יש לכאורה קורולציה בינה לבין גופים מדיניים המשתמשים ב״פגסוס״. יצוין כי NSO דחתה את כל הטענות בכל תוקף.
מוקדם יותר החודש, פרסמה אפל עדכון חירום לתיקון חולשה קריטית בכלל מכשיריה לאחר שחוקרי מכון סיטיזן לאב באוניברסיטת טורונטו חשפו פרצת אבטחה שמאפשרת את התקנת תכנת ״פגסוס״, מבלי שבעלי המכשיר אפילו יתבקשו להקליק על קישור או לבצע כל פעולה אחרת (אפס קליק) – גרסה מתקדמת יותר מהקודמות.
