האקרים מתוחכמים ניסו לתקוף את ישראל
כלי ממוקד ויקר בשילוב וירוס מסווה עצמו במסמך אקסל נשלח לגופים שקשורים לתחום הבטחון, החלל והאקדמיה. נראה שהתקיפה שהתחרשה באפריל הייתה בחסות מדינה זרה
האקרים, ככל הנראה בחסות מדינה זרה, ניסו לתקוף רשתות של גופים ישראלים הקשורים לתחומי הבטחון, החלל והאקדמיה החל מחודש אפריל האחרון, כך חושפת עמותת IL-CERT, ארגון אזרחי שמרכז התראות לתקיפות על ומתוך ישראל, ועוזר בתאום התגובה אליהן. כפי הנראה התוקפים לא הצליחו לממש את התקיפה.
מסמך עם וירוס
הפריצה פעלה כך: אימייל שנשלח לגורמים בארגונים הללו בו הוזזה אות אחת בשם של מנכ"ל הארגון, על מנת שייראה כאילו המייל הגיע ממנו. בגוף המכתב אין קובץ אבל נכתב שיש.
לאחר מכן נשלח מייל נוסף, "הפעם עם הקובץ", ורק במייל השלישי הקובץ באמת נשלח. לא ברור אם ההאקרים שכחו כמו שקורה לכולם, או שניסו להפוך את ההתחזות לתהליך אמין יותר שלא ייראה כמו רובוט. כך או כך, במייל השני מצורף קובץ אקסל ובו רשימת טלפונים אך בשלב הזה ההתקפה נעצרה.
הקובץ נראה כאילו שייך לארגון אבל ביקש להפעיל פקודות מאקרו. כלומר על הנתקף היה להדביק את המחשב שלו באופן אקטיבי, אם אכן טעה או האמין שמקור הקובץ במנכ"ל.
בניסוי מעבדה שערכו IL-CERT פתחו את הקובץ וגילו כי הפעלתו גורמת להורדת סוס טרויאני מהאינטרנט שלא מזוהה על ידי תוכנות אנטי וירוס שקיימות בשוק. הקובץ הזה הוריד סוס טרויאני נוסף שהיה אמור לאפשר גישה למחשבים
כלי פריצה בעשרות אלפי דולרים
ב-IL-CERT אומרים כי בעוד התוקפים עשו שימוש בכמה כלי תקיפה מפיתוח עצמאי, הכלי הראשי תפס את תשומת ליבם - הוא המתוחכם ביותר שראו בתקיפות ברחבי בעולם עד היום.
"מעבר לכך שהסוס הטרוייאני הוא ברמה של כלי מדינתי-מעצמתי, והמתקדמים ביותר שנראו עד היום, גילינו במהלך החקירה משהו מעניין הרבה יותר, הוא פותח מסחרית", מסביר גדי עברון יו"ר הוועד המנהל של IL-CERT. "פוטנציאלית, כל ארגון יכול להשיג יכולת מעצמתית עם כלי כזה, מה שמשנה נגזרת בצורת הפעילות של תוקפים מתקדמים כפי שפעלו עד עתה".
עברון מוסיף: "המוצר הזה נמכר בדרך כלל בעשרות רבות של אלפי דולרים, ומיועד לאפשר לארגונים לבצע בדיקות אבטחה על המערכות שלהם. לא ברור אם ההאקרים קנו את המוצר דרך צד שלישי או גנבו אותו. שימוש במוצר כזה מאפשר לתוקפים להסוות טוב יותר את זהותם, במקרה שמנתחים את התקיפה ומנסים למצוא מאפיינים מסויימים. סיבה נוספת אפשרית - לארגון שתקף את את היכולת הטכנית לפתח בעצמו כלי עם יכולות דומות.
לפי הדו"ח של IL-CERT, בשיתוף עם חברות CrowdStrike האמריקאית ו-Cymmetria הישראלית, נעשו קמפיינים נוספים של הארגון התוקף ננקטו כנגד ארגונים בטחוניים גם במדינות אחרות באירופה. הדוח המלא ייחשף במלואו באירוע שיתקיים ביום חמישי, ובו יוצג דו"ח התקיפות על ישראל בשנת 2014.