שוב חמאס מצליח להונות חיילים בצה״ל עם נשים יפות
מרביתם המכריע של קורבנות מתקפת הסייבר, גברים המשרתים בשירותי הביטחון כגון חיילים, אנשי משטרה ופעילים בשירותי ההצלה. סייבריזן חושפת כי התוקף התחיל בפייסבוק, עבר לווטסאפ וגרם לקורבן להוריד נוזקה לאנדרואיד. משם, התוקף קיבל גישה לטלפון הקורבן
עמי רוחקס דומבה
| 07/04/2022
פרופיל מזוייף שהפיל חיילים ושוטרים בישראל. תמונה: באדיבות סייבריזון
במקביל לגל הטרור שפוקד את הרחובות בשבועות האחרונים, חברת הסייבר ההגנתית סייבריזן (Cybereason) חושפת קמפיין תקיפה רחב של חמאס כנגד יעדים ישראלים. מערך התקיפה כלל ניסיונות להגיע לעשרות ישראלים, מרביתם המכריע גברים המשרתים בשירותי הביטחון כגון חיילים, אנשי משטרה ופעילים בשירותי ההצלה.
במסגרת המחקר התגלו שלוש נוזקות חדשות ומתוחכמות, זאת לצד חשיפת יכולות מרשימות של התוקפים בשימוש השפה העברית ויצירת פרופילים מזויפים בצורה מוקפדת ואמינה.
במהלך השנים האחרונות, צוות המחקר של סייבריזן עוקב באדיקות אחר פעילותן של קבוצות תקיפה שונות כנגד מטרות במזרח התיכון. בחודשים האחרונים הייתה עלייה ניכרת בפעילות של אחת מזרועות לוחמת הסייבר של החמאס - קבוצה המכונה APT-C-23.
בעוד שבעבר מרבית הפעילות של קבוצות התקיפה התמקדה בקורבנות דוברי ערבית, היום סייבריזן חושפת קמפיין תקיפה רחב אשר כולל ניסיון להפיל בפח עשרות ישראלים, רובם בעלי פרופיל רגיש בשל תפקידם בצבא, בארגוני אכיפת חוק ושירותי חירום.
בקמפיין הנוכחי נראו כלי תקיפה מתוחכמים ושימוש בנוזקות שלא נחשפו מעולם, וזאת במטרה להשיג גישה למכשירים הסלולריים והמחשבים של הנתקפים למטרות ריגול וחשיפת מידע רגיש.
נקודת הממשק הראשונה של התוקפים עם הקורבנות התבצעה דרך הרשת החברתית פייסבוק. קבוצות התקיפה יצרו מספר פרופילים פיקטיביים של נשים צעירות בעלות חזות נאה, אשר תופעלו ותוחזקו בצורה מופתית.
"ניתן לראות שהתוקפים עשו עבודת מחקר מקיפה ביצירת פרופילים אמינים - העלו פוסטים בצורה תדירה, שיתפו תמונות, התנסחו בעברית רהוטה, הצטרפו לקבוצות פעילות והוסיפו את החברים של הקורבנות על מנת ליצור דמות אמינה בשטח" נמסר מצוות המחקר של סייבריזן.
לאחר שנוצר קשר בין חשבון התוקף והקורבן, החלה שיחה בצ'אט האפליקציה. השיחה נמשכה תקופה לא קצרה, וכללה תוכן מיני. בשלב מסוים התוקפים בדמות האישה היפה עודדו את הקורבן לעבור לשיחה אינטימית יותר באפליקציית ווטסאפ, ולאחר שנענו לבקשה פעלו התוקפים בשתי דרכים.
אם השיחה התקיימה דרך הנייד (אנדרואיד בלבד) בקש התוקף מהקורבן להוריד אפליקציה "מאובטחת" להמשך ההתקשרות, האפליקציה נראתה כאפליקציית תקשורת תמימה לכאורה, אך כללה בתוכה נוזקה שהותקנה על המכשיר הנייד.
