לקראת OPIsrael 2017: מרכז IL-CERT פותח חמ"ל סייבר לתגובה בזמן אמת
מאת:
מערכת Telecom News, 4.4.17, 17:14
IL-CERT, המרכז לתיאום אירועי אבטחת מידע, פותח ב-7.4.17 מרכז מבצעים מיוחד לרגל מתקפת הסייבר OPIsrael על ישראל.
כל העדכונים על הפריצות ביום המתקפה 7.4.17 בתחתית הכתבה.
המרכז לתיאום אירועי אבטחת מידע (מתא"מ) הוא מרכז מקצועי, אזרחי, בלתי תלוי וללא מטרת רווח, שמרכז, מתאם ומטפל באיומי סייבר על רשתות ומשתמשים בישראל. המרכז אמון על תיאום בין גורמים שונים לצורך התמודדות ותגובה לאירועי אבטחה, על פעילות פרו-אקטיבית בנושא ועל שיתוף מידע והסברה לציבור בנושאי אבטחת מידע ופרטיות. המתא"מ ההתנדבותי נוסד כדי לספק בדיקה מקצועית מעמיקה של מתקפות ואירועי אבטחה אחרים (להבדיל מבדיקה, שמבצעות רשויות אכיפה או סיקור עיתונאי) ומתן מסקנות והמלצות איכותיות לקהל הרחב.
מרכז החירום האזרחי של
IL-CERT ייפתח ביום ו' הקרוב במשרדי
סימטריה בתל אביב, לקראת "המתקפה השנתית" של אנונימוס על ישראל, הפעם בשם חדש:
OPISRAHELL.
המרכז מורכב ממומחי האבטחה הבכירים ביותר במגזר הפרטי בישראל. עשרות מומחים – האקרים, חוקרי מתקפות סייבר, מנהלי אבטחה, אנשי אקדמיה ומנכ"לי חברות, מתכנסים מדי שנה לקראת המבצע, כדי לנטר מתקפות רשת ולספק מענה לחברות ומשתמשים, שנפגעו מהן.
מומחי
IL-CERT סבורים, שניתן להתמודד בהצלחה עם האיום, לתקן נזקים ולהימנע מהם כליל. להערכתם, התוקפים לא יצליחו להפיל אתרים חיוניים, או להשפיע על שגרת החיים בארץ. את פעילות המרכז מלווים דרך פייסבוק אלפי מתנדבים מרחבי הארץ, שמספקים מידע והתראות על תקיפות. ניתן לדווח ל-
report@il-cert.org.il
ראוי להזכיר, שבשנים הקודמות לא נגרם נזק משמעותי, והפגיעות ביעדים היו שוליות.
הצד החיובי של המתקפה: היא מספקת שירות חינם של בדיקות חדירה,שלמעשה, משפרות את רף ההגנה של אתרים קטנים, שאין באפשרותם לשלם בקביעות לחברות אבטחה לעשות בדיקה זו עבורם...
הערת מערכת: מדובר בשירות נוסף (יש עוד 2 כאלה), שמתחרה במוקד הסייבר של איגוד האינטרנט הישראלי, שהוקם ללא אישור חבריו ובכספי בעלי הדומיינים בישראל (ראה פירוט
כאן,
כאן,
כאן ו
כאן אודות שפיכת כספי בעלי הדומיינים על "משימות סרק" דוגמת מרכז הסייבר של איגוד האינטרנט הישראל).
עדכון 7.4.17, 11:00: דיווחים על הפריצות לאתרים ישראלים ותוצאות בדיקתם מטעםIL-CERT -
כאן. (נכון לשעה 10:32 -
אין שום דבר משמעותי):
10:32 - הותקף אתר טיולים המקושר לוועד של אחד הבנקים, חולשת Reflected XSS
עדכון 7.4.17, 11:49: מחמ"ל ה סייבר של
חברת רדוור לאבטחת רשתות ואפליקציות נמסר, שעד שעה 10:54,
מתקפת ההאקרים השנתית המתוכננת לא מראה כל סמני התרוממות. נראה' שכמות המשתתפים נמוכה ביחס לשנים קודמות, ובהתאם הישגיהם כמעט ואינם מורגשים וכוללים ניסיון לא מוצלח להפיל אתר של אחד ממשרדי הממשלה והשחתה של מספר מצומצם של אתרים של עסקים קטנים. ההאקרים משתמשים בעיקר בתוכנות ישנות ומוכרות, שקיימות להן הגנות חסינות. בנוסף, גם בערוצי התקשורת והרשתות החברתיות בהן הם פועלים ונוהגים לספר על הצלחותיהם אין תיעוד של סיפורים כאלה, נכון לשעה זו.
עדכון 7.4..17, 13:49: עדכון עפ"י IL-CERT:
12:40 - אתר אחסון גדול, שמחזיק כמות גדולה של אתרי וורדפרס פגיעים, נפרץ וכל האתרים בו הושחתו.
12:03 - בינתיים רואים בעיקר defacements ו-SQL Injections
כך נראה אתר שהושחת:
עדכון 7.4.17, 15:10: עדכון של IL-CERT: חזרה לשגרה.
