רשות הסייבר: בלמנו מתקפת רשת נרחבת על ישראל

רשות הסייבר הלאומית שבמשרד ראש הממשלה הודיעה היום (ד') על בלימתה של מתקפת סייבר נרחבת שכוונה כנגד גורמים רשמיים וארגוניים בישראל. על פי ההודעה, ההאקרים ניסו לתקוף כ-120 ארגונים, משרדי ממשלה, מוסדות ציבור ואנשים פרטיים, תוך שהוא זיוף "תעודת אבטחה" של חברה מהימנה. לאחר ניתוח של המתקפה הרשות הוציאה מסמך הנחיות בו המלצות כיצד לזהות ולהתגונן כנגד התקיפה. במסמך מוסבר שמקור התקיפה אותר בשרת מייל השייך לגוף אקדמי, וכן בשרת נוסף השייך לחברה עסקית. עם זאת הרשות לא פרסמה את שמות מפיצי הנוזקה, מה שעשוי להקשות על חברות לזהות ניסיונות תקיפה.

עוד נמסר שמתווה התקיפה עושה שימוש בחולשה שנמצאה בתוכנת מיקרוסופט וורד 0199-2017-CVE, והיא נחשפה על ידי ה-SHADOWBROKERS, אותה התארגנות האקרים מסתורית שהפיצה כלי תקיפה של ה-NSA. לא ברור אם התוקף ניצל את הכלים שהופצו למטרת התקיפה או שמדובר בגורמים אחרים.

התרעה לגבי אפשרות תקיפה במתווה זה פורסמה ע"י ה-CERT ב- 12/2/14. חברת מיקרוסופט הוציאה כבר עדכון אבטחה למחשבים אותו ניתן למצוא כאן. העוסקים באבטחת מידע בארגונים המעוניינים ללמוד עוד על הנוזקה ודרכי הסרתה מוזמנים לעיין בדו"ח רשות הסייבר בנושא.

מה חיפשו ההאקרים?

משיחה של "כלכליסט" עם רפי פרנקו, ראש אגף בכיר למשק ברשות סייבר הלאומית, עולה שהמתקפה המדוברת מקורה בגורמים מיומנים ומטרתה לגנוב מידע. "מצאנו שהמטרות של התוקפים מתמקדים בארבעה סקטורים: האקדמיה, הרפואי, התעשייתי והממשלתי", הסביר פרנקו, "החוט המקשר בין שלושתם הוא נושא המחקר ופיתוח וזה לדעתנו מה שתוקפים ביקשו למצוא".

פרנקו הסביר שאופן התקיפה מעיד על תוקפים בעלי יכולות מתקדמות ושהוא לא שלל שמדובר בגורמים מדינתיים. "מקור התקיפה הוא במיילים שנשלחים כתשובה למייל שנשלח בעבר לנמענים ספציפיים", מוסיף פרנקו, "התוקפים הצליחו להשתלט על שני חשבונות מייל, אחד במוסד אקדמי ואחד בחברה בורסאית-טכנולוגית. אלה שימשו למשלוח ההודעות הנגועות בנוזקה שמטרתה היא לחדור לרשת של הנמען כדי לרגל, לשבש או לשלוט בה".

פרנקו סירב למסור את השם של החברה או מוסד האקדמי שחשבונותיהם נפרצו מלכתחילה, אך ציין שרמת האבטחה בחברה הבורסאית לא הייתה נאותה. במקביל הסביר פרנקו שהגילוי של הנוזקה התבצע בשיתוף גורמים שעובדים ביחד עם ה-CERT הלאומי. עם זאת החיבור בסופי בין כל המידע שהועבר או התגלה על הנוזקה התבצע על ידי אנליסטים ברשות עצמה.

התקיפה בוצעה זמן קצר אחרי שהשאדוברוקרס פרסמו את רשימת הפרצות והחולשות בהן משתמשת ה-NSA בפעילות הסייבר שלה. זאת ועוד, עדכון האבטחה שמיקרוסופט שיחררה חסם רק חלק מהפרצה ששימשה את ההאקרים במתקפה הנוכחית. פרנקו הוסיף שהרשות עמדה מאחורי פיתוח נוסף שהושיף שכבת הגנה משופרת לעדכון האבטחה המקורי של מיקרוסופט.