אתר זה עושה שימוש בעוגיות על מנת להבטיח לך את חוויית הגלישה הטובה ביותר.
מבצע הפריצה: ההאקרים אירניים, הקורבן הראשון - אוניברסיטת בן גוריון צילום: Security magazine

מבצע הפריצה: ההאקרים אירניים, הקורבן הראשון - אוניברסיטת בן גוריון

פרטים חדשים על מתקפת הסייבר שנחשפה אתמול מגלים את מקור המתקפה. כמו כן, נודע ל"כלכליסט" שהפריצה בוצעה דרך חשבון של משתמש באוניברסיטה הישראלית - והתבססה על חולשת תוכנה שמיקרוסופט הכירה זמן רב ולא תיקנה

27.04.2017, 13:34 | רפאל קאהאן
האקרים מאיראן הם אלו שעומדים מאחורי מתקפת הסייבר על ישראל שנחשפה אתמול (ד'). על פי מחקר של חברת קספרסקי, המקור של התקיפה הוא בקבוצת תוקפים בשם OilRig, שזוהתה לראשונה בשנה שעברה על ידי פאלו אלטו נטוורקס.

קראו עוד בכלכליסט

לפני מספר שבועות אותר מייל שהגיע לכאורה ממרצה בכיר באוניברסיטת בן גוריון, ששימש כראש גשר לביצוע הפריצה. בחינתו גילתה כי הוא מכיל קובץ נגוע ושהוא הגיע מכתובת ששייכת לאוניברסיטה. הוא נחתם בידי עובדת מטעם "קרן הידע ההנדסי-אקדמי". המייל נשלח ל-49 נמענים ברשימת מטרות שתוכננה מראש - משרדים ממשלתיים, מוסדות אקדמיים ועיריות. יותר מ-20 מהיעדים נפרצו, להערכת חוקרי קספרסקי.

מתקפת הסייבר: פרטים חדשים נחשפים. אילוסטרציה, צילום: Security magazine מתקפת הסייבר: פרטים חדשים נחשפים. אילוסטרציה | צילום: Security magazine מתקפת הסייבר: פרטים חדשים נחשפים. אילוסטרציה, צילום: Security magazine

על פי רשות הסייבר הלאומית, כ-120 ארגונים נפגעו מניסיונות תקיפה - אך אלו לא תמיד זיהו אותם ככאלה. ברשות ציינו שמעבר למייל שנשלח מאוניברסיטת בן גוריון, השתמשו הפורצים במייל נוסף המשוייך לחברת טכנולוגיה ישראלית שנסחרת בבורסה.

ההתקפה מאפשר לתוקף לייבא דף עם סיומת HTA, שמזוהה על ידי מערכת ההפעלה כקובץ הרצה (סקריפט HTML) ויכול להכיל קוד זדוני שיגרום לתוקף להשתלט על מחשבו של הקורבן ואף בהמשך להתחבר אליו מרחוק. מדובר בתקיפה בת מספר שלבים להזרקת נוזקות נקודתית, שיכולות לשמש לגניבת מידע, ניטור רשתות וגרימת נזק למידע. 

הקוד הזדוני התבסס על חולשה בתוכנת וורד של מיקרוסופט. חולשה קוטלגה כ-CVE-2017-0199 לפני יותר מתשעה חודשים לפני שענקית התוכנה טרחה לחסום אותה. החסימה בוצעה דרך עדכון ווינדוס - אך כלל לא ברור אם העדכון הופץ באופן מלא והגיע לכלל המשתמשים. לטענת מומחי אבטחה, מיקרוסופט יכלה לחסום את הפרצה בצורה פשוטה על ידי שינוי הגדרה בוורד. אם זאת מיקרוסופט לא יידעה את ציבור המשתמשים על הפתרון הפשוט הזה או כללה אותו בחבילת העדכונים החודשית שהיא מפיצה. בנוסף, התברר שלא רק התוקפים האיראניים השתמשו באותה חולשה: גם ה-NSA נעזרו בה כדי לחדור למערכות, כפי שנחשף על ידי מסמכי שאדוברוקרס שהופצו לפני יותר מחודש.

שיתוף בטוויטר שיתוף בוואטסאפ שיתוף בפייסבוק שיתוף במייל

תגיות