ברגע שהופעלה התוקף קבל שליטה מלאה על מכשיר הנייד, אשר כללה גישה למיקרופון ולמצלמה, גישה מלאה לכלל הקבצים, התמונות והאפליקציות האחרות במכשיר.
קבוצת התקיפה שאפו להגיע כמובן גם לרשתות פנימיות של גופים ביטחוניים - ועל כן שכנעו את הקורבנות להתכתב עמם באמצעות מחשבים במקום העבודה, ובמכוון יצרו אינטראקציה דווקא במהלך שעות יום העבודה.
אם הקורבן התפתה, התוקפים העבירו לו לינק להורדת סרטון וידאו אינטימי. הלינק הוביל לקובץ RAR שהכיל את הנוזקה (Backdoor) ופתח גם וידאו על מנת לא לעורר חשד. מרגע שהקובץ נפתח על המחשב, ניתנה לתוקפים גישה מלאה למחשב הנתקף, ויכולת לגנוב את המידע שנמצא במחשב או ברשת הארגונית.
לפי החוקרים של סייבריזן, בניגוד לפרופילים פיקטיביים שמוכרים מהעבר (אשר גם עין בלתי מקצועית הייתה יכולה להבחין שאינם אמיתיים) הפרופילים שהתגלו בקמפיין זה נבנו בצורה מוקפדת וניכר כי הושקעו מאמצים רבים על מנת לשוות להם אמינות גבוהה.
ליאור דיב, מנכ"ל ומייסד סייבריזן: "השימוש בהנדסה חברתית מוקפדת בשילוב כלי תקיפה מתוחכמים עשויים להסב נזק רב למדינת ישראל. חומרת המצב בה מדינת ישראל עשויה להימצא כתוצאה מחדירה של פעילי חמאס לרשת פנימית בארגון בטחוני היא גבוהה, ועשויה להוות בסיס לאירוע מסוכן.״
סייבריזן מסרה כי יידעה את הגורמים הרלוונטיים בישראל ואף דיווחה לחברת פייסבוק על הפעילות של הפרופילים הפיקטיביים.
מרביתם המכריע של קורבנות מתקפת הסייבר, גברים המשרתים בשירותי הביטחון כגון חיילים, אנשי משטרה ופעילים בשירותי ההצלה. סייבריזן חושפת כי התוקף התחיל בפייסבוק, עבר לווטסאפ וגרם לקורבן להוריד נוזקה לאנדרואיד. משם, התוקף קיבל גישה לטלפון הקורבן
פרופיל מזוייף שהפיל חיילים ושוטרים בישראל. תמונה: באדיבות סייבריזון
במקביל לגל הטרור שפוקד את הרחובות בשבועות האחרונים, חברת הסייבר ההגנתית סייבריזן (Cybereason) חושפת קמפיין תקיפה רחב של חמאס כנגד יעדים ישראלים. מערך התקיפה כלל ניסיונות להגיע לעשרות ישראלים, מרביתם המכריע גברים המשרתים בשירותי הביטחון כגון חיילים, אנשי משטרה ופעילים בשירותי ההצלה.
במסגרת המחקר התגלו שלוש נוזקות חדשות ומתוחכמות, זאת לצד חשיפת יכולות מרשימות של התוקפים בשימוש השפה העברית ויצירת פרופילים מזויפים בצורה מוקפדת ואמינה.
במהלך השנים האחרונות, צוות המחקר של סייבריזן עוקב באדיקות אחר פעילותן של קבוצות תקיפה שונות כנגד מטרות במזרח התיכון. בחודשים האחרונים הייתה עלייה ניכרת בפעילות של אחת מזרועות לוחמת הסייבר של החמאס - קבוצה המכונה APT-C-23.
בעוד שבעבר מרבית הפעילות של קבוצות התקיפה התמקדה בקורבנות דוברי ערבית, היום סייבריזן חושפת קמפיין תקיפה רחב אשר כולל ניסיון להפיל בפח עשרות ישראלים, רובם בעלי פרופיל רגיש בשל תפקידם בצבא, בארגוני אכיפת חוק ושירותי חירום.
