תוקפי הסייבר העוקבים אחר תנועות צה"ל באמצעות החדרת כלי ריגול לסמארטפונים של חיילים - עדיין פעילים
 מאת: מערכת Telecom News, 16.2.17, 21:14
 
החיילים נפלו קורבן לכלי ריגול הממוקדים במכשירי אנדרואיד, כשהם חושפים את מיקום היחידה שלהם ומידע רגיש נוסף, כגון כלים וציוד צבאי. על המחקר חתומה גם יחידת המחקר C4I של חיל התיקשוב. כעת פורסמו הפרטים הטכניים.
 
עפ"י פרסום כאן מטעם מעבדת קספרסקי, החברה סיפקה סיוע לחקירה של צה"ל לגבי התקפות סייבר, שמוקדו בחיילי הצבא. נכון להיום אותרו כ-100 חיילי צה"ל בכל הדרגות, שרבים מהם מוצבים באזורים רגישים כגון סביב רצועת עזה, שנפלו קורבן לכלי ריגול הממוקדים במכשירי אנדרואיד, כשהם חושפים את מיקום היחידה שלהם וכן מידע רגיש נוסף, כגון כלים וציוד צבאי.
 
עפ"י המחקר, עליו חתומה גם יחידת המחקר C4I של חיל התיקשוב, כלי הריגול הופץ באמצעות שימוש בהנדסה חברתית, בערוצים כגון אפליקציית המסרים של פייסבוק, כשהוא מסוגל להפעיל את המצלמה, לאסוף נתוני מיקום, לשלוח ולקרוא SMS או לבצע האזנה.

כאמור, בחיל התיקשוב החליטו לפרסם כעת את הפרטים הטכניים מאחורי המבצע החשאי, שהחל ביולי אשתקד, שלכאורה נטען, שבוצע ע"י החמאס. אנשי היחידה, ביחד עם עידו נאור, חוקר בכיר בצוות ה-GReAT של קספרסקי, פרסמו במשותף את הפרטים. ביניהם ניתן למצוא:

כיצד הגיעו חיילי היחידה למידע אודות ההתקפה,
כיצד בוצעה ההשתלטות על הסמארטפונים צעד אחר צעד,
פרטים על שרתי התקיפה ועל היכולות העתידיות שלהם, 
ובנוסף, מוכיח המחקר את ההנחה, שמדובר בתחילתו של מבצע גדול יותר. 
עוד עולה מהמחקר, שהיכולות שהציגו התוקפים ה חלשות בהשוואה למתקפות סייבר המתקיימות בזירות אחרות, אך אין לזלזל בתעוזה שיש בהתקפה מהסוג הזה.
 
חוקרי מעבדת קספרסקי סייעו לנתח את ההתקפות, כולל הכלים והטכניקות שהופעלו. עדויות מצביעות על כך, שמדובר במתקפה ממוקדת, שעדיין נמצאת בשלביה המוקדמים, ושנועדה להשיג נתונים אודות תנועה ופיזור כוחות הקרקע של צה"ל ואודות טקטיקה וציוד של הצבא.
 
רוב החיילים התפתו לשתף ללחוץ על קישורים זדוניים כתוצאה מהודעות בעלות גוון מיני, שנשלחו מפרופילים, שהתחזו לתושבי מדינות כגון קנדה, גרמניה ושוויץ. שיטת פעולה נפוצה של הקבוצה, שמאחורי ההתקפה מתחילה בבקשה לשלוח תמונה עירום של הקורבן, כשלאחריה נשלחת תמונה מזויפת של נערה.
 
אל הקורבן נשלח קישור להורדת אפליקציה מזויפת כשהתוקפים מצפים, שהקורבן יתקין אותה באופן ידני ויאשר הרשאות של משתמש רגיל. אותה חבילה ראשונית שהופעלה שולחת רשימת אפליקציות המותקנות על המכשיר אל שרתי הפיקוד שלה, ומורידה מטען פריצה, שיתאים ביותר למכשיר הנגוע. גרסה אחת של המטען מתחזה לאפליקציית YouTube אחרות מתחזות לאפליקציות מסרים. בעוד האפליקציה הראשונה בשם LoveSongs מאפשרת הפעלת וידאו, האפליקציה WowoMassanger אינה עושה דבר ומוחקת עצמה אחרי ההפעלה הראשונה.
 
הקוד הזדוני מותקן לאחר שאחד ממטעני הפריצה הורד והופעל במכשיר הקורבן. עד עתה נמצא רק מטען אחד בשם ,WhatsApp Update שמסוגל לבצע שני סוגי פעולות מרכזיים: פקודות עפ"י דרישה ותהליכים מוזמנים מראש לאיסוף מידע אוטומטי. רוב המידע שנאסף נשלח למפעילים כאשר מתבצע חיבור לרשת WiFi.
 
קמפיין התקיפה החל ביולי 2016 והוא עדיין פעיל. שני צוותי החוקרים ממשיכים יחדיו לעקוב אחר התוקפים.

ובנוסף, הכתבה: "עקב הסתננות פעילי חמאס לפייסבוק של חיילים: איך למנוע השתלטות עוינת?" - כאן.