הסיפור המלא: כיצד חדרו איראנים למחשבי מוסדות ממשלתיים?
הרשות הלאומית להגנת הסייבר הודיעה היום (רביעי) כי בלמה מתקפה, חריגה בהיקפה לטענתה, על המשק האזרחי בישראל. עידו נאור, חוקר בכיר בצוות הGReAT של קספרסקי שחקר את הארוע חושף את השתלשלות הארועים בטור מיוחד
במהלך אמצע אפריל השנה משרד ממשלתי, אשר ביצע תחקיר אירוע שלאחר התקפה בארגון, מצא מייל שהגיע לכאורה ממרצה בכיר באוניברסיטת בן גוריון. המייל, שהעלה את חשדם של החוקרים, זוהה כמזויף ואלו החלו להעלות ספקולציות באשר לסיבה אליה הוא יועד.
לעוד כתבות בנושא:
פרסום ראשון: האקרים השתלטו על חשבונות דואר באוניברסיטת בן גוריון
היכן היה ראש הרשות הלאומית להגנת הסייבר בזמן מתקפת ההאקרים הפרו-פלסטינים?
הדלפות וויקיליקס: מסמכי ה-CIA שפורסמו במסגרת הדלפות כספת 7 יעמידו את המגזר העיסקי בסכנה
האם זו הנקמה הרוסית על מעורבות ארה"ב בסוריה? שובם של סוחרי הצללים מבשר רעות לעולם
לאחר בדיקה של המייל, נתגלה כי הוא מכיל וירוס בקובץ מצורף, ושמדובר במייל שהגיע ממש ביום קודם (19/4). בכותרת המייל נכתב "אישור קבלת מלגה פרטנית..." ולמרות שהגיע מכתובת ששייכת לאוניברסיטה, הייתה חתומה על
המייל דווקא עובדת מטעם "קרן הידע ההנדסי-אקדמי". מדוע דווקא היא? ובכן, חקירה קצרה זיהתה שהתוקפים מצאו את אותו המייל, כנראה בהיסטוריה של אחד הקורבנות, לחצו על "העבר" בצורה ידנית ופשוט הוסיפו משפט באנגלית המורה לקורא לפתוח את הקובץ שצורף אליו. וכך, בעוד שהקורבן חושב שהוא בדרכו למלא פרטים אישיים בקובץ מלגה, הרי שבפועל רץ לו קוד זדוני ברקע שיוריד נוזקה נוספת למחשבו הארגוני.
מאנליזה שבצענו בחברה נתגלה כי הקובץ המצורף ניצל למעשה חולשה במנגנון של תוכנת Office Word על כלל גירסאותיה. החולשה אמנם נתגלתה ונסגרה חודש קודם לכן, אך עדיין היה ניתן לנצלה בארגונים אשר לא עדכנו את תוכנות ה-Office שלהם. החולשה היא במנגנון ה-Ole2Link, אשר זכה למספר הסידורי -CVE-2017-0199. המנגנון מקנה הצמדה של אובייקט שנקרא מרחוק ומופעל בתוך דף הקריאה של Word.
עצם ההתקפה מקנה לתוקף ליבא דף עם סיומת HTA, אשר מזוהה על ידי מערכת ההפעלה "חלונות" כקובץ הרצה (סקריפט HTML) ויכול להכיל קוד זדוני שיגרום לתוקף להשתלט על מחשבו של הקורבן ואף בהמשך - להתחבר אליו מרחוק.
עד כה קבוצת התוקפים שזוהתה תקפה באמצעות שיטות אחרות, אשר אלו סבבו עד כה בעיקרן סביב קבצי אקסל המכילים מאקרו עם קוד זדוני, אשר היה מריץ קוד על מערכת ההפעלה של הקורבן בעת פתיחתו של המסמך. קוד זה היה מוריד קבצים נוספים משרת התקיפה ולאחר מכן מדליף מידע החוצה דרך חלקי מידע שמורים בחבילת ה-DNS. כעת, השימוש בחולשה של Office Word מעלה את החשד כי התוקפים מחפשים כעת לשפר את יכולות ההתקפה שברשותם משהבינו, מתוך הפירסומים במדיה, שהשיטה שלהם נתגלתה ונחסמה.
מעבדת קספרסקי ביצעה את האנליזה ושיתפה גורמי אכיפה האמונים על בטחון המדינה, בפרטים שמצאה, ואף פנתה לחברות האירוח של שרתי התקיפה במטרה לוודא שאם אכן ישנם קורבנות, המידע יחדל מלזלוג לאותם שרתים. מכיוון שהכתובת השרת מוטבעת בקובץ הנוזקה, פעולה זו מחלישה את התוקף לחלוטין, ואף עלולה לגרום להפסקת התקיפה באופן רוחבי. חברות האירוח ביקשו את הממצאים של חברת קספרסקי וזו סיפקה אותם. השרתים נחסמו באופן מיידית וכרגע יצאו מכלל פעולה.
המייל המדובר היה מיועד ל-49 נמענים, אך אותם נמענים לא היו רנדומליים. בנמענים ניתן היה ניתן למנות משרדים ממשלתיים רבים, מוסדות לימוד ואף עיריות גדולות. אם לא די בכך, לכל ארגון היו מספר עובדים אשר קיבלו את הודעת הפישינג, על מנת להעלות את רמת ההצלחה. להערכת מעבדת קספרסקי, מעל 20 מוסדות נפגעו בהתקפה הזו.
על ההתקפה חתומה קבוצת האקרים המזוהים כאירניים, בשם OilRig. האופרציה מאחורי OilRig נתגלתה ע"י חברת פאלו אלטו, עוד במאי 2016. בקספרסקי ממליצים לארגונים אשר עברו תקיפה ליצור קשר עם חוקרים מיומנים ועתירי ניסיון ולהימנע משיתוף מידע בפלטפורמות חברתיות אשר הגישה אליהן פתוחה. זליגה של מידע על תקיפה עלולה להגיע גם לתוקפים, אשר יוכלו לכייל מחדש את כלי התקיפה ו"להרחיב את היריעה" בהתאם למצב בשטח.