ארגוני ממשל ועסקים בישראל מותקפים באופן ממוקד בסייבר

מסע תקיפות – ממוקד מאוד – בסייבר, פגע וניסה לפגוע בארגוני ממשל ועסקים פרטיים בישראל. התוקפים עשו שימוש בכמה נוזקות בקוד פתוח. 

ההאקרים התחזו לגופי ממשל הישראלי ולחברות פרטיות ישראליות ו"על הדרך" פרסו נוזקות בקוד פתוח, כך עולה ממחקר חדש. את המחקר ערכה חברת הגנת הסייבר הצרפתית HarfangLab.

"בחיפוש אחר תשתית תקיפה זדונית, שעלולה להתמקד בממשלת ישראל, זיהינו תחום שלא דווח בעבר, ותיק אך חשוד", כתבו החוקרים. "מסע המתקפה האחרון עדיין פעיל, ועושה שימוש בשרת שליטה ובקרה (C2), כחלק משרשרת זיהום סביב ישות ממשלתית ישראלית".

החוקרים ניתחו את ערכת כלי הפריצה שמשמשת את התוקפים, וכינו אותה 'Suposed Grasshopper'. "בחקירת שרשרת הדבקה זו", כתבו, "גילינו שמדובר בשילוב של נוזקות זמינות לציבור עם פיתוח קל, מותאם אישית, המשמש כ'דבק' בין הרכיבים". הם המשיכו והרחיבו כי "בהתבסס על תשתיות תקיפה שזיהינו בעבר, גילינו בנוסף שהמתקפות ממנפות טכניקות נפוצות שכבר בוצעו כנגד חברות פרטיות בסוף 2023".

"הקמפיינים קשורים ביניהם", ציינו, "הם נראים ממוקדים מאוד, ממנפים תשתית ספציפית ליעד ואתרי וורדפרס מותאמים אישית, כמנגנון להעברות מטען זדוני. הם משפיעים על מגוון ישויות בתחומים שאין ביניהם קשר, ונסמכים על נוזקות ידועות בקוד פתוח".

An unknown threat actor targets Israeli interests with open source malware.
This attack shows that even attackers with few resources and little coding can carry out a sophisticated attack using online resourceshttps://t.co/eYr9UpUpJA#Infosec #Cyber #Cybersecurity

— HarfangLab (@harfanglab) June 28, 2024

הקובץ שמציע 'הגרלה' מזהם את הקורבן 

החוקרים ניתחו את שרשרת ההידבקות שזיהו סביב גוף הממשל הישראלי וציינו כי "לא הצלחנו לזהות את מקור המסירה של המטען הזדוני הראשוני. עם זאת, לאחר השוואה של תשתית וכלי התקיפה שזוהו, זיהינו קמפיינים דומים נוספים לתקיפה – שעשו שימוש באותו דפוס פעולה: המטענים הראשוניים (קבצי VHD) הופצו – לכאורה – מאתרי וורדפרס בעלי מבנה ספציפי, תוך שימוש בסכימת Drive-by של הורדה טיפוסית. הסתרה והתחזות משמשים את הנוזקה לצורך פיתוי בשלב ראשון: כאשר הקורבנות לוחצים פעמיים על קובץ ה-VHD, מוצג להם קישור לקובץ אחר, HTA, בעל השם 'הגרלה' (hagrala.lnk1), ואז הקורבן זוהם, כשהוא מאמין שהוא לחץ על קובץ תמונה, בעוד שהנוזקה מתחילה להסב נזקים. אנו מאמינים שהפיתוח הייחודי הזה הוא פיתוח מותאם אישית, שנעשה על ידי שחקן האיום".

כך, בעת הניסיון לפתות את הקורבנות, מוצג טקסט חזותי בו נכתב "חופשת הפתעה. סליחה, לא זכית", עם הלוגו של משרד הכלכלה והתעשייה הישראלי. הקורבן טועה לחשוב שהוא עובר דרך מנגנון אימות, אלא שבפועל, הוא לא יושם כראוי, כי הנוזקה מקבלת אישורי SSL חתומים על ידי CAs (גורמים מאשרים) אחרים. אז הקורבן סופג את "המטען הזדוני הסופי", שזכה לכינויים 'סופגנייה' ו-'רסיס', קובץ במשקל של כ-15 מגה בייט, המכיל שני נוזקות שפותחו בקוד פתוח, Donut ו-Sliver. אז הנוזקה עוקפת את כל מנגנוני ההגנה, ולתוקף יש שליטה מלאה על המחשב של הקורבן והוא יכול להפעיל יכולות שליטה מרחוק, שיבוש וגניבת נתונים.

התחזו לממשלת ישראל אך לא כיוונו אליה

"בקמפיין 'הגרלה', בהתבסס על הפיתוי שהוצג בפני הקורבנות, התוקפים התחזו ככל הנראה לממשלת ישראל", ציינו החוקרים, "כדי לפגוע ביחידים או בחברות מקומיות, אך ככל הנראה לא כוונו לממשלת ישראל עצמה".

עוד נעשה שימוש בפיתוי – עתיק יומין ופופולרי – בשם Rickrolling, מם אינטרנט הכולל את קליפ ההופעה של הלהיט "Never Gonna Give You Up" מ-1987, בביצועו של הזמר האנגלי ריק אסטלי. לסרטון יש יותר מ-1.5 מיליארד צפיות ביוטיוב, והוא משמש כפיתיון לקבלת נוזקות באמצעות היפר-לינק מוסווה שמוביל לקליפ.

החוקרים לא ציינו את זהות התוקפים, שפתם, מיקומם הגיאוגרפי ואת היקף הקורבנות הישראלים שנפגעו מהמתקפה. הם העלו את ההשערה שייתכן שמסעות תקיפה אלה הם למעשה חלק ממבצעי בדיקות חדירה לגיטימיים, אולם לא מצאו חברה לגיטימית שכזו לבדיקות חדירה.

"באופן פרדוקסלי, מסע התקיפה הזה מעניין בשל היקפו המצומצם והמיקוד החד שלו", סיכמו החוקרים. "קיימות רק מעט דוגמאות הקשורות לאשכול הפעילויות הזה, מה שמרמז על מספר קטן של ניסיונות חדירה. שרשרת הכלים המשמשת את שחקן האיום מורכבת בעיקר מכלי קוד פתוח, לצד פיתוחים פנימיים של ההאקרים. שחקני האיום השקיעו מאמצים בולטים ברכישת תשתית ייעודית ובפריסת אתר וורדפרס מציאותי – כדי לספק מטענים. המתקפה ממחישה את הצורך בשקיפות רבה יותר, במיוחד ברקע גיאופוליטי. זו התחזות, או התמקדות בגופים ממשלתיים, או תשתית קריטית שאין בה עדויות מפורשות למבחן חדירה לגיטימי. קשה לחוקרים יותר ויותר לנוע באזורים אלה של שרשרת ההדבקה, המגמה צפויה להימשך, והיא עלולה לסבך חקירות ניתוח איומים בעתיד".