מבצע הפריצה: ההאקרים אירניים, הקורבן הראשון - אוניברסיטת בן גוריון

האקרים מאיראן הם אלו שעומדים מאחורי מתקפת הסייבר על ישראל שנחשפה אתמול (ד'). על פי מחקר של חברת קספרסקי, המקור של התקיפה הוא בקבוצת תוקפים בשם OilRig, שזוהתה לראשונה בשנה שעברה על ידי פאלו אלטו נטוורקס.

לפני מספר שבועות אותר מייל שהגיע לכאורה ממרצה בכיר באוניברסיטת בן גוריון, ששימש כראש גשר לביצוע הפריצה. בחינתו גילתה כי הוא מכיל קובץ נגוע ושהוא הגיע מכתובת ששייכת לאוניברסיטה. הוא נחתם בידי עובדת מטעם "קרן הידע ההנדסי-אקדמי". המייל נשלח ל-49 נמענים ברשימת מטרות שתוכננה מראש - משרדים ממשלתיים, מוסדות אקדמיים ועיריות. יותר מ-20 מהיעדים נפרצו, להערכת חוקרי קספרסקי.

על פי רשות הסייבר הלאומית, כ-120 ארגונים נפגעו מניסיונות תקיפה - אך אלו לא תמיד זיהו אותם ככאלה. ברשות ציינו שמעבר למייל שנשלח מאוניברסיטת בן גוריון, השתמשו הפורצים במייל נוסף המשוייך לחברת טכנולוגיה ישראלית שנסחרת בבורסה.

ההתקפה מאפשר לתוקף לייבא דף עם סיומת HTA, שמזוהה על ידי מערכת ההפעלה כקובץ הרצה (סקריפט HTML) ויכול להכיל קוד זדוני שיגרום לתוקף להשתלט על מחשבו של הקורבן ואף בהמשך להתחבר אליו מרחוק. מדובר בתקיפה בת מספר שלבים להזרקת נוזקות נקודתית, שיכולות לשמש לגניבת מידע, ניטור רשתות וגרימת נזק למידע. 

הקוד הזדוני התבסס על חולשה בתוכנת וורד של מיקרוסופט. חולשה קוטלגה כ-CVE-2017-0199 לפני יותר מתשעה חודשים לפני שענקית התוכנה טרחה לחסום אותה. החסימה בוצעה דרך עדכון ווינדוס - אך כלל לא ברור אם העדכון הופץ באופן מלא והגיע לכלל המשתמשים. לטענת מומחי אבטחה, מיקרוסופט יכלה לחסום את הפרצה בצורה פשוטה על ידי שינוי הגדרה בוורד. אם זאת מיקרוסופט לא יידעה את ציבור המשתמשים על הפתרון הפשוט הזה או כללה אותו בחבילת העדכונים החודשית שהיא מפיצה. בנוסף, התברר שלא רק התוקפים האיראניים השתמשו באותה חולשה: גם ה-NSA נעזרו בה כדי לחדור למערכות, כפי שנחשף על ידי מסמכי שאדוברוקרס שהופצו לפני יותר מחודש.