צה"ל השבית אפליקציות חמאס שפרצו לטלפונים של קציני צה"ל
בחודשים האחרונים זיהו בצה"ל ובשב"כ ניסיונות חוזרים של חמאס "להדביק" טלפונים ניידים של חיילים וקצינים בצה"ל בפוגען - וזאת דרך יצירת קשר ברשתות החברתיות ושידול להורדת אפליקציות זדוניות. השרתים של חמאס הושבתו
- אלי שלזינגר
- כ"א שבט התש"פ
סיכול שלישי בשלוש וחצי השנים האחרונות: מיום חמישי בערב ועד היום, צה"ל בשיתוף השב"כ סיכל פעולת טרור טכנולוגי של חמאס. ישנם מספר חידושים טכנולוגיים מהאירועים הקודמים, "חמאס משתפר בתחום" אומר דובר צה"ל תא"ל הדי זילברמן. יש שימוש בפלטפורמות חדשות, טלגרם, אינסטרגם, ווטסאפ ופייסבוק. "החידוש השני הוא הנדסה חברתית, החמאס משכלל את היכולת שלו לפתח שיח עם החיילים דרך אנשים שהם כביכול מוגבלים".
החידוש השלישי הוא הודעות קוליות ואנושיות. "לא מעט דמויות מציגות עצמן כדמויות שהן עולות חדשות. כדי לייצר אמינות החמאס מייצר את אותן הדמויות בכלל הרשתות" אומר תא"ל זילברמן. "קיים שימוש באפליקציה (יש שלוש כאלה) שהיא כמו סנפצאט להעברת תמונות. האלפיקציה מבקשת הרשאות רבות כמו אפליקציות לגיטימיות רבות אחרות אך לאחר מכן מציגה שגיאה והטלפון מותקף.
הפוגען, יודע לייצר קשר ישיר עם החמאס ולהעביר תמונות, מסמכים, הודעות, מיקום ועוד. תא"ל זילברמן מדגיש: "לא דלף מידע משמעותי, מדובר בסדר גודל קטן של מאות בודדות של אנשים ממגוון יחידות הצבא. מדובר באנשים ספציפיים בארגון החמאס שמבצעים את הפעילות הזאת, לא ניתן לפרט מעבר לכך. הם לא יודעים לשבת על מישהו מיחידה ספציפית. זיהינו אותם מלפני מספר חודשים, נתנו להם להמשיך כדי לאפשר את פעולת הסיכול הטכנולוגי שהיא אפקטיבית יותר".
בחודשים האחרונים, זוהו במחלקת ביטחון המידע באגף המודיעין ובשירות הביטחון הכללי ניסיונות חוזרים של ארגון הטרור חמאס להדביק את המכשירים הסלולאריים של משרתי צה"ל בפוגען באמצעות יצירת קשר ברשתות החברתיות ושידול להורדת אפליקציות זדוניות.
בימים האחרונים ביצע צה"ל בשיתוף פעולה עם השב"כ סיכול טכנולוגי מוצלח של תשתית שרתים של ארגון הטרור חמאס אשר שימשה את הארגון לטובת יצירת קשר ואיסוף מידע ממשרתי צה"ל. זוהי הפעם הראשונה שסיכול טכנולוגי מתבצע אל מול תשתיות חמאס מסוג זה. כחלק משלים לסיכול הטכנולוגי, יזומנו החל מהיום מאות בודדות של משרתים שיש סבירות שנגועים בפוגען, לטובת תשאול והסרת הפוגען מהמכשיר.
"ככל שאנחנו מזהים כעת, לא נגרם נזק בטחוני" אומרים בצה"ל. "במקרים שזיהינו כי יתכן ויגרם נזק שכזה פעלנו באופן מיידי מול אותו משרת צה"ל. כמו כן, זיהינו כי חמאס הרחיב את המאתרים שלו ופנה לאוכלוסיות נוספות, בשונה מאירועים קודמים בהם התמקד בלוחמים". הזיהוי התאפשר בין היתר באמצעות מעקב אחר אחת הדמויות שזוהו עוד באירועים הקודמים ולא נחשפו בזמנו, במטרה לעקוב אחר השתנות התשתית הטכנולוגית של ארגון הטרור ולזהות חזרה לפעילות כנגד משרתי צה"ל.
"מערך ביטחון המידע באגף המודיעין זיהה 6 דמויות בהן השתמש חמאס כדי להגיע לחיילים", מציין דובר צה"ל, תא"ל הדי זילברמן. "שרה אורלובה, מריה יעקובלבה, עדן בן עזרא, נועה דנון, יעל אזולאי ורבקה אבוקסיס - דמויות רבות מהמערך מציגות עצמן כעולות חדשות לארץ בעקבות היעדר שליטה מלאה בשפה העברית".
