בואו לגלות את עמוד הכתבה החדש שלנו
 

אתם מחוברים לאתר דרך IP ארגוני, להתחברות דרך המינוי האישי

טרם ביצעת אימות לכתובת הדוא"ל שלך. לאימות כתובת הדואל שלך  לחצו כאן

לקרוא ללא הגבלה, רק עם מינוי דיגיטלי בהארץ  

רשימת קריאה

רשימת הקריאה מאפשרת לך לשמור כתבות ולקרוא אותן במועד מאוחר יותר באתר,במובייל או באפליקציה.

לחיצה על כפתור "שמור", בתחילת הכתבה תוסיף את הכתבה לרשימת הקריאה שלך.
לחיצה על "הסר" תסיר את הכתבה מרשימת הקריאה.

חוקרים ישראלים: קשר חזק בין צפון קוריאה למתקפת הסייבר

החוקרים השוו את הקודים של תוכנת הכופר למאגר קוד עצום שנמצא בידיהם. לדבריהם, מצאו נקודות דמיון בין WannaCrypt, תוכנת הכופר שפגעה במאות אלפי מחשבים, לתוכנות שיוחסו לצפון קוריאה

11תגובות
מחשב שננעל על ידי תוכנת הכופר
בלומברג

חוקרי אבטחה העלו אמש (שני) את ההשערה כי האחראית ל-WannaCrypt, תוכנת הכופר שפגעה במאות אלפי מחשבים ביותר מ-150 מדינות ברחבי העולם, היא צפון קוריאה. רוב החוקרים עדיין ספקטים, אולם בסטארטאפ הישראלי Intezer הרבה יותר בטוחים בקשר החזק שבין WannaCrypt לצפון קוריאה.

"מצאנו קשרים חזקים מאוד בין תוכנת הכופר החדשה למספר משפחות פוגענים שמשויכים לצפון קוריאה", הסביר מנכ"ל החברה איתי טבת. "עשינו זאת על ידי השוואה אוטומטית של כל קטעי הקוד ("גנים") של הדגימות מתוכנת הכופר, למילארדים של גנים מווירוסים ומתוכנות לגיטימיות".

ההשוואה האוטומטית נעשית באמצעות Code Intelligence, פלטפורמה טכנולוגית שפיתחה החברה. לדברי טבת, מדובר במאגר מידע עצום של קוד - ניסיון למפות מאפיינים של תוכנות שונות - מה שהם מתייחסים אליו כסוג של גנום. המאגר מבצע השוואות בין דוגמיות קוד כדי לנסות לזהות את מקורן, ולסייע לפתור את אחת הבעיות הקשות ביותר בעולם הסייבר - ייחוס התוכנה.

בדו"ח שפרסמה החברה, פירטה כמה נקודות דמיון בין הקוד של WannaCrypt לתוכנות זדוניות שיוחסו לצפון קוריאה. אחת מהן, לכאורה, לא קשורה כלל לעולם הסייבר. זוהי גרסת תוכנה לפתיחת קבצים מכווצים, ששימשה את מפתחי תוכנת הכופר, והתגלתה רק במקרים בודדים נוספים - בהם ככל הנראה גרסה ישנה יותר של WannaCrypt. אותה גרסה הכילה קוד שהתגלה במשפחה של תוכנות זדוניות ששימשה לתקיפות נגד ארגונים בדרום קוריאה.

במקביל הצליחו חוקרי אבטחה ישראלים בחברת צ'קפוינט לבלום את התפשטות אחת הגרסאות החדשות של תוכנת הכופר WannaCrypt, באותה שיטה שבה נבלמה הגרסה שהחלה לפעול ביום שישי.

ניל מהטה, חוקר אבטחה בגוגל, פרסם אמש בטוויטר ציוץ ובו שתי סדרות לא ברורות של מספרים ואותיות. מתחתן כתב "WannaCrypt ייחוס". הסדרות הן בעצם אמצעי זיהוי ("האשים") של שתי תוכנות זדוניות - האחת היא הגרסה הראשונה של התוכנה שהופצה בפברואר השנה, עוד לפני שילוב הקוד של ה-NSA, והשנייה היא דוגמית מקוד ששימש את מי שמכונה קבוצת לזארוס, שאחראית על פי מחקרים לגניבה של 81 מיליון דולר מהבנק המרכזי של בנגלדש, כמו גם על התקיפה נגד אולפני סוני, בשל הסרט הלועג למנהיג צפון קוריאה קים ג'ונג און. על פי מחקרים שונים אותה קבוצה עבדה בשירות צפון קוריאה.

חוקרים נוספים החלו לבדוק את הנושא. בסדרת ציוצים נוספת כתב חוקר בשם מתיו סוויץ', כי יש דמיון גדול בין הקוד של שתי הקבוצות. בהשוואה של שתי דוגמיות קוד הוא כתב כי "אין כל ספק כי הפוקנציות הן 100% זהות".

עם זאת, יש לציין כי ברגע שקוד נחשף ופורסם במחקרים, קיימת אפשרות מאוד סבירה שקבוצות נוספות יעתיקו את הקוד וישתמשו בו לצרכיהן - בדיוק כפי שעשו מפתחי WannaCrypt עם הקוד של ה-NSA. חוקרים שונים שנשאלו על הממצאים של מהטה וסוויץ' מסרו ל"הארץ" כי קשה לדעת בוודאות.

מצ'קפוינט נמסר כי נכון לעכשיו אין מידע התומך בתאוריה או שולל אותה, והם ממשיכים לחקור כדי למצוא ראיות חד משמעיות. חברת קספרסקי שהתייחסה לנושא בפוסט שפרסמה בבלוג של החברה, כתבה כי יש צורך במחקר נוסף של גרסאות ישנות של Wannacry. "דבר אחד בטוח - הגילוי של ניל מהטה הוא הרמז המשמעותי ביותר עד כה בנוגע למקורות של Wannacry". 

עוד גרסה נבלמה, אחרות עדיין משתוללות

חוקרי צ'קפוינט הצליחו לבלום את התפשטותה של אחת הגרסאות החדשות של התוכנה הזדונית אחרי שהפיקו לקחים מהתוכנה שתקפה בסוף השבוע. חוקר אבטחה בריטי צעיר גילה במקרה כי כתובת אתר שהיתה כלולה בקוד היתה בעצם מתג הכיבוי לתוכנה. כאשר גילה ששם הדומיין ("מתחם") אינו ברשותו של איש. אחרי שרכש את כתובת האינטרנט התברר שזה כל מה שהיה דרוש כדי לגרום לתוכנה להפסיק להצפין קבצים.

החוקרים של צ'קפוינט גילו בקוד של אחת מהגרסאות החדשות של WannaCrypt מנגנון דומה, והם רכשו את שם האתר, וכך מנעו את המשך הצפנת הקבצים. ואולם, בתשובה לשאלת "הארץ" הסבירו בחברה כי כבר מתפשטות כמה גרסאות חדשות - חלקן ללא אותו "מתג כיבוי".



תגובות

דלג על התגובות

בשליחת תגובה זו הנני מצהיר שאני מסכים/מסכימה עם תנאי השימוש של אתר הארץ

סדר את התגובות

כתבות שאולי פספסתם

*#
בואו לגלות את עמוד הכתבה החדש שלנו