"לכבוד" 11 בספטמבר: מתקפת סוסים טרויאניים גדולה על ישראל

סוסים טרויאניים תוקפים בשעות האחרונות מאות מחשבים בישראל, בכלל זה של תשתיות קריטיות וגופים חשובים במגזרי הבנקאות, הממשלה והתעשיות הביטחוניות. מקור המתקפה הוא בטוניסיה והיא נערכת היום (ה'), 11 בספטמבר – התאריך בו בוצעה לפני 13 שנים המתקפה על מגדלי התאומים בניו-יורק.

המתקפה נחשפה על ידי חברת הסייבר Cybertinel. החשד עלה לאחר שבימים האחרונים העבירו כמה מלקוחות החברה במגזרים אלה העבירו אי-מיילים חשודים לבדיקה. ההודעה, שנשלחה ימים אחדים לאחר חשיפת דליפת תמונות עירום של סלבריטאיות ל-iCloud, הזמינה את המשתמש להוריד את התמונות לפני שיוסרו מהרשת. כשהמשתמש מנסה לעשות זאת, נפתח לו קובץ ZIP ששתל את הסוס הטרויאני במחשב. לאחר ההתקנה, הסוס הטרויאני יוצר קשר עם אתרי התוקפים בטוניסיה וממתין לפקודות מהם.

מניתוח הודעת האי-מייל הנגועה עולה שהיא נשלחה כביכול מכתובת בישראל ונערכה בעברית על ידי תוכנה לתרגום אוטומטי. הסוס הטרויאני עצמו הוא תכנה גנרית שניתנת לרכישה, אך הוא מכיל הגנה פנימית מפני ניתוח סטטי על ידי מערבל קוד בשם YANO. הקובץ מאוחסן בשרת הולנדי וכאמור, כאשר הוא מותקן בהצלחה במחשב, הוא יוצר קשר עם מפעיליו. יצוין כי הקובץ יודע לעקוף תוכנות Firewall ושורד Boot של המחשב.

המתקפה עצמה היא פרי יוזמה של ארגון OPisrael, שחברים בו האקרים מרחבי העולם שפועלים כנגד מטרות בישראל וביצעו מתקפות רחבות היקף בעבר.

מ-Cybertinel נמסר כי היא החלה הלילה בשעה 03:25. אחרי תהליך קצר של העברת מפתחות בין הנתקף לתוקף, האחרון מושך קבצים מתיקיית "המסמכים שלי" של המחשב המודבק, כולל סיסמאות משתמשים, פירוט מלא של כל התוכנות המותקנות במחשב המותקף ומידע על הרשתות. לאחר כשעה התוקף הוריד קובץ נוסף למחשב הנגוע ושמר אותו ב-Registry בפורמט HEX, על מנת להימנע מזיהויו על ידי תוכנות אנטי וירוס.

הקבצים שהתגלו נמצאים עדיין בניתוח במעבדת Cybertinel, במטרה לפענח את כל מרכיביהם, אופן פעולתם, הנזק שהם אמורים לחולל והדרכים למנוע אותו. מהחברה נמסר כי היא חשפה כבר אתמול את החתימה של הסוס הטרויאני והעבירה אותה ליצרני תוכנות האנטי וירוס המובילות בעולם, כדי שיעדכנו את ההגנות שלהן. אנשי Cybertinel מסרו שמשתמשים שברשותם תוכנת הגנה שסרקה את המחשב לאחר שקיבלה היום את העדכון האחרון יכולים להיות בטוחים, אך משתמשים רבים אינם מתעדכנים או סורקים את המחשב באופן יומיומי ולכן הם חשופים להתקפה. בחברה ממליצים למשתמשים שטרם עשו זאת להוריד את העדכון האחרון של תוכנת ההגנה שברשותם ולסרוק את המחשב.