"כאילו התוקפים יושבים ליד המחשב האישי ורואים הכל״

סייפבריצ׳ הישראלית חשפה לאחרונה מתקפת סייבר המזוהה עם איראן, המכוונת נגד מתנגדי משטר. בשיחה עם ישראל דיפנס מסביר תומר בר, דירקטור מחקר בחברה, כיצד נתגלתה המתקפה ומהן מטרותיה, וכן על חשיבות המוכנות מראש, בבחינת ״קשה באימונים – קל בקרב״

"כאילו התוקפים יושבים ליד המחשב האישי ורואים הכל״

תומר בר, סייפבריץ׳. צילום: מאיר כהן

שחקן סייבר זדוני חדש, המזוהה עם איראן, תוקף משתמשי ווינדוז דוברי פרסית ברחבי העולם  באמצעות טקטיקות פישינג (דיוג), כך חשפו לאחרונה חוקרי סייפבריצ׳ (SafeBreach), חברה ישראלית שפיתחה פלטפורמה לסימולציה של מתקפות סייבר על ארגונים, על מנת להתריע בפניהם על נקודות התורפה במערכות אבטחת המידע שלהן.

״מצאנו תוקף שמנסה לפקח על פעילות גלובלית של דוברי פרסית, כשלמעשה הפעילות שלו מתחלקת לשני סוגים״, מסביר תומר בר, דירקטור מחקר בסייפבריצ׳, בשיחה עם ישראל דיפנס. ״הסוג הראשון התחיל ביולי האחרון בשיטה של תקיפות פישינג שמנסות ללכוד סיסמאות של ג׳ימייל ואינסטגרם. ראינו שהתוקפים חיקו אתר לגיטימי של סוכנות תיירות איראנית ואז הפנו אליו משתמשים בצורה כלשהי, אולי בסמס או בהודעה במייל או באחת מהרשתות החברתיות, אנחנו לא בדיוק יודעים איך.

״ברגע שאותם קורבנות הגיעו לאתר הזדוני, הוא הפנה אותם כביכול לג׳ימייל בפרסית, והם היו צריכים להזין את פרטי ההזדהות, אבל זה היה אתר מזויף. לאחר שהזינו שם משתמש וסיסמה, הם הופנו לחשבון הג׳ימייל האמיתי שלהם – אבל התוקפים נשארו עם פרטי ההרשאה. ראינו את אותו סגנון תקיפה גם באינסטגרם״, מוסיף בר.

“הסוג השני של התקיפות התחיל בספטמבר, לאחר שהתפרסמה חולשה, באג במערכת ההפעלה וווינדוז (CVE-2021-40444, מ״ק). התוקפים שולחים קובץ במייל קובץ וורד נגוע וכשהמשתמש פותח אותו, מתחיל תהליך של כמה שלבים, שלבסוף גורם להרצת כלי ריגול שכתוב ב-PowerShell, שנמשך מאותו שרת שעשה את הפישינג, וגם מדווח לאותו שרת״.

מרגל בסיסי, אבל עוצמתי

הצוות של סייפבריצ׳ העניק לכלי הריגול החדש שהתגלה את השם ההולם PowerShortShell. ״מדובר במרגל מאוד קצר ובסיסי, סה״כ 153 שורות בפאוורשל, אבל הוא מספיק כדי לגלות המון דברים״, מסביר בר. ״המרגל הזה יכול להביא את כל המסמכים מהמחשב, את כל תכתובות הטלגרם, המון מידע על מערכת ההפעלה – מי המשתמשים במחשב, כמה זיכרון יש בו, איזה תהליכים רצים, היסטוריית גלישה, איזה תוכנות מותקנות ועוד ועוד – ממש כאילו התוקפים יושבים פיזית ליד המחשב האישי ורואים הכל. כך, בעצם, ה-PowerShortShell עוקף את ההצפנות של אפליקציות כמו טלגרם, ג׳ימיייל ואינסטגרם.

ש: למה אתם חושבים שמדובר דווקא בתוקף שמזוהה עם איראן?

