BETA

10.07.2018

07:40

מי עומד מאחורי המתקפה?
מי עומד מאחורי המתקפה?,
צ'ק פוינט

המפץ הגדול: צ'ק פוינט חשפה מתקפת סייבר על הרשות הפלסטינית

ענקית אבטחת המידע הישראלית צ'ק פוינט חשפה מתקפת סייבר ממוקדת על גופים וארגונים המשוייכים לרשות הפלסטינית, ונראה כי לתוקפים יש חיבה עזה לסדרת הלהיט המפץ הגדול

מה שלדון היה אומר? חברת אבטחת המידע הישראלית צ'ק פוינט מדווחת כי  חשפה מתקפת סייבר ממוקדת שכוונה כנגד עובדי הרשות הפלסטינית. בצ'ק פויינט מכנים את המתקפה "המפץ הגדול" על שם סדרת הלהיט האמריקאית מאחר וחלק מפקודות התקיפה עשו שימוש בשמות גיבורי הסדרה. 

 

המתקפה נצפתה על ידי חוקרי החברה במהלך השבועות האחרונים, ונראה כי זו החלה במתקפת דיוג ממוקדת ובמהלכה נשלחו לקורבנות מיילים שנראו תמימים, אך למעשה הכילו קבצי וורד זדוניים. החוקרים מעריכים כי לפי המידע שבידיהם הרי שהמתקפה הזו החלה עוד בחודש מרץ השנה.

 

 קובץ הוורד שנשלח לקורבנות
 

קובץ הוורד שנשלח לקורבנות( צק פוינט)

 

אז מה בדיוק קרה שם? ובכן, נראה כי השולחים התחזו לפקידי ממשל פלסטינים או לעובדי הרשות, והעבירו לנמענים קבצי וורד המכילים ,כביכול, העתקים של דיווחים חדשותיים מהתקשורת המקומית. כשהקורבנות הורידו את קבצי הוורד המדוברים הם הורידו למעשה גם  נוזקה זדונית שהתקינה עצמה ברקע על המחשב שלהם - ללא ידיעתם. מהרגע ובו הנוזקה המדוברת, המכונה Micropsia, התקינה עצמה, הרי שהתוקפים קיבלו יכולות שליטה מסויימות על מחשבי הקורבנות הכוללים בין היתר את האפשרות לבצע צילומי מסך, להעתיק מסמכים ואפילו לחבל במחשב עצמו. 

 

כאמור, פרט מעניין הוא שהתוקפים עשו שימוש בשמות גיבורי הסדרה והשחקנים שמגלמים אותם בכתיבת קוד הנוזקה. לדוגמה מודול שכונה בשם  "פני" ( הדמות אותה מגלמת השחקנית קלי קוקו) היה אחראי על צילום מסך הקורבן ושליחת המידע בחזרה אל התוקף. לעומת זאת מודול אחר שזכה לשם Parsons_Sheldon (שילוב שם הדמות הראשית  "שלדון" ושם השחקן שמגלם אותו "ג'ים פרסונס")  היה אחראי לטשטוש עקבות התוקפים ומחיקת הנוזקה עצמה ממחשבו של הקורבן. פקודות נוספות זכו לכינוי על שם סדרות הרכב של היצרנית הגרמנית BMW.

 

 כוכבי הסדרה המפץ הגדול
 

כוכבי הסדרה המפץ הגדול( יח"צ)

 

אז מי עומד מאחורי המתקפה? למרות שהדו"ח הרישמי של צ'ק פוינט לא נוקב בזהות התוקפים, הרי שהוא עושה שיוך ברור לקבוצת תקיפה שזכתה לכינוי "הכנופייה העזתית" (the Gaza Cybergang) בדוחות אחרים של חברות אבטחת מידע כמו טאלוס של סיסקו ופאלו אלטו נטוורקס. למעשה עוד בשנת 2015 שייכה חברת אבטחת המידע הישראלית Clearsky את קבוצת התקיפה המדוברת לחמאס. מדובר בקבוצת האקרים שהפעילות שלה תועדה לראשונה עוד בשנת 2012, ואשר לקחה חלק בתקיפות במדינות כמו: מצרים, ערב הסעודית, עיראק, ארה"ב ואף בישראל.