מלחמת הסייבר: איראן משיבה מלחמה
אתמול הצליחה תולעת לחדור למחשבי הרשת החיצונית של בנק הפועלים; דיווחים ראשונים מאשרים כי הגורמים שמאחורי התולעת קשורים לאיראן; תחילתה של מלחמת סייבר?
בשלב זה נראה כי התולעת הצליחה להדביק מערכות הנמצאות ברשת החיצונית של הבנק, המשמשות את עובדי הבנק לצורך גלישה באינטרנט ושליחת דואר אלטרוני של העובדים, ולא את המערכת הפיננסית, המופרדת ממנה, אך המתקפה מהווה עליית מדרגה משמעותית.
ממקורות נמסר כי דרכה של התולעת למחשבי הבנק עברה באמצעות קובץ מצגת מסוג PPT שנשלח למספר עובדים. לאחר ההדבקה של המערכת, יוצרת התולעת קובץ שנקרא officeupdate.exe, תחת ספריית PrintHood בפרופיל המשתמש או תחת ספרייה אחרת בפרופיל המשתמש בשם UpBackup יחד עם רצף של קבצי DLL עם שמות רנדומליים. לאחר ההדבקה, מנסה התולעת לייצר קשר עם שרתי אינטרנט מרוחקים בעלי כתובות IP המשויכים למדינת קנדה. בבדיקה בסיסית של כתובת ה-IP, נמצא כי הכתובות רשומות על-שם חברה קנדית, אך מתורגמות לכתובות DNS הנמצאות על-גבי שרתים באיראן.
אף על פי שהמתקפה על בנק הפועלים היא המתקפה הראשונה של התולעת אשר פורסמה בפומבי, נודע כי הבנק איננו המטרה הראשונה של התולעת ועוד בשבוע שעבר נפגעו מספר גופים ציבוריים נוספים, אשר גם הם, בדומה לבנק, הודבקו בצורה מכוונת. כתוצאה מכך, התמונה המצטיירת כאן היא של ניסיון ברור להגיע לגופים ציבוריים ישראליים במטרה לאסוף מידע (שכפי הנראה בשלב זה, זאת מטרתה העיקרית של התולעת). כמו כן מטרתה להפריע לפעילות התקינה של גופים ציבוריים שנותנים שירות לאזרחי המדינה ובכך לייצר פאניקה והיסטריה בקרב האזרחים.
למרות שהרקע המלא עדיין לא ברור, נראה שהסיבוב הראשון של מלחמת הסייבר החל לפני מספר חודשים עם שחרורה של תולעת
מורכבות הקוד שעמד מאחורי התולעת, יחד ההדבקה של המערכות האיראניות, גרמו לכך שההאשמות על יצירת התולעת הופנו במהרה כנגד מספר גופי ביון מערביים, ביניהם ארגון ה-CIA האמריקני וכמובן גם המוסד הישראלי, אשר באופן טבעי הכחישו את מעורבותם בנעשה.
ניסיונותיהם של גורמים זדוניים להדביק רשתות מחשבים של ארגונים, קטנים וגדולים, באמצעות פניה מותאמת אישית לעובדים מסוימים מכונה Spear Phishing. במסגרת ניסיונות שכאלה, ייצרו הגורמים הודעות מיילים מותאמות אישית לעובדים מסוימים בחברת המטרה, אותם הם איתרו. את אותם העובדים בוחרים הגורמים לפי הרשאות – כגון נושאי משרה בכירה, או כאלה שיש עליהם מספיק מידע אישי, אותו הם אוספים דרך רשתות חברתיות והאינטרנט.