״אנחנו לא אומרים שזה בטוח, אבל ישנם מאפיינים דומים למערכי תקיפה אחרים שעוקבים אחרי טלגרם, שאנחנו מצאנו ואנחנו מעריכים בוודאות גבוהה שמדובר באיראנים. בהודעות הדיוג נעשה גם שימוש במסרים פרובוקטיביים נגד הממשל. למשל, מייל שבו נטען שהטיפול הגרוע של הממשל האיראני במגפת הקורונה גורם לטבח. כלומר, רואים שההודעות האלה נועדו לעקוב אחרי מי ישתף פעולה, מי יתעניין במסרים האלה – ומשם אפשר להמשיך ולעקוב אחרי הפעילות הכללית ברשת של המותקף.

ש: כלומר במקרה הזה לא מדובר במתקפת כופרה אלא באיסוף מידע?

״בתקיפה הזו לא ביקשו כופר, זו תקיפה שנראית מודיעינית, אבל ראינו תוקפים איראנים אחרים משלבים בין שתי המטרות האלה״, אומר בר. לגבי פרופיל התקיפה, הוא אומר שאין לסייפבריצ׳ אפשרות להעריך את מספר הנפגעים, אבל החברה יכולה לראות את ההתפלגות הגיאוגרפית.

״ראינו הכי הרבה תקיפות בארה״ב, אבל גם ברוסיה, סין, קנדה, גרמניה, הולנד, שוודיה – אלה מקומות שהרבה פעמים אני בעצמי ראיתי מערכי תקיפה אחרים נוגעים בהם, במערכים אחרים. במדינות האלה יש לא מעט מתנגדי משטר איראנים, או אחרים שהם פרו-איראן ונגד הממשלה״.

התזמורת של ארכיטקטורת ההגנה צריכה לדעת לנגן ביחד את הקונצרט

בר מוסיף, שנראה שהתוקפים ממשיכים בפעילות הפישינג שלהם, אם כי ההצלחה שהם נוחלים פחותה. ״ראינו שני גלים, אחד באמצע ספטמבר והשני בתחילת אוקטובר. התקיפה הייתה יותר אפקטיבית בהתחלה אבל כנראה שהיום, אחרי שמיקרוסופט כבר הוציאו פאץ׳ (עדכון תוכנה), זה יעבוד רק על מי שלא ביצע את העדכונים״.

שאלתי את בר לגבי משחק החתול והעכבר שבין חוקרי האבטחה לבין התוקפים, כשכל אחד מהצדדים, מסיבותיו הוא, מנסה להיות הראשון שיאתר את החולשה. ״נכון שהמטרה היא שהחברות ימצאו ראשונות את החולשות, יתקנו אותן בצורה הכי מהירה ויעדכנו את המשתמשים, אבל גם זה לא מקנה הגנה מלאה״, הוא אומר. ״אני חושב שמה שאפשר ללמוד כאן, זה שאי אפשר להשתמש רק על עדכוני תוכנה.

״תמיד יהיו חולשות יום אפס, תמיד יהיו גם קבוצות תקיפה מתוחכמות. לכן, חשוב שתהיה הגנה רב-שכבתית על המערכת, שכולל מוצר EDR (מערכת לזיהוי ותגובה בתחנות קצה), מוצר בחינת רשת, מוצר email gateway, וכדומה. אבל כל ההגנות לא מספיקות, תמיד עלולה להיות מתקפה. מה שאנחנו עושים, זה  לאפשר ללקוחות לוודא שאם תקיפה כזאת אכן תגיע, אז כל התזמורת הזו של ארכיטקטורת ההגנה שלהם תדע לנגן ביחד את הקונצרט ולעצור אותה. המטרה היא בעצם להתכונן לתקיפה, ולא לחשוב איך משלמים את דמי הכופר אחרי שהנזק כבר נעשה. המוטו שלנו הוא ׳קשה באימונים – קל בקרב׳.

אולי יעניין אותך גם

טל חן, שותף במחלקת בנקאות השקעות ומימון תאגידי בDeloitte- ישראל (טל היה בין מובילי הדוח) | קרדיט צילום: אלמוג סוגבקר

Deloitte ישראל: קיטון בהוצאות על מוצרי סייבר יגדיל מיזוגים בענף

גיוסי השקעות בשוויי Down-Round, עשויים לשמש כקטליזטור לרכישות חברות סייבר על ידי חברות בינ"ל