• מתקפת הכופר העולמית: יתכן שנשק של ה-NSA עומד מאחורי התקיפה

    כ-200 אלף משתמשים ב-150 מדינות הותקפו אמש במתקפת סייבר בינלאומית רחבת היקף, שהדביקה את מחשביהם בתוכנת כופר דרך פירצה ב-Windows. נראה שהכלי שאפשר את התפשטותה המהירה היה ה-"EternalBlue" של ה-NSA שהודלף ממש לאחרונה
    14/05/2017 | תומס פוקס-ברוסטר

    רק שבועות ספורים חלפו מאז שצוות האקרים מסתורי המכונה "הברוקרים בצללים" הציף את השוק בכלים רבים שהאמונה הרווחת היא שמקורם הוא בסוכנות הביטחון הלאומית האמריקאית (NSA). כעת מסתבר שלפחות כלי אחד של ה-NSA שהודלף, כזה שמנצל את תוכנת חלונות של מייקרוסופט ועונה לשם EternalBlue, שימש כאמצעי אחד לפחות להפצה במהירות של תוכנת הכופר המכונה WannaCry ברחבי העולם.

    תוכנת הכופר הכתה חזק בבתי חולים בבריטניה, ומקורות מרובים דיווחו על סגירה של מחלקות שונות, מטופלים שפניהם הושבו ריקם וכמה אנשי צוות בשירותי הבריאות הלאומיים (NHS) הבריטיים שנשלחו לבתיהם. Barts Health, קרן נאמנות של ה-NHS ממרכז לונדון, ייעצה למטופלים לבקש עזרה במקום אחר ואמרה כי אמבולנסים הוסטו למקומות אחרים. ארגון אחר של ה-NHS אמר כי הוא נאלץ לדחות קבלה של מטופלי-חוץ ולהגביל את שירותי הרדיולוגיה. בעיירה קולצ'סטר במחוז אסקס, החליט בית החולים המרכזי לסגור את רוב המחלקה לרפואת חירום, ולקבל רק את מי שהיה "במצב קריטי או בסכנת חיים".

    ה-NHS אישר כי 16 מהארגונים שלו דיווחו על פגיעה על ידי WannaCry. אך התפרצותה המהירה של תוכנת הכופר הכתה במערכות של עוד לפחות 11 מדינות. חוקר לענייני ביטחון בחברת הסייבר AVG Avast, ג'ייקוב קרוסטק, אמר כי הוא תעד מעל ל-36,000 מקרי פגיעה של התוכנה הזדונית אמש. חברת האבטחה הרוסית קספרסקי אמרה מאוחר יותר כי היא זיהתה לפחות 45,000 פגיעות, ב-74 מדינות. לפי צוות הסייבר MalwareHunterTeam, שאמר כי WannaCry "מתפשט כמו גיהינום", רוסיה ספגה את המכה החזקה ביותר, אך גם ספרד נדמה שנתונה תחת מתקפה כבדה, כשענקית התקשורת Telefonica הושפעה ממנה ככל הנראה.

    כפי שניתן לראות במפה שפרסם גוף מחקרי ביטחון עצמאי אחר, MalwareTech, גם כמות גדולה של ארגונים אמריקאים נפגעה. לפי המחקר שלהם, לפחות 1,600 נדבקו ב- WannaCryבאמריקה, בהשוואה ל-11,200 ברוסיה ו-6,500 בסין.

    מפת התקיפות ברחבי העולם. עשרות אלפי מערכות | MalwareTech

    הקורבנות התבקשו לשלם עד 300 דולר כדי להסיר את התוכנה מהמחשב שלהם, אחרת הקבצים שלהם יישארו נעולים ומחשביהם יהיו לא שמישים.

    FedEx אישרה לפורבס כי היא הייתה אחד מהארגונים האמריקאים שנפגעו: "כמו חברות רבות אחרות, FedEx חווה הפרעות באחת מהמערכות שלנו, שמבוססת על תוכנת חלונות, שנגרמות בגלל הנוזקה. אנו מכילים צעדים לטיפול במצב מהר ככל שאפשר. אנו מתנצלים על כל אי נוחות שנגמרה ללקוחותינו".

    הסכנה של "Eternal Blue"

    השימוש בכלי הנצלני של ה-NSA "EternalBlue" אומת על ידי חוקר נוזקות עצמאי המוכר בשם "קפאין" בטוויטר. לפורבס הוא אמר כי לא ברור לו אם האמצעי היה השיטה העיקרית להפצת תוכנת הכופר, אבל הוא משוכנע כי נעשה בו שימוש בלפחות חלק מהמקרים. בנפרד ממנו, החוקר הבריטי קווין ביומונט צייץ ש- WannaCryמשתמשת בכלי התקיפה של ה-NSA, שניצלה נקודות חולשה של ווינדווס, שכבר תוקנו עד עתה, הידועות גם בשם MS17-010. גם הארגון הספרדי "צוות התגובה לשעת חירום במחשבים" (CERT) ציין כי נקודות התורפה הללו נוצלו על ידי הנוכלים.

