צחי זורנשטיין, אנליסט לתחום איומי סייבר בסימנטק: כך נחשפה הנוזקה Dragonfly

"כל מנהל אבטחת מידע נדרש להבדיל בין אירוע אבטחת מידע למתקפת סייבר, שכן ההיערכות לשני האירועים שונה לחלוטין", כך אמר צחי זורנשטיין, אנליסט לתחום איומי סייבר בסימנטק (Symantec) ישראל.

זורנשטיין דיבר במסגרת ביקור שערכו פורום המנכ"לים והמנמ"רים C3 ופורום מנהלי אבטחת המידע CISO, שניהם מבית אנשים ומחשבים, בסניף הישראלי של ענקית אבטחת המידע, שנמצא בבני ברק. הביקור נערך אתמול (ב') בהנחיית פלי הנמר, יזם ומנהיג אנשים ומחשבים. פתחה את המפגש גילי נצר, מנהלת שיווק אזורית בסימנטק לישראל, רוסיה ושאר מדינות ברית המועצות לשעבר, קפריסין ומלטה.

לדברי זורנשטיין, "אני חלק מצוות שתפקידו לזהות מי התוקף, מה יכולותיו, מתי יחלו המתקפות, מה מטרת התקיפה – לגנוב מידע או להשמיד, ואיפה והאם אני הוא המטרה".

הוא תיאר ניתוח של מתקפה ייעודית שנעשתה עם הנוזקה Dragonfly. "התחלנו לראות ב-2013 נוזקה ייחודית, שלא התאימה לפרופיל של נוזקות שהכרנו", אמר. "ראינו שהמתקפות החלו על ידי קבוצת התקיפה שהייתה פעילה כבר קודם. הבחנו כי ההאקרים פועלים נגד חברות בתחום האנרגיה, במטרה לגנוב מידע ולשבש".

על פי זורנשטיין, "ראינו לפי מועדי כתיבת השעות כי זה קמפיין תקיפה רוסי. בתחילה הם פעלו בשקט, ושלחו מיילים לאנשים חשובים. הם תקפו באופן תקיפה המאפיין את ההאקרים הסינים, של תקיפה מקדימה של האתרים בהם עובדי הארגון מבקרים בהם. למשל, אם אתה רוצה לתקוף את צה"ל, לך לאתר 'חבר'".

"ההאקרים הלכו לחברות SCADA (ר"ת Supervisory Control And Data Acquisition – מערכות מחשב המשמשות לצורך פיקוח, שליטה ואיסוף נתונים בתעשייה, י.ה.). כשהמשתמשים מהחברות הללו הורידו תוכנות, הן היו אמיתיות אבל מורעלות. הם הרעילו שלוש חברות SCADA ואז חשפנו את פעילות ההאקרים", אמר. "היינו חייבים לעשות זאת. מדובר בחברות תשתית ולנוזקה הייתה יכולת לחדור לרשתות של חברות אלה ולשבש מידע".

הוא סיכם באמרו כי "החשיפה הזו הייתה הגדולה ביותר של נוזקות לתחום חברות תשתית מאז סטוקסנט (Stuxnet). כרגע, הפעילות של ההאקרים עם הנוזקה רדומה. כמובן שיש בעיה עם החשיפה, כי אז ההאקרים יודעים שעלינו עליהם ושאנחנו עוקבים אחר פעילותם".