נחשפה מתקפת סייבר עולמית שפגעה גם בשגרירויות זרות בישראל

לפי חברת אבטחת מידע, מבצע הריגול המקוון "אוקטובר האדום" נמשך 6 שנים וכולל איסוף מידע מסווג מגופים דיפלומטיים

עודד ירון
שתפו כתבה במיילשתפו כתבה במייל
שתפו כתבה במיילשתפו כתבה במייל
מעבר לטוקבקים
עודד ירון

חברת אבטחת המידע קספרסקי הודיעה היום (שני) כי חשפה מבצע ריגול מקוון המתרחש זה כשש שנים ומכוון נגד מדינות באירופה, באסיה ובארצות הברית, וכן נגד שגרירויות זרות בישראל. בחברה ציינו כי המבצע, "אוקטובר האדום", מתמקד בארגונים דיפלומטיים, בגופים ממשלתיים ובגופי מחקר מדעי.

מרבית הפריצות (כ-35) התגלו ברוסיה, ואחריה קזחסטאן עם 21 מקרי פריצה שהתגלו וכן אזרבייג'אן ובלגיה עם 15 מקרים כל אחת. הפעילות התמקדה אמנם במדינות במזרח אירופה, ברפובליקות חבר העמים לשעבר ובמדינות במרכז אסיה, אולם גם ארגונים במערב אירופה ובצפון אמריקה היו מטרה למפעיליו. ברשימה שהציגה קספרסקי ישראל לא מוזכרת, אבל על פי מפת החברה בפוסט שפרסמה, הווירוס פגע גם בגורמים דיפלומטיים בארץ. רואל שוונברג, חוקר בכיר במעבדות קספרסקי, מסר ל"הארץ" כי התקיפה בישראל לא בוצעה נגד מטרות ישראליות אלא נגד שגרירויות זרות בארץ.

התוקפים התמקדו באיסוף מסמכים ונתונים מסווגים מסוכנויות דיפלומטיות וממשלתיות. בין היתר השיגו הרשאות גישה למערכות מסווגות וגנבו מידע מטלפונים סלולריים ומדיה ניידת כמו כונני USB וציוד תקשורת. במידע שנגנב הם השתמשו כדי לחדור למערכות נוספות. המבצעים הסתתרו מאחורי 60 דומיינים שונים, והשתמשו בשרשרת של שרתים שנועדו להסתיר את השרת המרכזי.

מפת היעדים בהם פגעו מבצעי "אוקטובר האדום"

אביב ראף, חוקר אבטחה בחברת סקיורלט הישראלית,סיפר להארץ כי התוקפים ביצעו טעות בהגדרות השרתים, ודבר זה סיפק להם הצצה בקוד צד השרת של ההתקפה ולהבין טוב יותר כיצד היא בוצעה. "למשל, ניתן היה לראות שהתוקפים הוסיפו לכל קובץ וירוס טביעת אצבע ייחודית לכל קורבן, דבר שמאפשר להם לזהות בצורה מדויקת עם איזה קורבן הם מתקשרים".

התוקפים השתמשו במה שמכונה Spear Phishing בדואר האלקטרוני - תקיפות ממוקדות שכוונו כלפי אנשים העובדים בארגונים שהיו על הכוונת שלהם. הדואר האלקטרוני ששלחו כלל קבצים שהכילו "סוס טרויאני", שמנצל פרצות בחבילת אופיס של מיקרוסופט. בקספרסקי אמרו כי התוכנות שנועדו לנצל את הפרצות נוצרו ככל הנראה בידי האקרים סינים. הן שימשו בין היתר גם במתקפות מקוונות אחרות, כולל כאלה שבוצעו בידי פעילים טיבטים.

ראף סיפר להארץ כי התקופים גם ניצלו בעיית אבטחה ב-Java, והתקינו את הוירוס בצורה אוטומטית ברגע שהקורבן לחץ על קישור המצורף למייל.

קספרסקי הוסיפה כי אין ראיות הקושרות בין המבצע לגורם לאומי כלשהו, אולם נראה כי יוזמי המבצע הם דוברי רוסית. מלבד זאת, אין כל קשר בינן לבין משפחת הווירוסים אליה משתייכים גאוס וסטוקסנט, ששימשו לתקיפת סייבר באיראן, על פי דיווחים שונים, בידי ארצות הברית וישראל. 

קספרסקי הוסיפה כי בדומה ל -Flame ווירוסי ריגול גדולים שהתגלו בשנים האחרונות, גם Rocra הכילה כמה וכמה "מודולים"- כלים שונים שנועדו לביצוע שורת פעולות ריגול ופעולות אחרות שנועדו להתאים את התוכנה למחשבים שונים.

לדברי החברה, היא מצאה יותר מ-1,000 מודולים שונים, שהראשונים שבהם נוצרו ב-2007 והאחרונים ב-2013. בין היתר היא הכילה מודול שסייע לה להתמודד עם מערכות הצפנה מתקדמות ובהן Acid Cryptofiler , המשמש להגנה על נתונים בגופים הקשורים לאיחוד האירופי ולנאט"ו.

הווירוס כלל גם אפשרות להפעיל את עצמו מחדש אם יתגלה וינוטרל על ידי תוכנת אנטי וירוס מקומית. זאת באמצעות שליחת מסמך PDF הכולל קוד שיפעיל אותו. השליטה בווירוסים נעשתה באמצעות שרתים במדינות שונות, רובם ברוסיה ובגרמניה. 

תגובות

הזינו שם שיוצג באתר
משלוח תגובה מהווה הסכמה לתנאי השימוש של אתר הארץ