"לדמויות מספר מאפיינים נוספים שבאו לידי ביטוי", מסבירה ראש מחלקת ביטחון המידע, אל"ם ר'. "חמאס השתמש בהאשטגים במטרה להגדיל את האמינות וכמות המשתמשים אליהם הגיעו הדמויות ברשת, וגם בחר להשתמש בפונקציית Intro ("בקצרה") של פייסבוק - באמצעות המשפט המופיע בפרופיל, ניסו הדמויות לחזק את אמינותן בהתחזות לנערות צעירות תוך שימוש בסלנג ישראלי".
"פרט לכך, חמאס ערך את התמונות של הדמויות בכדי להקשות על מציאתן ברשת ולשייכן למקור, ודאג לפעול בפריסה רשתית - כלומר, יצר ישויות במספר פלטפורמות במטרה ליצור נגישות רשתית רחבה", מוסיפה אל"ם ר'.
בתקופה האחרונה זוהו בצה"ל שלוש אפליקציות "מדביקות" - "Catch&See", "ZatuApp", "GrixyApp" - בהן השתמש חמאס במטרה להעביר את הפוגען. באתרי האפליקציות מתואר כי הן נועדו להעברת תמונות בין משתמשים לפרק זמן קצר ומוגבל, בדומה לאפליקציית סנאפצ'אט.
אפליקציית ZatuApp
איך זה עובד? ההרשמה לאפליקציה מתבצעת באמצעות כתובת מייל וסיסמה, וכי בשונה מהקמפיין הקודם היישומונים לא הונגשו לחנות האפליקציות וניתן היה להוריד אותן אך ורק באמצעות קישור. מחלקת ביטחון המידע באמ"ן זיהתה מחקירת האפליקציה כי היא מבקשת הרשאות רבות, אך אלו משמשות אותה אך ורק לפעילות לגיטימית כביכול (על מנת לשלוח תמונות, לאפליקציה צריכה להיות גישה למצלמה וכו').
מיד לאחר ההורדה, מופיע במכשיר הסלולרי אייקון של האפליקציה. עם הלחיצה עליו, ייפתח כביכול היישומון ותופיע הודעת שגיאה לפיה הגרסה של האפליקציה לא נתמכת במכשיר - ועל כן תמחק את עצמה. לאחר מכן, האפליקציה נסגרת והאייקון שלה נעלם – לכאורה נמחקה. בפועל, מסבירים לנו באמ"ן, המכשיר הסלולרי כבר הותקף והותקן עליו פוגען המאפשר לחמאס להשתלט על המכשיר.
מתברר כי לאפליקציה יכולות גבוהות, שאינן שונות במהותן ממה שראינו באירועי סייבר קודמים: יצירת קשר אל מול שרת של חמאס והעברת קבצים מהמכשיר הנגוע באופן אוטומטי, צילום תמונות מרחוק באופן עצמאי, מתן גישה למערכת הקבצים (read/write), הורדת קבצים נוספים והרצתם, איסוף מזהים על הטלפון, איסוף סמסים, הקלטת נפח, איסוף אנשי קשר, מתן גישה למיקום (GPS), וגישה למצלמה.
מה כן השתנה בניגוד לפעמים קודמות?
- לראשונה, נערך סיכול טכנולוגי אל מול תשתיות חמאס מסוג זה. כחלק משלים לכך, יזמנו באגף המודיעין החל מהיום מאות בודדות של משרתים שלפי ההבנה יש סבירות כי מכשירם נגוע בפוגען - וזאת לטובת תשאול והסרת הפוגען מהמכשיר
- בשונה מאירועים קודמים בהם התמקד הארגון בלוחמים, הרחיב הפעם חמאס את מאתריו ופנה לאוכלוסיות נוספות.
- הזיהוי התאפשר בין היתר באמצעות מעקב אחר אחת הדמויות שזוהתה עוד באירועים הקודמים, ולא נחשפה בזמנו במטרה לעקוב אחר השתנות התשתית הטכנולוגית של חמאס ולזהות חזרה לפעילות נגד חיילי צה"ל
- פרט לכך, ניצל חמאס לראשונה את פלטפורמת הטלגרם לפיתוח שיח עם משרתים, בנוסף לרשתות המוכרות - פייסבוק, ווטסאפ ואינסטגרם.
דוגמאות לשיחות בטלגרם
- ניכר כי ההנדסה החברתית גבוהה ואמינה יותר - והפעם החליטו בחמאס להציג דמויות כחירשות או ככבדות שמיעה. כך הצליח המערך לנטרל רצון לשיחות טלפוניות או וידאו
- ישנן עדויות כי חמאס שלח לקורבנות הודעות קוליות גנריות של נשים ("כן", "לא" וכו') על מנת להגביר את אמינות הדמות
- רמת הביצוע של הפוגען גבוהה ומשוכללת יותר בהשוואה לתשתיות עבר של ארגון הטרור
"ככל שאנחנו מזהים כעת, לא נגרם נזק ביטחוני", מבהירה אל"ם ר'. "במקרים שזוהה כי ייתכן וייגרם נזק - פעלנו באופן מיידי מול אותו משרת צה"ל. אחת מאבני היסוד היא הערנות והמודעות של משרתי צה"ל".
הוספת תגובה
לכתבה זו טרם התפרסמו תגובות