נבלמה מתקפת סייבר חריגה בהיקפה על המשק האזרחי בישראל
מאת:
מערכת Telecom News, 26.4.17, 16:06
.jpg?id=29799373)
הרשות הלאומית להגנת סייבר חשפה את מתווה התקיפה של התוקף ואת נקודות האחיזה בהן השתמש. פורסמו הנחיות התגוננות טכנולוגיות, שלב אחר שלב.
הרשות הלאומית להגנת סייבר
הודיעה לתקשורת היום, שבימים האחרונים הצטברו אצלה עדויות על מתקפת סייבר מתוכננת על גופים רבים במשק הישראלי. הרשות ביצעה עבודת ניתוח בעקבותיה חשפה את מתווה התקיפה של התוקף ואת נקודות האחיזה בהן עשה שימוש.
אפשרות תקיפה במתווה זה זוהתה ע"י ה-CERT כבר ב-12.4.17.
עבודת הניתוח מלמדת,שהתוקף מתחזה לארגון לגיטימי ושולח הודעות דוא"ל בשם הארגון בנסיון לתקוף כ-120 ארגונים, משרדי ממשלה, מוסדות ציבור ואנשים פרטיים, תוך שהוא מזייף "תעודת אבטחה" של חברה מהימנה.
התקיפה נעשתה תוך ניסיון להחדיר לרשתות ארגוניות תוכנות זדוניות הרוכבות על תכתובות אותנטיות של דואר אלקטרוני.
מקור התקיפה בשרת דוא"ל השייך למוסד אקדמי - אוניברסיטת בן גוריון בנגב, ובשרת נוסף השייך לחברה עסקית. מתווה התקיפה עושה שימוש בחולשת WORD
(CVE-2017-0199).
הפוגען מתנהג באופן זהה למתקפה קודמת המוכרת בשם OILRIG.
הרשות הלאומית פרסמה
הנחיות התגוננות טכנולוגיות לבלימת ההתקפה וכעת מבצעת פעולות נוספות ובהן הנחיות והמלצות לכלל המשק האזרחי המפורסמות –
כאן, כולל פרטים נוספים.
מיקרוסופט הוציאה עדכון אבטחה המונע את פעילות הפוגען ומומלץ להתקינו בכל עמדות המשתמשים בארגון. ניתן להוריד את הקובץ הרלוונטי -
כאן. יש לחפש עפ"י 2017-0199 בשדה CVE. פרטים נוספים להתגוננות שלב אחר שלב, כאמור -
כאן בעמוד 3 ובנספחים א' בעמ' 3-5 וב' בעמ' 5-6.
בהודעת הרשות לא נמסר האם איראן עומדת מאחורי המתקפה. עם זאת, התוקף
מחזיק ביכולות מתוחכמות, ואין לשלול אפשרות, שמדובר בארגון, שמאחוריו עומדת מדינה כלשהי. מדובר בסוג מתוחכם של סוס טרויאני וזו מתקפה ברמה גבוהה מאוד.
ראוי לציין, שהודעה זו של הרשות הלאומית להגנת סייבר
באה יומיים לאחר ביקורת, שהשמיעו ראשי מערכת הביטחון על חוק הסייבר המיועד, ולמעשה נגד הרשות הלאומית להגנת סייבר. האם ההודעה הזו לתקשורת נועדה להראות, שהרשות הלאומית מטפלת באיום ספציפי על ישראל? כי עפ"י הצעת חוק, שמקדם רוה"מ, הרשות תקבל מאות מיליוני ש"ח בשנה וסמכויות שחלקן חופפות לחלק מגופים, שכבר קיימים בתחום.
בנוסף, נשאלות השאלות:
1) כיצד המתקפה נבלמה אם רבים (לפחות מאות אלפים) עדיין לא עדכנו את המחשבים שלהם? חשיפת קורבנות אינה מהווה בלימה.
2) למה פורסם הנושא הזה רק היום בתקשורת, לאחר שבשנה האחרונה כמעט ולא פורסמו הודעות לתקשורת מטעם רשות הסייבר? האם זה קשור לביקורת של ראשי מערכת הביטחון על חוק הסייבר המיועד?
3) למה פורסם הנושא לתקשורת רק היום ולא מיד בזמן אמת כשזוהה האיום לפני כמה ימים? האם יש כאן מחדל, שלא פורסמה המלצה לציבור לעדכן את מערכות ההפעלה שלו במעוד מועד כאשר הרשות כבר ידעה על האיום? הרי מטרת הרשות היא לדאוג למוכנות המגזר האזרחי. 
