מערך הסייבר מתריע: קבוצות תקיפה פועלות במרחב האינטרנט הישראלי

למערך הסייבר הלאומי דווח באחרונה על כמה קבוצות תקיפה מדינתיות שפועלות במרחב הרשת הישראלי, והיום (א') הוא הנפיק התראה בנושא, עם הנחיות לפעולה.

לפי המערך, "הקבוצות תוקפות בעיקר ארגונים ממגזרי האקדמיה, השלטון המקומי וחברות MSP. מטרת המתקפות היא גרימת נזק, CNA (ר"ת Attack Network Computer), שמתבטא במחיקת המידע על העמדות והשרתים המותקפים. כאשר התקיפה היא נגד חברת MSP, התוקפים מנסים למחוק את המידע של מספר רב ככל האפשר של לקוחותיה". בהודעת המערך צוין כי "יש לנו מידע על עשרות ארגונים שנפגעו מפעולות תקיפה אלה, רובם כחלק מתקיפת שרשרת אספקה. על מנת להקשות על שחזור המידע, התוקפים משתמשים בכלי מוכר של מיקרוסופט, SDelete, מתוך אוסף הכלים המוכר כ-SYSInternals, על מנת להבטיח שלא יהיה ניתן לשחזר את הקבצים או הספריות שנמחקו. בכמה מקרים לפחות נמצא כי וקטור התקיפה הראשוני נגד הארגון המותקף היה שרת VPN שלא היה מעודכן עם כל עדכוני האבטחה שפורסמו על ידי היצרן. לאחר השגת נגישות לציוד זה, התוקפים נעו רוחבית אל רשת הארגון והחלו במחיקת המידע המצוי בה".

"במטרה לסייע בזיהוי פעילות תקיפה", נכתב, "מומלץ להתקין את חוקי ה-YARA בכל מערכות האבטחה הארגוניות התומכות בכך. מומלץ מאוד לוודא שמערכות VPN בשימוש הארגון מעודכנות באופן עיתי בכל עדכוני האבטחה שפורסמו על ידי היצרן. כמו כן, מומלץ לוודא שהזדהות משתמשים למערכות אלה מתבצעת בצורה רב גורמית (MFA) עבור כל המשתמשים, ובפרט עבור משתמשים בעלי הרשאות מנהלנים".

המלצות לאנשים שיודעו על דלף מידע שלהם

בתוך כך, מערך הסייבר, ראשים ומכללת ספיר פרסמו היום, בהודעה אחרת, המלצות הגנה לאנשים שיודעו על דלף מידע שלהם. בנוסף, המערך הוציא לכלל המשק את מזהי התקיפה, כדי שארגונים נוספים יוכלו להתגונן מבעוד מועד ולחסום את התקיפה במערכותיהם. לפי ההודעה, "פרטים שדלפו עלולים לשמש לניסיונות פריצה לשירותים מקוונים, להתחזות ולשליחת הודעות פישינג לטלפון או לדוא"ל".

בהודעה נכתב כי "הטמעת ההמלצות הבאות בהקדם יכולה לצמצם משמעותית את החשיפה לסיכון: מומלץ להחליף סיסמאות לכלל האפליקציות והשירותים שבהם אתם משתמשים ברשת, כגון רשתות חברתיות. בעת ההחלפה מומלץ לבחור סיסמה שאינה כוללת פרטים אישיים מזהים שלכם. שיקלו לנהל את כלל הסיסמאות בתוכנה ייעודית שמצפינה את הסיסמה. לגבי אימות דו שלבי – הגדירו אמצעי זיהוי נוסף על סיסמה בכלל השירותים המקוונים שבהם אתם משתמשים, בדגש על רשתות חברתיות ושירותים פיננסיים. בהיבט ניטור סיסמאות חשופות – קיימים שירותים שבוחנים אם הסיסמאות השמורות אצלם נחשפו, כגון שירות מנהל הסיסמאות של גוגל בדפדפן כרום, עמוד בדיקות האבטחה בחשבון הגוגל וכן בדיקת האבטחה של אפל. יש לוודא מעקב אחר פעולות בחשבון הבנק ובחיובי האשראי, ולהבטיח שאין פעילות חריגה שלא ביצעתם. לגבי הנפקת תעודת זהות חדשה – למי שצילום תעודת הזהות או הדרכון שלו דלף מומלץ לפנות לרשות האוכלוסין להנפקת תעודה חכמה חדשה. גלו ערנות ואל תלחצו על קישורים או צרופות מגורמים לא מוכרים".

פריצה למערכות IT של מכללות רבות בישראל

ההודעה מגיעה לאחר שבתחילת החודש פורסם שהאקרים מאיראן פרצו למכללות בישראל, גנבו ומחקו נתונים רבים. הפריצה אירעה דרך שרשרת האספקה, בעקבות חדירה לראשים – חברה בת של מלם תים.

ההאקרים פרצו למערכות ה-IT של מכללות רבות בישראל, קצרו נתונים רבים, חלקם פרטיים, והתפארו בכך במדיה החברתית. הפריצה התבצעה במתכונת פריצה לשרשרת האספקה: ההאקרים חדרו למערך ה-IT של ראשים, ומשם ללקוחות שלה.

התוקפים הם חברי קבוצת חתלתול נמסיס (Nemesis Kitten), שמסומנת לעתים כ-DEV-0270, ומהווה תת קבוצה של שחקן האיומים האיראני זרחן (Phosphorus). בעבר היא התפרסמה כמי שמבצעת פעולות רשת זדוניות, כולל סריקת פגיעויות נרחבת, בגיבוי ובחסות ממשלת איראן. ב-2022 נחשפה הקבוצה כמי שערכה כמה מסעות מתקפות מסוג כופרה, שמטרתן הייתה לא קבלת דמי כופר, אלא חדירה למערכי המחשוב של הקורבנות.

לפי ההאקרים, בסיסי הנתונים שאליהם הם הצליחו להשיג גישה כוללים, בין השאר, את מכללת אריאל, מכללת ספיר, בית ברל, דעת נסים, גור אשדוד, המכללה האקדמית חמדת, הקולג' הישראלי, מכללת המשטרה בבית שמש ומכללת סח'נין.

מראשים נמסר בתגובה לפרסום אז כי "החברה חוותה אירוע סייבר, שהשפיע על חלק מלקוחותיה. כלל הלקוחות, הרשות להגנת הפרטיות ומערך הסייבר הלאומי עודכנו. אנחנו פועלים לטיפול מקיף ויסודי באירוע באמצעות צוות התערבות סייבר ייעודי, עד להחזרת הפעילות המלאה".