קספרסקי: האקרים החדירו נוזקות לבנקים ב-40 מדינות, בהן ישראל

מעבדת קספרסקי הודיעה אתמול (ד') שהיא זיהתה קמפיין זדוני של האקרים שהצליח להחדיר נוזקות לכ-140 ארגונים שונים ברחבי העולם. הנוזקה היא מסוג חדש וקשה מאוד לאיתור, כך הסבירו מומחי החברה, עד כה היא שימשה בעיקר לגניבה של מידע, אך נמצא שקבוצת האקרים השתמשה בה על מנת לגנוב מזומן מכספומטים. החוקרים לא מסרו האם נגרם נזק נוסף לבנקים.  

בקספרסקי מדווחים שבסוף 2016, יצרו מספר בנקים קשר עם חוקרי החברה לאחר שאתרו בשרתיהם תוכנה לבדיקות חדירה בשם Meterpreter, שכבר משמשת למטרות זדוניות, ואשר לא הייתה אמורה להימצא שם. קוד Meterpreter שולב עם מספר סקריפטים לגיטימיים של ווינדוס וכלים אחרים.

השילוב בין הכלים הותאם כדי ליצור קוד זדוני אשר יכול להתחבא בזיכרון ולאסוף סיסמאות של מנהלי מערכת מבלי להתגלות, כך שהתוקפים יוכלו לשלוט מרחוק במערכות. נראה כי מטרת העל הייתה לזכות בגישה לתהליכים פיננסים.

במהלך הבדיקה התגלה שההתקפות התרחשו בהיקף נרחב: הן פגעו ביותר מ-140 רשתות ארגוניות במגוון מגזרים עסקיים, כשרוב הקרבנות ממוקמים בארה"ב, צרפת, אקוודור, קניה, בריטניה, רוסיה וישראל. בסך הכל, נרשמו הדבקות בכ-40 מדינות.

בקספסרקי לא ידעו לומר בוודאות מי הגורמים שעומדים מאחורי הנוזקות האלה. לטענת החברה השימוש בקוד פתוח לפריצה, השימוש בכלים נפוצים של ווינדוס ומיקומי רשת לא מוכרים, מקשים מאוד על היכולת לקבוע מי הקבוצה האחראית להתקפות – קשה אף לקבוע האם מדובר בקבוצה יחידה או מספר קבוצות החולקות את אותם הכלים. קבוצות ידועות שנקטו בגישות דומות בעבר הן GCMAN ו- Carbanak.

אחת המטרות העיקריות של ההאקרים היא המחשבים שמפעילים את הכספומטים - מה מאפשר לעבריינים להגיע למכונה במועד מוסכם מראש ולקבל את המזומנים. אולם לא ברור כיצד הנוזקה מוחדרת למחשבים הנגועים. בחלק מהמקרים מאמינים החוקרים שמדובר בניצול פרצות אבטחה בשיטה שנקראת SQL injection בה מנצלים חולשות במסדי נתונים או באפליקציות SQL.

המטרות המגוונות והעובדה שהנוזקה דורשת מעקב מתמשך על מנת לזהות אותה מעמידים את חברות הסייבר מול אתגר לא פשוט. הכלים המסורתיים שנמצאים כיום בשימוש לא תמיד יעילים בזיהוי נוזקות שמוחדרות לזיכרון הפעולה של המחשבים, כפי שהיה במקרה הנוכחי. "בנקים רבים לא מוכנים להתמודדות עם הבעיה הזו", הסביר מומחה של קספרסקי בראיון לארס טכניקה.