מי עומד מאחורי מתקפת הסייבר על בתי החולים בארץ
מספר ימים לאחר מתקפת הסייבר, בה נפגעו עשרות מחשבים בשני בתי חולים בישראל, נאספים פרטים ששופכים אור על זהות העומד מאחורי המתקפה
- אלי שלזינגר
- י' תמוז התשע"ז
צילום ארכיון: רויטרס
מספר ימים לאחר מתקפת הסייבר, בה נפגעו עשרות מחשבים בשני בתי חולים בישראל, נאספים פרטים ששופכים אור על זהות העומד מאחורי המתקפה. הנתונים מצביעים על כך שמקור ההתקפה הוא מפתח נוזקות ("וירוסים") - האקר, המעיד על עצמו שהוא פלסטיני.
בהמשך להודעה של רשות הסייבר הלאומית בשבוע שעבר, על מתקפת סייבר על בתי חולים בישראל בה נפגעו עשרות מחשבים בשני בתי חולים מרכזיים בארץ - במעבדות חברת האבטחה ESET ניתחו דגימות מהמתקפה וכעת נחשפים פרטים חדשים.
שני בתי חולים בישראל אכן נפגעו מהמתקפה, אך על פי מממצאי המחקר, אין אינדיקציה על כך שהמתקפה התמקדה דווקא במערכות של בתי חולים וייתכן וגופים נוספים נפגעו ממנה.
בנוסף, בניגוד למידע שסופק בתחילה כי הפוגען בו נדבקו המחשבים הוא מסוג SGX הגונב תעודות RSA, תוצאות הניתוח מעידות על הדבקה בכלי ריגול לגניבת מידע, המזוהה בתור HoudRat. ביכולתו של כלי הריגול הזה לתעד צילומי מסך, הקלדות במחשב, לגנוב סיסמאות מהדפדפן ואף לאתר שימוש בשירותים פיננסיים כמו פרטי חשבונות בנק, PayPal, eBay.
יש כמה רמזים בולטים המפנים למי שעומד מאחורי הנוזקה שפגעה בבתי החולים. ראשית, הפרטים שנגנבים נשלחים לדומיין Palestineop.com. לרוב כאשר מתבצעות מתקפות המכוונות למוסדות ישראלים ומשתמשות בדומיינים עם הביטוי "פלסטין", מי שעומדות מאחורי המתקפה הן קבוצות כמו אנונימוס או חמאס.
בקוד הנוזקה ניתן למצוא את הכיתוב הבא: rad12345 [email protected] from Palestine"". כיתוב זה הוא בעצם שם משתמש השייך לכתובת dev-point.com, אתר של חברה מדובאי עם פורום בערבית עבור מפתחים, שם קיימים גם הסברים על שימוש בקוד עבור פריצה ויצירת נוזקות.
על פי החוקרים, המשתמש rad12345 מעיד על עצמו שהוא פלסטיני, הוא חבר פעיל בפורום הערבי ומשתף בו סקריפטים זדוניים ונוזקות. נראה שהוא גם הכותב המקורי של הנוזקה HoudRat שלא השתנתה הרבה מאז שזוהתה לראשונה ביולי 2016.
אמיר כרמי, מנהל הטכנולוגיות של ESET בישראל מסביר כי "HoudRat הוא בהחלט לא כלי חדש או מתוחכם מידי, והוא פועל בצורה די פשוטה, אפילו שהוא מוסווה כדי לחמוק מזיהוי של אנטי וירוסים. על פי הזיהויים שלנו במהלך השנה שהוא קיים, הוא מזוהה בעיקר בדרום אמריקה, ולא היו כמעט זיהויים בישראל, מה שיכול להצביע על כך שמדובר בכלי שנמצא זמן רב בשימוש להתקפות פיננסיות, והוא הוסב להתקפה בישראל על מנת להראות הישג בפרסום פרטים של עובדי מדינה. יכול גם להיות שהוא פגע בבתי החולים במקרה, אבל בהתחשב באופי הכותב של הנוזקה והכתובת שאליה היא ניגשת אפשר להעריך שמדובר אכן בהתקפה ממוקדת".
עדיין לא ידוע כיצד האיום חדר לרשתות של בתי החולים אבל ניתן לומר שקיימות אצלו תוכנות של תולעת שמאפשרות לו להתפשט ברשת באמצעות התקני USB ניידים.
תגובות
{{ comment.number }}.
הגב לתגובה זו
{{ comment.date_parsed }}
{{ comment.num_likes }}
{{ comment.num_dislikes }}
{{ reply.date_parsed }}
{{ reply.num_likes }}
{{ reply.num_dislikes }}
הוספת תגובה
לכתבה זו טרם התפרסמו תגובות