מי עמד מאחורי מתקפת הסייבר על בתי החולים בארץ? - פלסטיני
מאת:
מערכת Telecom News, 4.7.17, 13:59
מספר ימים לאחר המתקפה בה נפגעו עשרות מחשבים ב-2 בתי חולים בישראל, נאספים פרטים השופכים אור על מי עומד מאחורי המתקפה. בניגוד למידע, שסופק בתחילה, שהפוגען בו נדבקו המחשבים הוא מסוג SGX הגונב תעודות RSA, תוצאות הניתוח מעידות על הדבקה בכלי ריגול לגניבת מידע.
בהמשך
להודעה של רשות הסייבר הלאומית בשבוע שעבר, על מתקפת סייבר על בתי חולים בישראל בה נפגעו עשרות מחשבים ב-2 בתי חולים מרכזיים בארץ. במעבדות חברת האבטחה
ESET ניתחו דגימות מהמתקפה וכעת נחשפים פרטים חדשים.
אומנם, 2 בתי חולים בישראל נפגעו מהמתקפה, אך מממצאי המחקר אין אינדיקציה על כך, שהמתקפה הייתה ממוקדת דווקא למערכות של בתי חולים וייתכן וגופים נוספים נפגעו ממנה.
בניגוד למידע, שסופק בתחילה, שהפוגען בו נדבקו המחשבים הוא מסוג
SGX הגונב תעודות
RSA, תוצאות הניתוח מעידות על הדבקה בכלי ריגול לגניבת מידע, המזוהה ע"י
ESET בתור
HoudRat.
ביכולתו של כלי הריגול הזה לתעד צילומי מסך, הקלדות במחשב, לגנוב סיסמאות מהדפדפן ואף לאתר שימוש בשירותים פיננסיים כמו פרטי חשבונות בנק,
PayPal,
eBay.
יש כמה רמזים בולטים למי עומד מאחורי הנוזקה שפגעה בבתי החולים. ראשית, הפרטים שנגנבים נשלחים לדומיין
Palestineop.com. לרוב כאשר מתבצעות מתקפות המכוונות למוסדות ישראלים ומשתמשות בדומיינים עם הביטוי "פלסטין", מי שעומדות מאחורי המתקפה הן קבוצות כמו אנונימוס או חמאס.
בקוד הנוזקה ניתן למצוא את הכיתוב הבא:
rad12345 user@dev-point.com from Palestine"". כיתוב זה הוא בעצם שם משתמש, ששייך לכתובת
dev-point.com, אתר של חברה מדובאי עם פורום בערבית עבור מפתחים, שם קיימים גם הסברים על שימוש בקוד עבור פריצה ויצירת נוזקות.
הפורום של dev-point.com:
על פי חוקרי
ESET המשתמש
rad12345 מעיד על עצמו, שהוא פלסטיני, הוא חבר פעיל בפורום הערבי ומשתף בו סקריפטים זדוניים ונוזקות. נראה, שהוא גם הכותב המקורי של הנוזקה
,HoudRat שלא השתנתה הרבה מאז שזוהתה לראשונה ע"י
ESET ביולי 2016.
עדיין לא ידוע כיצד האיום חדר לרשתות של בתי החולים אבל ניתן לומר, שקיימות אצלו תוכנות של תולעת המאפשרות לו להתפשט ברשת באמצעות התקני
USB ניידים.
אמיר כרמי, מנהל הטכנולוגיות של
ESET בישראל: "
HoudRat הוא בהחלט לא כלי חדש או מתוחכם מידי, והוא פועל בצורה די פשוטה, אפילו שהוא מוסווה כדי לחמוק מזיהוי של אנטי וירוסים. עפ"י הזיהויים שלנו במהלך השנה, שהוא קיים, הוא מזוהה בעיקר בדרום אמריקה, ולא היו כמעט זיהויים בישראל, מה שיכול להצביע על כ,ך שמדובר בכלי הנמצא זמן רב בשימוש להתקפות פיננסיות, והוא הוסב להתקפה בישראל כדי להראות הישג בפרסום פרטים של עובדי מדינה. יכול גם להיות, שהוא פגע בבתי החולים במקרה, אבל בהתחשב באופי הכותב של הנוזקה והכתובת, שאליה היא ניגשת, אפשר להעריך, שמדובר אכן בהתקפה ממוקדת".