אתר זה עושה שימוש בעוגיות על מנת להבטיח לך את חוויית הגלישה הטובה ביותר.
הפריצה לקספרסקי התאפשרה על ידי זיוף תעודות אבטחה של פוקסקון

הפריצה לקספרסקי התאפשרה על ידי זיוף תעודות אבטחה של פוקסקון

הפרשה שהביאה לחשיפת נוזקת העל דוקו 2.0 מסתעפת: על פי החשד, ההאקרים זייפו תעודות אבטחה כדי לחדור לרשת של קספרסקי ולהתקין את הנוזקה

16.06.2015, 16:49 | רפאל קאהאן

חשיפה חדשה מספקת הצצה נוספת לאופן הפעולה של ההאקרים בפרשת דוקו 2.0. על פי דיווח של אתר Arstechnica מתברר כי הפריצה לרשת של קספרסקי, חברת האבטחה הרוסית שזיהתה את הנוזקה לראשונה, התאפשרה על ידי זיוף תעודות אבטחה של ענקית החומרה פוקסקון.

קראו עוד בכלכליסט

שיטת הפעולה עבדה כך: ההאקרים השתמשו בתעודות אבטחה חתומות המשמשות להורדת דרייברים חתומים על ידי פוקסקון. החתימות על התעודות היו כנראה מקוריות והושגו על ידי פריצה לפוקסקון עצמה. החברה הסינית משמשת קבלן להרכבה וייצור של חומרה עבור אפל, מיקרוסופט Dell ואחרות. היא חותמת את הדרייברים עבור התקני חומרה המורכבים במחשבים שהיא מייצרת.

המטרה של מפעילי דוקו 2.0 הייתה כנראה ריגול אחר משתתפי שיחות הגרעין עם איראן, צילום: אי פי איי המטרה של מפעילי דוקו 2.0 הייתה כנראה ריגול אחר משתתפי שיחות הגרעין עם איראן | צילום: אי פי איי המטרה של מפעילי דוקו 2.0 הייתה כנראה ריגול אחר משתתפי שיחות הגרעין עם איראן, צילום: אי פי איי

על פי החשד, לא רק החתימות של פוקסקון נגנבו, כי אם של יצרניות חומרה נוספות, ביניהן של חברת Jmicron. דפוס הפעולה הזה מזכיר את פרשת נוזקת סטוקסנט, שנטען שפותחה על ידי ארה"ב וישראל ושמפעיליה השתמשו בתעודות אבטחה חתומות על ידי Realtek, עוד יצרנית חומרה אסייתית. 

התגלה גם שההאקרים לא השתמשו באותן חתימות במבצעים השונים. "זה מעיד על תחכום רב", אמר מנהל צוות המחקר של קספרסקי. הדרייברים שימשו להטמעת הנוזקה ברשת של קספרסקי ואיפשרו לנוזקה לצלוח פיירוולים בין שרתים.

דוקו 2.0 נמצאה ברחבי העולם

ההפעלה של דוקו התבצעה דרך מילות מפתח שהועברו דרך האינטרנט לדרייברים, ביטויים כגון "romanian.antihacker" או "ugly.gorilla" הפכו את דוקו לפעיל ואיפשרו לשלוט בו. חוץ מתקיפת הרשת של קספרסקי, שימשה הנוזקה גם לריגול אחר שיחות הגרעין של איראן וארה"ב.

כמו כן נמצאה שהנוזקה שימשה לריגול אחר משתתפי כנס שנערך לרגל 70 שנה לשחרור מחנה ההשמדה אושוויץ. חוקרים של סימנטק, חברת אבטחה מתחרה, מצאו את דוקו ברשתות של ספקיות תקשורת באירופה וצפון אפריקה, יצרנית אלקטרוניקה אסייתית, כמו גם בבקרים תעשייתיים (SCADA) של יצרן אסייתי נוסף.  

השימוש בתעודות אבטחה דיגיטליות ל"הלבנת" הפריצה מטילה צל על השימוש באמצעי הזה כדי לזהות בוודאות תוכנה שהורדה מהאינטרנט. "זו בעיה קשה", הסבירו בקספרסקי, "מפני שזה אומר שהמנגנון הזה שמשמש חברות כגון מיקרוסופט, אפל ויצרניות תוכנה נוספות אינו אמין ועלול להוות פרצה נוספת עבור האקרים".

תגיות

3 תגובות לכתיבת תגובה לכתיבת תגובה

3.
"תעודת אבטחה" אף פעם לא היתה משהו שמעיד על אבטחה.
אולי פעם יפול למישהו האסימון - "תעודת אבטחה" אין בה משום אבטחה, ואפילו לא הבטחה לאבטחה. מה שיש בה זה עדות לכך שמישהו (מפתח התוכנה) שילם כסף למישהו אחר (מנפיק התעודה). זה כל מה שזה אומר - כסף עבר מיד ליד. מנפיק התעודה לא מבצע שום בדיקות על המפתח או על הקבצים הנחתמים - לא בהנפקה הראשונית, לא בחידוש תקופתי, ולא בהחתמה עצמה. נכון, זה התחיל מכוונה טובה; אבל מהר מאוד זה הדרדר לסחיטה בסגנון המאפיה: "שלום לך, מפתח יקר! אם לא תשלם לנו, אז לקוחות פוטנציאליים שינסו להשתמש בתוכנה שלך, יקבלו איומים. לא, לא מאיתנו, חס וחלילה, מה אנחנו פושעים? הודעות 'אזהרה' ממערכת ההפעלה כמובן!". לא ברור איך כל הסידור הזה לא נחשב פלילי. ולמגיב 1 - לא, המאגר הביומטרי לא צריך לחכות להתקפה מתוחכמת במיוחד כשדורשת גניבת תעודת אבטחה. כולם כבר יודעים איך הוא ידלוף (או כבר דלף), במלואו או בחלקו - מישהו מבפנים. למשל, שוטר שמקבל שכר מינימום שצריך השלמת הכנסה, או קצין שהטריד מינית (מי היה מאמין...) ונסחט ע"י עבריינים. הפירצה במאגר הביומטרי היא לא טכנולוגית. אוקי, נכון שיש גם פרצות טכנולוגיות בגודל של סיביר, אבל כרגיל במערכות ארגוניות, מדובר על הגורם האנושי.
אור , ת"א  |  18.06.15