עדכון 7.4.17, 17:10: מ-
MadSec Security נמסר
לפני כשעה, שחברת
Data Plus הישראלית, שמפתחת מערכות ניהול לענף הפרסום, נפרצה במסגרת מתקפות
OpIsrael 2017. ע"י קבוצת ההאקרים פרו-פלסטינאים
LaResistance . דקות אחדות לאחר הדליפה התקבלה התראה במערכת
INSECT של
Madsec Security אודות 180 מסדי נתונים המכילים מידע אודות לקוחות החברה. המידע שהודלף מכיל את שם הלקוח, שמות העובדים, דוא"ל, מספרי טלפון, כתובות, שיטות תשלום וסיסמאות המשמשות כניסה למערכות הניהול של הלקוחות
.
בנוסף, גם האיגוד הישראלי לתעשיות מתקדמות
(IATI)נפרץ
לפני כשעה במסגרת
OpIsrael 2017 והודלפו לרשת פרטים מלאים הכוללים סיסמאות של עובדי החברה
. באיגוד חברים כ-700 גופים ישראלים ובינלאומיים
. דקות לאחר ההדלפה התקבלה התראה במערכת ה
-INSECT של
Madsec Security אודות כ-37 טבלאות, שהודלפו המכילות שם מלא, כתובות דוא"ל ארגונית, סיסמאות ומספרי טלפון
.
האתר
Torec.net נפרץ גם הוא
לפני כשעה ואיתו מידע על מאות אלפי משתמשים רשומים. הפריצה זוהתה ע"י המערכת של
Madsec Security . לטענת קבוצת ההאקרים
,"LaResistance" קבצי המידע מכילים פרטים אודות משתמשי האתר ויפורסמו בהמשך.
(יש לציין, ש
מוקדם יותר לקראת הצהרים, הודיעה חברת האבטחה מדסק, שנפרצה גם Pigment Advertisding
לפרסום וניהול קמפיינים מקוונים עבור ארגונים גדולים בארץ. הדלפה זו מכילה אלפי רשומות מידע על אזרחים, שהזינו את פרטיהם לטובת קמפיינים שונים ופרסומות באינטרנט מהחברות השונות. הפרטים שנמצאו: שם מלא, כתובת מגורים, מספר טלפון, כתובת דוא"ל פרטית / ארגונית, תפקיד החברה, כתובות IP, שם משתמש, סיסמאות ומידע אישי נוסף).
עדכון 7.4.17, 19:41: גם פורטל האנדרואיד הישראלי iAndroid נפרץ, אך עלה די מהר בחזרה.
עדכון 8.4.17, 01:30:
האם יתכן שחוסר ההצלחה של ההתקפה על ישראל נבע משיתוק מחשבים של האקרים, שתמכו במתקפה, ע"י החדרת נווזקות במעוד מועד למחשבים שלהם, במבצע הטעיה מתוכנן היטב
? כתבה: OPISRAEL HACKTIVISTS TARGETED BY UNKNOWN THREAT ACTOR -
כאן.
ציטוט מתוך הכתבה הנ"ל
משבוע שעבר מאתר Digitalshadows:
Evidence have been identified indicative of a malware distribution campaign apparently intended to deploy remote access trojans (RAT) onto the machines of hacktivist actors engaged in supporting the 2017 iteration of OpIsrael
A Twitter account has been identified sharing links to what were claimed to be two denial of service (DoS) tools –one for Windows and one for Android devices. The tweets encouraged users to download these tools in order to participate in OpIsrael and featured multiple hashtags used by this campaign, as well as Anonymous collective imagery
The purported Windows DoS tool was highly likely a version of the well-known Dark Comet RAT. Similarly, the claimed Android DoS tool was highly likely an Android RAT
While it is possible that this distribution campaign was the work of an opportunistic criminal actor, it could be part of an attempt by pro-Israeli actors to compromise the machines of OpIsrael participants
It is suggested, that the actors responsible for these tweets have sought to use Anonymous collective imagery and hashtags to socially engineer supporters of OpIsrael to compromise their machines
בכל מקרה, התיאור הנ"ל של אתר Digitalshadows של ההונאה, שבוצעה בשבוע החולף, יכול, למעשה, להיות אחד מההסברים לתוצאות השוליות של המתקפה השנתית על ישראל לשנת 2017.
עדכון 8.4.17, 23:59: עפ"י חברת האבטחה רדוור, מתקפת ההאקרים השנתית בישראל שוב עברה יחסית בשלום מבלי לגרום נזק משמעותי כמו שיתוק תשתיות או מסחר וללא הפלת אתרי ממשלה, חדשות ותקשורת. בעוד שבבוקר המתקפה נראתה מהוססת , לקראת אחה"צ החלו ההאקרים להפיץ רשימות של אתרים, שהצליחו להפיל. חמ״ל הסייבר של החברה בדק ומצא, שראשית אלו כתובות של אתרים, שאינם קיימים למשל www.parlament.gov.il ושנית זו רשימה, שהופצה גם במתקפות קודמות. רק בשעות הערב המאוחרות הצליחו ההאקרים לפרוץ לכ-1000 ראוטרים ולהשחית כמה עשרות אתרים, בהם השתילו חומרי תעמולה אנטי-ישראלית.