    כפי שכבר דווח בעבר בפורבס, האקרים רוסים כבר ניהלו דיונים ביניהם כיצד לנצל את החומרים שהדליף צוות "הברוקרים בצללים" מה-NSA. הדרכים השונות כללו בין היתר שימוש באותו "EternalBlue", שמתמרן את פרוטוקול שיתוף הקבצים ברשת, SMB.

    "MS17-010 הוא המועמד הטוב ביותר לעמוד מאחורי כזה סוג של מתקפה", אמר מת'יו היקי, מייסד משותף של חממת האימונים להגנת סייבר, Hacker House. הוא השווה זאת להתפרצות מאסיבית נוספת של נוזקה מן העבר, שכונתה Conficker, שהשתמשה במאפיינים דמויי תולעת בכדי להפיץ את עצמה במהירות ברחבי העולם.

    דוגמא להודעה שהמתינה לאחד מעובדי מערכת הבריאות בבריטניה | צילום מסך: טויטר

    מה שמטריד הוא שאם ה- MS17-010 נוצלה במסגרת זירת התקיפות הפליליות הטרייה הזו במרחב הסייבר, זה מעיד כי מחשבים רבים לא עדכנו את התוכנה למרות הדיווח הנרחב בנוגע לתופעה, שתוקנה כבר בחודש מרץ. "זה מפתיע שאנשים לא מחילים תיקונים על המחשב שלהם? לא ממש", הוסיף היקי. "שימוש נרחב ייעשה ב-MS17-010 למטרות אלו. אם יש משהו שאני מופתע ממנו זה שזה לא קרה קודם", הוא אומר.

    "זה בהחלט מחדד את הסכנות שטמונות בכלים של ה-NSA שמשוחררים לציבור. הדגשתי חזור והדגש את הנקודה שאנשים לא צריכים להמעיט בערכם ובמשמעותם של הכלים הנצלניים ששוחררו לאחרונה. הם סוג של נשק ונגישים לשימוש קל ופשוט. התקפות כמו אלו שפגעו ב-NHS הן דרך קלה עבור פושעים לצבור הון באמצעותם".

    "נשק להשמדה המונית בדמות תוכנת כופר"

    על פי סגן הנשיא לענייני מודיעין של חברת האבטחה CrowdStrike, אדם מיירס, ההפצה הראשונית של WannaCry נעשתה באמצעות דואר זבל אלקטרוני, שבו חשבוניות מזויפות, הצעות עבודה ופיתויים נוספים נשלחים לכתובות דוא"ל רנדומליות. בתוך הקבצים ישנו קובץ zip, ומרגע שלוחצים עליו כבר החלה ההידבקות ב-WannaCry, כך לפי מיירס.

    אך אין זה סביר ש"פישינג" כזה, באמצעות אימיילים, הייתה שיטת ההדבקה העיקרית, היות שמעטים שיתפו אימיילים שהנוזקה שולבה בהם. חטיבת הגנת הסייבר Talos של חברת Cisco לא מאמינה שהיה שימוש כלל בפישינג באמצעות דואר אלקטרוני, למרות שמייקרוסופט אמרה מצדה שדווקא כן. במקום זאת, בסיסקו מאמינים שניתן לתקוף מערכות פגיעות שמושארות חשופות לאינטרנט גם בלי פישינג.

    WannaCry בשילוב EternalBlue - נשק להשמדה המונית במונחי סייבר | צילום: Fotolia

    "ההיבט המדאיג ביותר של WannaCry הוא השימוש דמוי התולעת שהיא עושה ב-EternalBlue", אמר מיירס. "זה נשק להשמדה המונית בעולם תוכנות הכופר. מרגע שהוא מגיע למחשב שלא עודכן הוא מתפשט כמו אש בשדה קוצים", כפי שהוא אומר לפורבס. "הוא מתפשט באמצעות חברות פיננסיות, חברות אנרגיה, מוסדות בריאות. אבל הוא מתפשט".

    בהינתן העובדה שהתוכנה סורקת את כל האינטרנט בחיפוש אחר מכונות פגיעות, וככל שיש היום כ-150 אלף כאלו שנחשבים לחשופים לנקודת התורפה הזו של ווינדווז נכון לתחילת החודש הנוכחי, יתכן שהתפשטות התוכנה רק תחמיר.

  • גלריות
    מדורים
    דירוגים
    ראשי