מסתמן: פלסטיני עומד מאחורי מתקפת הסייבר בבתי החולים
חברות טכנולוגיה התחקו אחר העקבות שהשאיר תוקף בתי החולים. באחת החברות מעריכים: ייתכן שההאקר מתגורר בחברון. עדיין לא ידוע כיצד התבצעה החדירה לרשתות, ולא ברור אם מטרת התקיפה הייתה פלילית או ביטחונית
פרטים חדשים ממתקפת הסייבר על ישראל בשבוע שעבר:עשרות מחשבים בשני בתי חולים מרכזיים בארץ נפגעו במהלך מתקפת סייבר על מרכזי הרפואה ביום חמישי שעבר. במעבדות חברת האבטחה ESET ניתחו דגימות מהמתקפה וכעת נחשפים פרטים חדשים.אומנם שני בתי חולים בישראל נפגעו מהמתקפה, אך מממצאי המחקר אין אינדיקציה על כך שהמתקפה הייתה ממוקדת דווקא למערכות של בתי חולים וייתכן שגופים נוספים נפגעו ממנה. בניגוד למידע שסופק בתחילה, תוצאות הניתוח מעידות על הדבקה בכלי ריגול לגניבת מידע. ביכולתו של כלי הריגול הזה לתעד צילומי מסך, הקלדות במחשב, לגנוב סיסמאות מהדפדפן ואף לאתר שימוש בשירותים פיננסיים כמו פרטי חשבונות בנק, איביי ופייפאל.
יש כמה רמזים בולטים למי עומד מאחורי הנוזקה שפגעה בבתי החולים. ראשית הפרטים שנגנבים נשלחים לדומיין בשם 'Palestineop.com'. לרוב כאשר מתבצעות מתקפות המכוונות למוסדות ישראלים ומשתמשות בדומיינים עם הביטוי "פלסטין", מי שעומדות מאחורי המתקפה הן קבוצות כמו אנונימוס או חמאס.
צילום: EPA
בקוד הנוזקה ניתן למצוא כיתוב - שם משתמש ששייך לכתובת אתר של חברה מדובאי עם פורום בערבית עבור מפתחים, שם קיימים גם הסברים על שימוש בקוד עבור פריצה ויצירת נוזקות. על פי חוקרי ESET המשתמש rad12345 מעיד על עצמו שהוא פלסטיני, הוא חבר פעיל בפורום הערבי ומשתף בו סקריפטים זדוניים ונוזקות. נראה שהוא גם הכותב המקורי של הנוזקה שפגעה בבתי החולים. נוזקה זו שלא השתנתה הרבה מאז שזוהתה לראשונה ביולי 2016.
אמיר כרמי, מנהל הטכנולוגיות של ESET בישראל מסביר כי "הנוזקה אינה כלי חדש או מתוחכם מידי, והיא פועלת בצורה די פשוטה, אפילו שהיא מוסוות כדי לחמוק מזיהוי של אנטי וירוסים. על פי הזיהויים שלנו במהלך השנה שהנוזקה קיימת, היא מזוהה בעיקר בדרום אמריקה, ולא היו כמעט זיהויים בישראל, מה שיכול להצביע על כך שמדובר בכלי שנמצא זמן רב בשימוש להתקפות פיננסיות, והוא הוסב להתקפה בישראל על מנת להראות הישג בפרסום פרטים של עובדי מדינה. יכול גם להיות שהוא פגע בבתי החולים במקרה, אבל בהתחשב באופי הכותב של הנוזקה והכתובת שאליה היא ניגשת אפשר להעריך שמדובר אכן בהתקפה ממוקדת".
נבדק החשד לפגיעה בשתי תחנות עבודה. בית החולים רמב''ם
צילום: מארק ניימן לע''מ
עדיין לא ידוע כיצד האיום חדר לרשתות של בתי החולים אבל ניתן לומר שקיימות אצלו תוכנות של תולעת שמאפשרות לו להתפשט ברשת באמצעות התקני USB ניידים.
בנוסף לחברת ESET, גם חברת קלירסקיי, כמה ימים לאחר ההתקפה, זיהתה כי מדובר בתשתית תקיפת של גורמים ערביים ושיש הצבעה אפשרית על אדם מסוים באזור חברון. כמו כן, ציינו בקליר סקיי כי ייתכן ומדובר בפעילות על רקע פלילי ולאו דווקא ביטחוני.
חברה נוספת שעסקה במחקר התקיפה היא trendmicro שהמוצרים שלה מותקנים בשני בתי החולים שנפגעו. החברה ביצעה מחקר על בסיס סמפלים של התקיפה ופרסמה את התוצאות במהירות בבלוג החברה. לפי העדכון האחרון מלפני יומיים (שלישי), מדובר בתולעת שצפה כבר בשנת 2015. מדובר בכלי התקיפה חשאי מאוד שמשמיד את עצמו אם הוא מזהה כלי אנטי וירוס או סנדבוקסים או כלים נוספים לבחינת קוד.
היכנסו לעמוד הפייסבוק החדש של nrg
אקו"ם