בקמפיין הנוכחי נראו כלי תקיפה מתוחכמים ושימוש בנוזקות שלא נחשפו מעולם, וזאת במטרה להשיג גישה למכשירים הסלולריים והמחשבים של הנתקפים למטרות ריגול וחשיפת מידע רגיש.
נקודת הממשק הראשונה של התוקפים עם הקורבנות התבצעה דרך הרשת החברתית פייסבוק. קבוצות התקיפה יצרו מספר פרופילים פיקטיביים של נשים צעירות בעלות חזות נאה, אשר תופעלו ותוחזקו בצורה מופתית.
"ניתן לראות שהתוקפים עשו עבודת מחקר מקיפה ביצירת פרופילים אמינים - העלו פוסטים בצורה תדירה, שיתפו תמונות, התנסחו בעברית רהוטה, הצטרפו לקבוצות פעילות והוסיפו את החברים של הקורבנות על מנת ליצור דמות אמינה בשטח" נמסר מצוות המחקר של סייבריזן.
לאחר שנוצר קשר בין חשבון התוקף והקורבן, החלה שיחה בצ'אט האפליקציה. השיחה נמשכה תקופה לא קצרה, וכללה תוכן מיני. בשלב מסוים התוקפים בדמות האישה היפה עודדו את הקורבן לעבור לשיחה אינטימית יותר באפליקציית ווטסאפ, ולאחר שנענו לבקשה פעלו התוקפים בשתי דרכים.
אם השיחה התקיימה דרך הנייד (אנדרואיד בלבד) בקש התוקף מהקורבן להוריד אפליקציה "מאובטחת" להמשך ההתקשרות, האפליקציה נראתה כאפליקציית תקשורת תמימה לכאורה, אך כללה בתוכה נוזקה שהותקנה על המכשיר הנייד.
ברגע שהופעלה התוקף קבל שליטה מלאה על מכשיר הנייד, אשר כללה גישה למיקרופון ולמצלמה, גישה מלאה לכלל הקבצים, התמונות והאפליקציות האחרות במכשיר.
קבוצת התקיפה שאפו להגיע כמובן גם לרשתות פנימיות של גופים ביטחוניים - ועל כן שכנעו את הקורבנות להתכתב עמם באמצעות מחשבים במקום העבודה, ובמכוון יצרו אינטראקציה דווקא במהלך שעות יום העבודה.
אם הקורבן התפתה, התוקפים העבירו לו לינק להורדת סרטון וידאו אינטימי. הלינק הוביל לקובץ RAR שהכיל את הנוזקה (Backdoor) ופתח גם וידאו על מנת לא לעורר חשד. מרגע שהקובץ נפתח על המחשב, ניתנה לתוקפים גישה מלאה למחשב הנתקף, ויכולת לגנוב את המידע שנמצא במחשב או ברשת הארגונית.
לפי החוקרים של סייבריזן, בניגוד לפרופילים פיקטיביים שמוכרים מהעבר (אשר גם עין בלתי מקצועית הייתה יכולה להבחין שאינם אמיתיים) הפרופילים שהתגלו בקמפיין זה נבנו בצורה מוקפדת וניכר כי הושקעו מאמצים רבים על מנת לשוות להם אמינות גבוהה.
ליאור דיב, מנכ"ל ומייסד סייבריזן: "השימוש בהנדסה חברתית מוקפדת בשילוב כלי תקיפה מתוחכמים עשויים להסב נזק רב למדינת ישראל. חומרת המצב בה מדינת ישראל עשויה להימצא כתוצאה מחדירה של פעילי חמאס לרשת פנימית בארגון בטחוני היא גבוהה, ועשויה להוות בסיס לאירוע מסוכן.״
סייבריזן מסרה כי יידעה את הגורמים הרלוונטיים בישראל ואף דיווחה לחברת פייסבוק על הפעילות של הפרופילים הפיקטיביים.
