הזירה הטכנולוגית מזמן הפכה לשדה הקרב החדש של מעצמות העולם, ובשנים האחרונות אנחנו רואים עלייה גוברת בכניסה של ארגוני הטרור אל תוך המערכה.
אחרי תקיפות חוזרות ונשנות של האקרים איראניים על יעדים ישראלים, בלימות של מתקפות סייבר ממוקדות מהחמאס ותקציבים גדולים שמועברים לטובת חיזוק הגנת הסייבר, חוקרי אבטחת מידע גילו שב-3 השנים האחרונות חמאס הפעיל קמפיין ריגול מאסיבי על משתמשים ישראלים ופלשתינים, והצליח בהרבה מקרים להשתלט על המכשירים שלהם.
מכל הסוגים
קמפיין הריגול, שהחל כאמור ב-2018, היה פעיל בשלושת השנים האחרונות באין מפריע, ולפי החשד הצליח להדביק מספר לא מבוטל של מכשירים ישראלים ופלשתינים בתוכנות זדוניות.
מטרת הקמפיין הייתה הוצאת נתונים, יצירת הרתעה ופגיעה במוניטין הישראלי. על פי החשד, חמאס הצליחו לעשות זאת בעזרת יצירת והפצת אפליקציות זדוניות למשתמשי אנדרואיד, שפורסמו באתרי צד ג' להורדת אפליקציות ולא בחנות הרשמית של אנדרואיד.
האפליקציות הזדוניות התפרסו על מגוון רב של תחומי עניין, מ-PDF Viewers, דרך אפליקציות היכרויות ועד אפליקציות שיחה כאלה ואחרות. המטרה הייתה כמובן – להגיע לכמה שיותר משתמשים באוכלוסייה.
אלה חלק מהאפליקציות שזוהו כמפיצות ה-Spyware של חמאס:
פישינג ביי דה בוק
וקטור התקיפה התחיל בפוסטים והודעות מזויפות בפייסבוק ו-וואטספ, שהזמינו את המשתמשים לנסות את האפליקציות החדשות, יחד עם קישור אל חנויות האפליקציות צד ג' שבהן נמצאו קבצי ה-APK הזדוניים.
טקטיקה נוספת שבה השתמשו ההאקרים, הייתה קישור ל-Google Drive למסמך PDF נעול. כדי לפתוח את המסמך ולצפות בתוכן שלו, המשתמש היה צריך "להוריד עדכון" לגרסת המובייל של Acrobat Reader (תוכנה לקריאת PDF), שהייתה כאמור – נגועה.
לפי מודיעין הסייבר, הפורצים השתמשו בכמה וכמה כלים כדי להנדס את הפגיעה ולמצות את הפוטנציאל באפליקציה שמוטמנת במכשיר.
חלק מהתוכנות והכלים היו: SpyNote, Mobihok, WH-RAT, 888RAT, שימוש בפלטפורמת Metasploit, EsecretRAT ועוד.
חוץ מכל אלה, נמצאה גם תוכנת Spyware שפותחה באופן ייעודי לתקיפה, ושהוסוותה בתור אפליקציית שיחות.
מכה לבטן הרכה
החדרת אפליקציות למכשירים חכמים היא חדירה כירורגית אל הנכסים החשובים ביותר של המשתמשים. כלי התקיפה שבהם השתמשו הפורצים נתנו להם גישה אל מאגר מידע בלתי נגמר.
אפליקציות עם גישה אל חשבון הארגון כמו אאוטלוק, תוכנת CRM כזאת או אחרת, יכולות להפוך את התוכנה לנקודת הפריצה אל הארגון ולחשוף את הפורצים אל כלל הנתונים והמידע.
חלק מהאפשרויות שיכלו הפורצים לבצע אחרי חדירה אל המכשיר:
- יכולת ניהול קבצים
- יכולת קריאת הודעות SMS
- יכולת הקלטת שיחות
- מידע אודות אנשי קשר
- מידע אודות מיקום המכשיר
- יכולת ניהול משתמשים
- הטמעת Keylogger במכשירי הקרבנות
- מידע אודות הגדרות המכשיר
- גישה לתמונות, קבצי audio ו-video
- מידע אודות אפליקציות מוכרות
- פונקציות Chatting
- הרצת פקודות
ניתוח אירועים דומים שקרו בעבר, דפוסי הפעולה של הפורצים וחקירת טקטיקות הפריצה, העלו את המסקנה שהמתקפה תוכננה והוצאה לפועל על ידי קבוצת התקיפה APT-C-23, שמזוהה עם ארגון הטרור חמאס.
המלצות:
- הורידו אפליקציות רק מחנות האפליקציות הרשמית של Android, Google Play
- הקפידו להתקין במכשיר ה-Android שברשותכם פלטפורמת Anti-virus מוכרת ובצעו סריקות פרואקטיביות למכשירים הניידים
- לחסום בהגדרות המכשיר את האפשרות להורדה אוטומטית של אפליקציות ממקור לא ידוע
לסיכום, מעבר לאיום הישיר של התוכנות הזדוניות על הפרט, המכשיר הנייד זאת נקודת פריצה ישירה על הארגון. ניהול יומיומי של איומי הסייבר מתוך מתחם SOC וניטור תחנות הקצה של הארגון, תוך ידיעה שמתקפת הסייבר הבאה היא רק עניין של זמן, תיתן מענה ישיר אל האיום הגובר הזה ותחסום אפשרות למתקפה על הארגון.
- בניית אתרים