סימטריה הישראלית חשפה מתקפת סייבר נרחבת באסיה

חברת אבטחת המידע הישראלית סימטריה (Cymmetria) חשפה היום (ה') את מתקפת הריגול Patchwork, ככל הנראה ממקור הודי, אם כי מהחברה הוסבר שקשה מאוד לזהות מקור מדויק. המתקפה בוצעה כנגד שורה של כ-2,500 מטרות בארגונים גדולים וגופי ממשל ברחבי העולם, בדגש על גורמים שעוסקים באזור דרום מזרח אסיה ובמדינות בסביבת דרום מזרח אסיה, כגון באוסטרליה, סין ופקיסטן. מטרות התקיפה המרכזיות היו מטרות מדיניות והתוקפים פועלים ככל הנראה מדצמבר 2015.

המתקפה זוהתה בארגון ממשלתי מערבי, ומטרות זוהו גם בארה"ב, אירופה ובמזרח התיכון. לא ידוע על פגיעה בגופים ישראלים. הרושם הוא שהמטרות נבחרו בשל עיסוקם במשימות צבאיות, בטחוניות ופוליטיות. רבות מהמטרות היו ארגוני ממשל וארגונים הקשורים לממשלות. מנכ"ל ומייסד סימטריה, גדי עברון, מסר ל"כלכליסט" כי: "מה שמייחד את החשיפה הזאת במיוחד היא העובדה שזוהי הפעם הראשונה שמתקפת APT אותרה באמצעות פלטפורמת Cyber Deception".  

Cyber Deception (הונאת סייבר) היא טכנולוגיה המתמקדת בפסיכולוגיה של התוקף עצמו ולא בזיהוי תקיפות המשתנות תדיר. תוקף שנכנס לרשת ומחפש מידע שעל בסיסו יוכל להתפשט למחשבים נוספים ולמצוא את יעדו, מובל למלכודות הרחק מהמידע הרגיש שחיפש, אל סביבה מנוטרת ונשלטת. מה שמאפשר להחרים את כלי התקיפה בהם השתמש ולסכל את ההתקפה. בעיני התוקף, הסביבה המנוטרת היא האמיתית.

ריגול "העתק-הדבק"

לדברי גדי עברון, מייסד ומנכ"ל סימטריה, "למדנו את התוקף וגרמנו לו ליפול בפח ולהראות לנו מה הוא עושה ומהם הכלים וטכניקות העבודה שבהם הוא משתמש. התוקף עקב אחר פרטי המידע שהשארנו לו, התחבר למערכת המלכודות שבנינו ובכך למעשה אפשר לנו לזהות את כלי התקיפה (״נוזקות השלב השני״). בהן נזהר לא להשתמש עד שלב מאוחר יותר שבו הוא כבר מבוסס ברשת ורוצה להחזיק בה את ראש הגשר לאורך זמן".

ההיקף הנרחב של קמפיין הריגול ומספר הקורבנות הגדול שהותקפו אמור היה לשקף יכולת טכנית משמעותית של התוקפים אשר אפשרה להם להרים מבצע רחב היקף עם כ-2,500 מטרות שהודבקו. עם זאת, כאשר מנתחים את כלי התקיפה, מגלים כי היכולת הטכנולוגית של התוקפים נמוכה יחסית להצלחה הנכבדת שלהם. מהעדויות שנאספו על ידי  סימטריה עולה כי וקטור ההתקפה היה מתקפת פישינג (דיוג) שבמסגרתה נשלחו למטרות מיילים עם מצגת פאור-פוינט נגועה.

עוד עולה מהחקירה כי התוקפים פנו ככל הנראה לפורומים, אתרים כמו GitHub, וה-Dark Web, והעתיקו קטעי קוד כדי לבנות את הסוס הטרויאני שלהם. הדבר מצטרף לשורה של עדויות המראות כי ניתן כיום להרים התקפות מסובכות ברמה מדינתית באמצעות יכולות טכנולוגיות פשוטות. מחקר שפורסם לפני כשנה על ידי סימטריה הראה כיצד תוקף ממקור איראני (״Rocket Kitten״) השתמש בכלי מדף כדי להקים את יכולת התקיפה שלו.