בשבוע שעבר ספגו בתי חולים בישראל מתקפת סייבר שנבלמה במהרה. כ-50 מחשבים בשני בתי חולים חוו ניסיונות פריצה. במהלך ניסיונות הפריצה צצה במחשבים הודעה לפיה "אתם תחת מתקפה", ואותר וירוס שמקורו לא ברור. הצוותים כיבו את המחשבים והדליקו אותם מחדש, וכך לא נגרמו תקלות בעקבות האירוע ונמנעה המתקפה. ניסיונות התקיפה היו כלפי מחשבים אזרחיים בלבד, שאחסנו רק גיליונות רפואיים ומשרדיים ולא כלפי מכשירי הנשמה או מכשור רפואי מתקדם.
היום פרסמה חברת אבטחת המידע ESET דוח השופך אור על ההאקר שעמד מאחורי המתקפה. הנתונים מצביעים על כך שמקור מתקפת הסייבר הוא מפתח נוזקות, המעיד על עצמו שהוא פלסטיני. לדברי החברה, אומנם אכן שני בתי חולים בישראל נפגעו במתקפה, אך מממצאי החקירה מעידים שאין אינדיקציה על כך שהמתקפה הייתה ממוקדת דווקא למערכות של בתי חולים וייתכן שגופים נוספים נפגעו ממנה.
בניגוד למידע שסופק בתחילה כי הפוגען בו נדבקו המחשבים הוא מסוג SGX הגונב תעודות RSA, תוצאות הניתוח של ESET מעידות על הדבקה בכלי ריגול לגניבת מידע, בשם HoudRat. ביכולתו של כלי הריגול הזה לתעד צילומי מסך, הקלדות במחשב, לגנוב סיסמאות מהדפדפן ואף לאתר שימוש בשירותים פיננסיים כמו פרטי חשבונות בנק, PayPal, eBay ועוד.
יש כמה רמזים בולטים לזהות ההאקר שעומד מאחורי הנוזקה שפגעה בבתי החולים: הפרטים הגנובים היו אמורים להישלח לדומיין Palestineop.com; "לרוב כשמתבצעות מתקפות המכוונות למוסדות ישראלים ומשתמשות בדומיינים עם הביטוי 'פלסטין', מי שעומדות מאחורי המתקפה הן קבוצות כמו אנונימוס או חמאס", אומרים בחברה.
בנוסף, בקוד הנוזקה ניתן למצוא את הכיתוב "rad12345 user@dev-point.com from Palestine". כיתוב זה הוא בעצם שם משתמש ששייך לכתובת dev-point.com, אתר של חברה מדובאי עם פורום בערבית עבור מפתחים, שם קיימים גם הסברים על שימוש בקוד עבור פריצה ויצירת נוזקות.
לדברי חוקרי ESET, המשתמש rad12345 מעיד על עצמו שהוא פלסטיני, הוא חבר פעיל בפורום הערבי ומשתף בו סקריפטים זדוניים ונוזקות; נראה שהוא גם הכותב המקורי של הנוזקה HoudRat, שלא השתנתה הרבה מאז שזוהתה לראשונה על ידי חוקרי ESET בחודש יולי 2016.
"HoudRat הוא בהחלט לא כלי חדש או מתוחכם מדי, והוא פועל בצורה די פשוטה, אפילו שהוא מוסווה כדי לחמוק מזיהוי של אנטי וירוסים", מסביר אמיר כרמי, מנהל הטכנולוגיות של ESET בישראל. "על פי הזיהויים שלנו במהלך השנה שהוא קיים, הוא פגע במחשבים בעיקר בדרום אמריקה, ולא היו כמעט זיהויים בישראל, מה שיכול להצביע על כך שמדובר בכלי שנמצא זמן רב בשימוש להתקפות פיננסיות, והוא הוסב להתקפה בישראל על מנת להראות הישג בפרסום פרטים של עובדי מדינה. יכול גם להיות שהוא פגע בבתי החולים במקרה, אבל בהתחשב באופי הכותב של הנוזקה, והכתובת שאליה היא ניגשת אפשר להעריך שמדובר אכן בהתקפה ממוקדת".
לדברי חוקרי הסייבר, עדיין לא ברור כיצד האיום חדר לרשתות של בתי החולים, אבל ניתן לומר שקיימות אצלו תוכנות של תולעת המאפשרות לו להתפשט ברשת באמצעות התקני USB ניידים.
>> לעוד כתבות מעניינות - עקבו אחרינו גם בפייסבוק.