טרם ביצעת אימות לכתובת הדוא"ל שלך. לאימות כתובת הדואל שלך  לחצו כאן

רשימת קריאה

רשימת הקריאה מאפשרת לך לשמור כתבות ולקרוא אותן במועד מאוחר יותר באתר,במובייל או באפליקציה.

לחיצה על כפתור "שמור", בתחילת הכתבה תוסיף את הכתבה לרשימת הקריאה שלך.
לחיצה על "הסר" תסיר את הכתבה מרשימת הקריאה.

חוקרים: האקרים ניסו להפעיל מבצע ריגול נגד חברת החשמל

חברת ClearSky דיווחה כי זיהתה ניסיון מתמשך להדביק את המחשבים והטלפונים של עובדי החברה בתוכנות ריגול

תגובות
הפרופיל המזויף של לינדה סנטוס
ClearSky

קבוצת האקרים מפעילה זה קרוב לשנה קמפיין ריגול סייבר נגד חברת החשמל, כך חשפה היום (שלישי) חברת ClearSky הישראלית. החוקרים מסרו ל"הארץ" כי קשה לקבוע מי עומד מאחורי קמפיין הריגול, ולא ברור אם הם הצליחו אכן לחדור למחשבי החברה או לגנוב מידע. 

"מאפריל 2016 ולפחות עד פברואר 2017, תוקפים הפיצו תוכנות זדוניות באמצעות פרופילים מזוייפים בפייסבוק, אתרים פרוצים, אתרים מבוססי אחסון מקומי ושירותי ענן", כתבו חוקרי החברה על המבצע שאותו כינו Operation Electric Powder. התוקפים השתמשו בתוכנות שנועדו להדביק מחשבי וינדוס ומכשירי אנדרואיד לצורכי ריגול.

אייל סלע, ראש תחום המחקר ב-ClearSky, הסביר ל"הארץ" כי הם מעריכים שהמטרה היתה חברת החשמל בשל התקיפות המתמשכות, השימוש בתוכנה זדונית ייעודית וההתמקדות בגורמים בחברת החשמל. "לא נראה שמנסים לגנוב פרטי הזדהות לחשבונות פיננסיים אלא להדביק מחשב בנוזקה", אמר. בנוסף ציין כי מדובר ב"קמפיין קטן - כלומר לא מדובר בניסיון להדביק כמה שיותר אנשים כמו בפשיעת סייבר - כל אלו יחד מעידים על קבוצת תקיפה ממוקדת וכנראה לא למטרות פיננסיות", הסביר. 

התוקפים השתמשו בשיטות פישינג, שלא שונות בהרבה מאלה שאפשר למצוא בתקיפות אחרות. סלע ציין עוד שהתוקפים לא הצטיינו ביכולות טכניות גבוהות. כמו כן, ניכר מהטעויות הלשוניות בפוסטים ובאתרים שהפעילו כי הם לא דוברי עברית או אנגלית ברמת שפת אם. עם זאת, סלע ציין כי למרות שבתחילה העריכו כי מדובר בקבוצה שקשורה לחמאס, אחרי בחינה נוספת של המידע הם הגיעו למסקנה כי אין די ראיות כדי לייחס אחריות לארגון מסוים.

העמוד המתחזה לקהילת פוקימון-גו
ClearSky

התוקפים יצרו אתר שהתחזה לאתר וויינט באנגלית, בין היתר על ידי שימוש במה שמכונה Typo Squatting - יצירת אתר עם כתובת אינטרנט דומה להפליא לכתובת האתר המקורי שאליו הם מתחזים. חלק מהדפים באתר הובילו לאתר וויינט, אך אחרים כללו תוכן שהועתק מאתרי חדשות אחרים כמו NRG והדיילי מייל. במקרים אלה, התוכן שימש כדי להסוות הדבקות בתוכנות זדוניות. 

כדי להפיץ את הקישורים לאתר המזויף הם השתמשו לפחות בפרופיל פייסבוק אחד, תחת השם לינדה סנטוס, שכלל תמונה של בחורה צעירה ונאה. מדובר בשיטה שחוזרת על עצמה שוב ושוב במבצעי סייבר ממוקדים, ורק לאחרונה דווח על מבצע דומה שהופעל נגד חיילים ואנשי קבע בצה"ל על מנת להדביק את הטלפונים שלהם בתוכנות ריגול. 

לפרופיל של סנטוס היו עשרות חברים, רובם המכריע היו עובדי חברת חשמל. בנוסף, אותה בחורה הגיבה בעמוד הפייסבוק של של חברת החשמל בתגובות שכללו קישורים לאתר המזוייף.

"תקיפות 'הנדסה חברתית' פשוטות יחסית עדיין יעילות", הסביר ל"הארץ" בועז דולב, מנכ"ל ClearSky. "התמודדות מולן אינה פשוטה ומחייבת ערנות מיוחדת. אנו רואים שיפור במתווה התקיפות מול יעדים בישראל. הגנה על נכסי הליבה של חברות ובכללן חברות תשתית קריטית, מחייבת הרחבת מעגל ההגנה של חברות, מעבר לרשתות החברה כולל הגנה על העובדים, להבנתנו באמצעות מערך ניטור מודיעין סייבר".

ביולי האחרון התוקפים גם ניצלו את הפופולריות של פוקימון גו כדי להדביק את המטרות שלהם - רוב הגולשים שעקבו אחרי העמוד היו אזרחים ישראלים - רובם ערבים וחלקם יהודים. בעמוד הם הציעו לינק להורדת האפליקציה, אבל מי שניסה להוריד אותה, נתקל בהודעת שגיאה לפיה האפליקציה לא מתאימה למכשירו. בחסות ההתקנה הזאת, התוקפים השחילו למכשיר אפליקציית ריגול. כך, גם אם הוא הסיר את האפליקציה שהתחזתה לפוקימון-גו, האפליקציה השנייה ממשיכה לפעול.

הפרופיל המזוייף וכך גם הדף המזויף הוסרו בינתיים מפייסבוק. 

מחברת החשמל לא נמסר תגובה לשאלת "הארץ" על הדיווח.

 



תגובות

דלג על התגובות

בשליחת תגובה זו הנני מצהיר שאני מסכים/מסכימה עם תנאי השימוש של אתר הארץ

סדר את התגובות