מבזקים

חברת אבטחה: תקיפת הסייבר על צה"ל רק בראשיתה

במחקר שנעשה בשיתוף פעולה עם מעבדת הסייבר הרוסית וחיל התקשוב של צה"ל, עלה כי תוקפי הסייבר העוקבים אחר תנועות צה"ל עדיין פעילים. הקישורים הזדוניים, בצורת הודעות בעלות גוון מיני, נשלחו אל חיילים בכל הדרגות, ורובם התפתו ללחוץ עליהם

חברת האבטחה והסייבר הרוסית, קספרסקי, פרסמה כי מתקפת הסייבר נגד צה"ל נמצאת בשלביה הראשוניים. על פי המעבדה, ששיתפה פעולה עם חיל התקשוב, מדובר במתקפה ממוקדת שהחלה ביולי 2016 והיא עוד נמשכת. נאמר כי תוקפי הסייבר העוקבים אחר תנועות צה"ל באמצעות החדרת כלי ריגול לטלפונים של חיילים, עדיין פעילים.

רק בחודש שעבר פורסם כי עשרות טלפונים של חיילים וקצינים בסדיר ובמילואים הותקפו בידי חמאס, ולדברי חיילים רבים, גורמים מעוררי חשד ניסו ליצור איתם קשרים באמצעות תכנים מיניים שיפתו את החיילים להיכנס לתוכן ההודעות וללחוץ על הקישורים הזדוניים.

כך חמאס משתלט על הנייד. צילום: דובר צה"ל

באתר Securelist של מעבדת האבטחה נכתב כי החברה סיפקה סיוע לחקירה של צה"ל לגבי התקפות סייבר שמוקדו בחיילי הצבא. נכון להיום אותרו כמאה חיילים בכל הדרגות, רבים מהם מוצבים סביב אזורים רגישים כמו רצועת עזה, אשר נפלו קורבן לכלי ריגול הממוקדים במכשירי אנדרואיד – כשהם חושפים את מיקום היחידה שלהם וכן מידע רגיש נוסף, כגון כלים וציוד צבאי.

על פי המחקר, שעליו חתומה גם יחידת המחקר C4I של חיל התקשוב, כלי הריגול הופץ בערוצים כגון המסרים של פייסבוק, כשהוא מסוגל להפעיל את המצלמה, לאסוף נתוני מיקום, לשלוח ולקרוא SMS, ולבצע האזנה. חוקרי מעבדת האבטחה סייעו לנתח את ההתקפות, כולל הכלים והטכניקות שהופעלו. העדויות מצביעות על כך שמדובר במתקפה ממוקדת שעדיין נמצאת בשלביה המוקדמים, ואשר נועדה להשיג נתונים אודות תנועה ופיזור כוחות הקרקע של צה"ל, וכן לגבי טקטיקה וציוד של הצבא.

גרסה אחת של המטען מתחזה לאפליקציית YouTube, אחרות מתחזות לאפליקציות מסרים. פרופיל מזויף שנשלח לחיילים צילום: מתוף הפייסבוק

רוב החיילים התפתו ללחוץ על קישורים זדוניים, שנשלחו אליהם בצורת הודעות בעלות גוון מיני, מפרופילים שהתחזו לתושבי מדינות כמו קנדה, גרמניה ושוויץ. שיטת פעולה נפוצה של הקבוצה שמאחורי ההתקפה מתחילה בבקשה לשלוח תמונה עירום של הקורבן, ולאחריה נשלחת תמונה מזויפת של נערה.

אל הקורבן נשלח קישור להורדת אפליקציה מזויפת, כשהתוקפים מצפים כי הקורבן יתקין אותה באופן ידני ויאשר הרשאות של משתמש רגיל. אותה חבילה ראשונית שמופעלת שולחת רשימת אפליקציות המותקנות על המכשיר אל שרתי הפיקוד שלה, ומורידה מטען פריצה שיתאים למכשיר הנגוע. גרסה אחת של המטען מתחזה לאפליקציית YouTube, אחרות מתחזות לאפליקציות מסרים. אפליקציה נוספת בשם LoveSongs מאפשרת הפעלת וידאו, והאפליקציה WowoMassanger אינה עושה דבר, ומוחקת את עצמה אחרי ההפעלה הראשונה.

נכון להיום אותרו כמאה חיילים בכל הדרגות, רבים מהם מוצבים סביב אזורים רגישים. התכתבות מפרופיל מזויף צילום: AP

הקוד הזדוני מותקן לאחר שאחד ממטעני הפריצה הורד והופעל במכשיר הקורבן. עד עתה נמצא רק מטען אחד בשם WhatsApp Update, אשר מסוגל לבצע שני סוגי פעולות מרכזיים: פקודות על פי דרישה, ותהליכים מוזמנים מראש לאיסוף מידע אוטומטי. רוב המידע שנאסף נשלח למפעילים כאשר מתבצע חיבור לרשת Wi-Fi.
היכנסו לעמוד הפייסבוק החדש של nrg