שתפו בפייסבוק
שתפו כתבה במיילשליחת הכתבה באימייל

חשבון ג'ימייל של אתר צה"ל נפרץ ושימש להפצת וירוס

מומחה אבטחה מעריך כי מדובר בהמשך של התקיפה שהביאה להחלטת המשטרה לנתק את מחשביה מהרשת לפני כמה שבועות; גורמים בצה"ל: הנושא טופל

שתפו כתבה במיילשליחת הכתבה באימייל
מעבר לטוקבקיםכתוב תגובה
הדפיסו כתבה
עודד ירון

חשבון ג'ימייל המשמש את אתר צה"ל נפרץ ושימש כדי להפיץ וירוס, כך גילה עו"ד יהונתן קלינגר.

על פי הניתוח של אביב ראף, מומחה אבטחה מחברת סקיורלט, ההתקפה בוצעה ככל הנראה בידי אותם גורמים העומדים מאחורי תקיפת הסייבר, שכוונה נגד כמה משרדי ממשלה וגורמים ממשלתיים והביאה את המשטרה לסגור את החיבור שלה לאינטרנט לפני כמה שבועות. בגילוי הקודם התברר כי הופצו אימיילים שיוחסו לרמטכ"ל בני גנץ בניסיון לחדור לחשבונות של בעלי תפקידים שונים.

הגילוי של המשך מבצע הסייבר מתיישב עם דברים שפרסמה חברת האבטחה נורמן רק השבוע. לדבריה מדובר במבצע מתמשך, שהחל לפחות לפני כשנה, ולהערכתם נמשך גם בימים אלה. כמו כן, גילה חוקר החברה סנטר פגרלנד, שישראל לא היתה המטרה היחידה. גם הרשות הפלסטינית היתה על הכוונת.

עו"ד קלינגר המתמודד בפריימריז של מפלגת העבודה כתב בבלוג שלו כי קיבל מייל שנראה כאילו הגיע מדובר צה"ל - Idfspox@gmail.com. המייל הכיל קובץ שמתחזה למסמך וורד, אך למעשה הכיל קובץ הפעלה שכלל וירוס.

צילום מסך: יהונתן קלינגר

קלינגר הסביר כי מבדירת האימייל התברר לו כי "ג'ימייל מאפשר למי שמחזיק חשבון בו להרשות לאנשים אחרים לשלוח דואר מאותו חשבון, וזה היה המקרה כאן. אדם מסוים שאני נמצא ברשימת אנשי הקשר שלו, שלח דואר אלקטרוני בשם דובר צה"ל, כיוון שהוא כנראה מורשה לעשות כן".

ראף שבדק את הקובץ גילה כי מדובר ב-Xtreme RAT, אותו כלי פריצה (שזמין להורדה ברשת) ששימש במקרים הקודמים של התקיפות.

ראף הוסיף כי "זה מאוד שכיח לראות תוקפים המשתמשים באירועים פוליטיים כחלק ממתקפות spear-phishing (מתקפות פישינג ממוקדות). מקרי תקיפה של שחקנים רלוונטים הם הרבה פחות שכיחים, וכך גם השימוש באותם שחקנים כאמצעי להנדסה חברתית למתקפה. נראה שההתקפה המתמשכת הזאת, מגיעה לרמה מתקדמת מהר משחשבנו". בדבריו אלה התייחס ראף לכינוי שהוענק למתקפות סייבר שנחשבות תוצר של פעולת מדינה, או גופי תקיפה רציניים - Advanced Persistent Threat או APT בקיצור.

קלינגר מסר להארץ כי "המדינה חייבת להבין שזירת הסייבר היא הזירה הבאה; אותם האקרים שהיום השתלטו על מחשב של אדם אחד יכולים באותה הקלות להשתלט על מערכות ותשתיות קריטיות כמו כיפת ברזל או המאגר הביומטרי, ובעוד שבועיים נמצא את עצמנו בוועדת חקירה בנושא. אם המדינה לא תתחיל להתייחס ברצינות לתשתיות הדיגיטליות שלה, אנו אולי ננצח במערכה, אבל במלחמה אנו נפסיד בסופו של דבר".

מגורמים בצה"ל נמסר להארץ כי הפריצה זוהתה, והנושא טופל.

במקביל דווח באתר operationpillarofclouds.com כי גוף הטוען להשתייכות לחמאס פרסם רשימות של כתבות אימייל וסיסמאות שלדבריהם שייכות לאזרחים ישראלים. ברשימה שבה יותר מ-15 אלף רשומות אולם לפי הניתוח של האתר "נראה על פניו כי המאגר נגנב מטופס מקוון בו הזינו המשתמשים את כתובת הדוא”ל וכן סיסמא כלשהי. כלומר הסיסמאות הללו הן ככל הנראה לא סיסמאות הגישה לאותם חשבונות מייל". באתר דווח עוד כי יותר מ-130 אתרים ישראלים נוספים הושחתו היום.

תגובות

הזינו שם שיוצג באתר
משלוח תגובה מהווה הסכמה לתנאי השימוש של אתר הארץ