לאחר שאספו מידע אישי רב, הן על תחומי העניין, על חייו הפרטיים של מושא התקיפה ועל תפקידו בחברת המטרה, הם יכולים לבחור באיזה ווקטור לפנות אליו. למשל, הם יכולים לגלות שלעובד חשבון בנק בבנק מסוים, ואז לשלוח לו הודעת מייל הנראית כאילו הגיעה מהבנק שלו. ההודעה פונה אליו אישית כמחזיק חשבון או מתוקף היותו עובד האחראי על תחום מסוים, ולהזמין אותו לכנס, מאותם סוגים של כנסים שהם כבר יודעים שהוא נכח בהם בעבר, דרך חיפושים באינטרנט.
בנוסף, במהלך השנים האחרונות נוצר מצב בו אנשים רבים, גם בארגונים גדולים ובעלי ידע רב בתחום, מפרסמים מידע אישי רב באינטרנט עליהם ועל חייהם האישיים, מצד אחד, ומנגד, חסרה לרבים מהם מודעות מספקת לחפש סימנים מחשידים במיילים שהם מקבלים, גם כאלה שנראים כאילו הגיעו מאנשים שהם מכירים, כך שחברות רבות ברחבי העולם, בדגש על חברות עתירות ידע, מוצאות את עצמן נחשפות דרך התקפות שכאלה. נראה שבנק הפועלים כלל אינו לבד, והוא מצטרף לחברות גדולות כמו לוקהיד מרטין ובואינג, אשר גם הן הותקפו במתקפות שכאלה.
יתרונותיה של תקיפה מסוג Spear Phishing, הם שבניגוד לשליחת מיילים כלליים לעובדי הארגון, כאשר המייל מותאם אישית לאותו עובד בחברת המטרה, הסיכוי שהוא יפתח את הקובץ וכך ידביק את המסוף שלו גדול משמעותית. אם המטרה איכותית מספיק, הגורמים הללו יאספו את המידע עד שתצטבר אצלם מסה קריטית שתאפשר פעולה. איומים מסוג זה נחשבים כיום לאחד הסיכונים המשמעותיים ביותר על אבטחת המידע של הארגון משום שהתקיפה מתבססת על חולשה של המשתמש, ולא של המערכת, שכן המשתמש הוא זה שלוחץ על הקובץ הנגוע ומפעיל אותו.
בשלב זה טרם נודע האם ישנם פרטים שיקשרו את הגורם שאסף את המידע שנשלח ממחשבים שנדבקו בתולעת, ישירות לגוף שלטוני כזה או אחר אך כרגע מצטברות ראיות המצביעות על-כך שהמתקיפים קשורים לאיראן ויכול להיות כי מדובר בשיתוף פעולה איראני עם גורמים זדוניים נוספים מחוץ לאיראן.
בנק הפועלים אינו הגוף הישראלי הראשון שהודבק בתולעת ואף על פי שהרשת שנדבקה היא הרשת החיצונית של הבנק, ישנן הערכות כי מדובר בצעדים ראשונים שהינם חלק ממהלך גדול יותר.
התקיפה של הרשת החיצונית של בנק הפועלים, כמו בתקיפות השונות בשנתיים האחרונות, היא ניסיון של גורמים להשיג דריסת רגל במערכות הבנק, ואולי אף ניסיון שלהם לאסוף מודיעין על גורמים איכותיים הרבה יותר. כך היה גם בפרשת הפריצה ל-RSA, בחודש מרץ בשנה שעברה. המידע שנגנב מ-RSA איפשר לפורצים לחדור למערכות מסווגות של יצרניות נשק אמריקניות גדולות, כגון לוקהיד מרטין, אשר מהווה מטרת איכות משמעותית עבור פורצים, אם יצליחו להשיג מתוכה מידע פנימי משמעותי.
בנק הפועלים אמר היום בתגובה, "היה ניסיון לחדור למחשבי הפועלים, שסוכל על ידי אנשי אבטחת המידע של הבנק. לא נגרם כל נזק כתוצאה מהניסיון הכושל".
הכתבה פורסמה לראשונה באתר newsgeek.
נא להמתין לטעינת התגובות
אקו"ם