האקרים מאיראן טוענים: "פרצנו למחשבי התעשייה האווירית"
הקבוצה, Pay2Key, פרסמה מידע, שלטענתה נגנב ממחשבי חטיבת אלתא ● מהתעשייה האווירית נמסר כי "הנושא בבדיקה"
סייבר עלייך, ישראל: קבוצת האקרים איראנית הודיעה אמש (א') כי פרצה למחשבי התעשייה האווירית. היא פרסמה מידע, שלטענתה נגנב ממחשבי חטיבת אלתא. מהתעשייה האווירית נמסר כי "הנושא בבדיקה".
לא ברור מה היקף ועומק החדירה של ההאקרים לרשת של אלתא. כהוכחה לאמיתות הפריצה פרסמו ההאקרים שמות משתמש של עובדי תע"א. רמזים לפריצה החלו ביום ה' האחרון, אז פורסם כי המתקפה התמקדה במשרדי הממשלה, ביהם התחבורה והבריאות, כמו גם אלתא מערכות, חברה בת של התעשייה האווירית. לפני ימים אחדים הקבוצה הצליחה לפרוץ למחשבי הבאנה לאבס הישראלית, שנרכשה על ידי אינטל.
בחודש שעבר חשפה צ'ק פוינט כופרה חדשה מסוגה בשם Pay2Key, שמקורה באיראן ושתקפה מטרות בישראל. על פי החוקרים, מעבר לעובדה שמדובר בסוג חדש של כופרה – מהירה ושקטה במיוחד, בחינה אחר נתיב הכסף הובילה אותם להאקרים ממוצא איראני, שפועלים בזירת מסחר ביטקוין איראנית, המחייבת את משתמשיה להחזיק במספר טלפון איראני בתוקף ובתעודת זהות איראנית, עם תמונה לצורך הזדהות. החדירה לחברות בוצעה באמצעות מנגנון החיבור מרחוק של עובדים לרשת הארגונית – RDP. לדבריהם, "זן נוזקת כופר מתוחכם ומהיר. הכופרה מצפינה רשתות ארגוניות שלמות בתוך כשעה, כשההאקרים מאיימים להדליף מידע ארגוני רב ברשת האפלה אם דמי הכופר לא ישולמו". מבין לפחות תריסר חברות ישראליות שהותקפו, ארבעה קורבנות החליטו לשלם את דמי הכופר, מה שאפשר לחוקרים לעקוב אחר העברות הכספים בין ארנקי הביטקוין.
על פי חוקרי קלירסקיי הישראלית, את הכופרה מפעילה קבוצת התקיפה האיראנית FoxKitten, חתלתול-שועל. לדבריהם, "בחודשיים האחרונים בוצעו תקיפות סחיטה וכופרה מול עשרות חברות בישראל באמצעות קמפיין Pay2Key. התוקפים חדרו, שיבשו והצפינו מערכות מחשב, גנבו מידע, הדליפו מידע וניסו לסחוט חברות. חלקן של החברות שילמו מאות אלפי דולרים לקבוצה". דו"ח קודם של קלירסקיי, מפברואר השנה, חשף את התקיפות שבוצעו מול חברות ביטחוניות בישראל. "להערכתנו, מדובר באחת מקבוצות התקיפה הפעילות ביותר מול חברות בישראל", כתבו החוקרים, "מטרת הקמפיין אינה רק גניבת מידע, אלא גם שיבוש, סחיטה, גניבת כסף וייתכן שאף קמפיין תודעה איראני נגד ישראל". החוקרים עקבו אחר חתלתול-שועל יותר משנה וחצי, כשעיקר פעילותה היה בתחילה נגד חברות במגזר הביטחוני, ובמהלך השנה היא החלה הקבוצה לתקוף מגזרים נוספים רבים.
ניתוח המתקפות, כתבו, "מעלה שהקבוצה ניצלה חולשות באתרי החברות הישראליות כדי לחדור למערכות המחשב שלהן. קמפיין Pay2Key שונה באופיו, כיוון שעד לאחרונה האיראנים תקפו בעיקר לצורך ריגול ומודיעין, ואולם החל מאוגוסט הם פועלים גם במטרה למחוק ולשבש מערכות מחשב ולגנוב ולסחוט חברות". לדבריהם, "דרך הפעולה של הקבוצה שונה מפושעים המתמחים בתקיפות כופרה. במקרים מסוימים, למרות תשלום כופר, החברות הנסחטות לא קיבלו מפתחות לפתיחת ההצפנה. מטרתם העיקרית היא לגרום למבוכה, לבלבול ולנזק לחברות בישראל. כחלק מתהליך התקיפה, הקבוצה ביצעה איסוף מודיעיני ראשוני על החברות שאותן תקפה, כולל בדיקת חולשות באתרי החברה או ניצול הרשאות שהודלפו. לעיתים המתינו התוקפים בסבלנות להזדמנות מתאימה והדליפו מידע מהחברות במשך שבועות וחודשים עד שפעלו להצפנה ולסחיטת החברה שאליה חדרו". חוקרי קלירסקיי זיהו כמה מאפיינים חוזרים בטכניקת התקיפה של הקבוצה שיכולים לשמש כתמרור אזהרה לזיהוי תקיפות עתידיות: שימוש בחולשות במערכי המחשוב המקוון של חברות; שימוש בהדלפות מהדארקנט של הרשאות כניסה לחברות ישראליות; שימוש בכלים מבוססי קוד פתוח וכלים מפיתוחים יעודיים של קבוצת התקיפה.
לדברי עינת מירון, יועצת מומחית לחוסן בסייבר, "עד היום, הקבוצה עמדה בהבטחות שלה ואין לזלזל ביכולותיה. עם זאת, לא כל חדירה לארגון משמעה גישה לקוד המקור ולמידע מסווג ורגיש. בגופים ביטחוניים ישנה הפרדת רשתות מובהקת. מי שפועל ברשת מסווגת סגורה לאינטרנט לא יכול במקביל לעבודתו לגלוש ברשת. גישה מוגבלת, הרשאות שמנוהלות בקפידה, הזדהות שמחייבת יותר מסיסמה – אלה מעט המהלכים שנעשים כדי להבטיח גישה מורשית ושמירה על ביטחון המידע".
לא להכנע לטרור! לא לשלם לפורצים! תעשו גיבויים ובמקרה הצורך תפרמטו את המערכת.