"גידול בכמות מתקפות הסייבר על יעדים ישראליים"

כך אמר עידו נאור, חוקר בכיר בצוות מחקר האיומים הגלובלי של קספרסקי ● לדבריו, "על פי כמה מחקרים שערכנו השנה, הזירה של המזרח התיכון אגרסיבית ואקטיבית מאוד בהיבט הסייבר"

עידו נאור, המנכ"ל והבעלים של סקיוריטי ג'וז. צילום: ניב קנטור

"זיהינו ומנענו ברבעון האחרון יותר מ-6.5 מיליון התקפות על מטרות ישראליות. בין ההתקפות הללו נמנעו כמעט 3,000 התקפות כופר, וכן זיהינו ואפיינו כ-55 אלף תחנות קצה אשר מפעילות תהליכים זדוניים באופן קבוע", כך אמר עידו נאור, חוקר בכיר בצוות מחקר האיומים הגלובלי של קספרסקי (Kaspersky Lab).

נאור דיבר בכנס שערכה NewAge, הנושא את הכותרת The New Age for Cyber Security. הכנס, בהפקת אנשים ומחשבים, נערך אתמול (ד') באולם yes Planet בראשון לציון, בהשתתפות לקוחות החברה ושותפיה העסקיים – בו היא ציינה 13 שנים להקמתה.

לדברי נאור, "מתקפות הסייבר על ישראל מתגברות כל העת ובמקביל, מתחזקת רמת התחכום של התוקפים. לדבריו, על פי כמה מחקרים שערכנו השנה, הזירה של המזרח התיכון ובתוכו – ישראל, אגרסיבית ואקטיבית מאוד בהיבט הסייבר".

נאור חילק את סוגי האיומים לשלושה: גניבת מידע בנקאי דרך המובייל, תוכנות כופר והתקפות ממוקדות על יעדים ישראליים. בתחום המובייל, אמר, "אנחנו מזהים מעבר חד של התוקפים. המעבר החד האחרון שזיהינו היה בעקבות פיתוח האפליקציה Pokémon GO. עם פיתוח האפליקציה, עלו לחנויות המקוונות כמה אפליקציות זדוניות". אחת מהן, ציין, אף הצליחה לצבור יותר מחצי מיליון הורדות.

להבין כיצד התבצעה ההשתלטות

המשחק, אמר נאור, "התקבל בחיבה רבה על ידי משתמשים מכל רחבי העולם ולכן הפך לקרקע פוריה עבור תוקפים פוטנציאליים. כך, חשפנו נוזקה בשם Tordow, אשר בין השאר, מתחזה גם לאפליקציית Pokémon GO, כאשר קוד זדוני מוטמע בתוך האפליקציה. השימוש העיקרי הינו למטרת גניבת פרטי בנק מזיכרון המטמון של אפליקציית הדפדפן".

בתחום תוכנות הכופר, אמר, "חשפנו במחקר אחר שרת ישראלי שאירח, שלא ביודעין, תעבורה של כופרות. התוכנה עצמה הייתה כתובה כולה בשפת התכנות Python, שזו מגמה חדשה בתחום תוכנות הכופר. הצלחנו לאחזר את קוד המקור של הנוזקה ולהבין להיכן המידע נשלח, וכיצד הוא 'נארז'. לאחר איסוף המידע, חוקרי החברה חקרו את השרת הישראלי והצליחו להבין כיצד התבצעה ההשתלטות".

בנוסף לכך, ציין, "נראה כי השרת שימש כפלטפורמה להתקפות נוספות. חוקרי החברה דיווחו לרשויות, ואלו עבדו על מנת לנקות את השרת ולמגר את ההתקפה. כופרה זו מצטרפת לתוכנות כופר נוספות שנכתבו בשפת Python". הוא הזכיר בהקשר לכופרה את מיזם NoMoreRansom, שיתוף פעולה בין חברות אבטחת מידע ומשטרות בעולם, אליו כבר הצטרפו גופי אכיפת חוק מ-13 מדינות.

מאמצים לטשטוש העקבות

בתחום ההתקפות הממוקדות, אמר נאור, "זיהינו התקפה ממוקדת על יעדים ישראליים, במסגרתה התוקפים התחזו לבעלי מוצא איראני. המחקר עודנו מתנהל ורוב המידע נמצא בשלב פיענוח, אך נראה כי מדובר במגמה של שיוך מזויף (False flags), שמטרתו להטעות את חברות האבטחה.

התוקפים השקיעו את מרצם על מנת לייצר מצג שווא, שבשלב ההתקפה הראשוני, הדומיינים וכתובות ה-IP – יצביעו על תוקף אחר, לכאורה. ניתוח  הנוזקות ותהליך ההתפשטות שלהן ברשת הארגונית הצביע כי הרבה מהמאפיינים של הקבוצה לא נכחו בממצאים".

"בין אם בזירה הארצית או זו העולמית, סיכם נאור, "התוקפים משקיעים זמן רב על מנת להשמיש טכנולוגיות חדשות, לעקוב אחר מגמות ותנועות שוק גדולות. במקביל, הם עושים מאמצים לטשטש את עקבותיהם, או לייצר אלמנט פיתוי עבור חוקרי אבטחה – דבר שיגרום לניתוח ולהסקת מסקנות לא נכונות, בשל טיפול בממצאים שגויים".

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים