מסתמן: פלסטיני תקף בסייבר בתי חולים בישראל

 IsraelDefense

בהמשך להודעה של רשות הסייבר הלאומית בשבוע שעבר, על מתקפת סייבר על בתי חולים בישראל בה נפגעו עשרות מחשבים בשני בתי חולים מרכזיים בארץ. במעבדות חברת האבטחה ESET ניתחו דגימות מהמתקפה וכעת נחשפים פרטים חדשים.

אומנם שני בתי חולים בישראל נפגעו מהמתקפה, אך מממצאי המחקר אין אינדיקציה על כך שהמתקפה הייתה ממוקדת דווקא למערכות של בתי חולים וייתכן וגופים נוספים נפגעו ממנה.

בניגוד למידע שסופק בתחילה כי הפוגען בו נדבקו המחשבים הוא מסוג SGX הגונב תעודות RSA, תוצאות הניתוח מעידות על הדבקה בכלי ריגול לגניבת מידע, המזוהה ע"י ESET בתור HoudRat.

ביכולתו של כלי הריגול הזה לתעד צילומי מסך, הקלדות במחשב, לגנוב סיסמאות מהדפדפן ואף לאתר שימוש בשירותים פיננסיים כמו פרטי חשבונות בנק, PayPal, eBay.

יש כמה רמזים בולטים למי עומד מאחורי הנוזקה שפגעה בבתי החולים. ראשית הפרטים שנגנבים  נשלחים לדומייןPalestineop.com. לרוב כאשר מתבצעות מתקפות המכוונות למוסדות ישראלים ומשתמשות בדומיינים עם הביטוי "פלסטין", מי שעומדות מאחורי המתקפה הן קבוצות כמו אנונימוס או חמאס.

בקוד הנוזקה ניתן למצוא את הכיתוב הבא: rad12345 user@dev-point.com from Palestine"". כיתוב זה הוא בעצם שם משתמש ששייך לכתובת dev-point.com, אתר של חברה מדובאי עם פורום בערבית עבור מפתחים, שם קיימים גם הסברים על שימוש בקוד עבור פריצה ויצירת נוזקות.

על פי חוקרי ESET המשתמש rad12345 מעיד על עצמו שהוא פלסטיני, הוא חבר פעיל בפורום הערבי ומשתף בו סקריפטים זדוניים ונוזקות. נראה שהוא גם הכותב המקורי של הנוזקה HoudRat שלא השתנתה הרבה מאז שזוהתה לראשונה ע"י ESET ביולי 2016.

אמיר כרמי, מנהל הטכנולוגיות של ESET בישראל מסביר כי "HoudRat הוא בהחלט לא כלי חדש או מתוחכם מידי, והוא פועל בצורה די פשוטה, אפילו שהוא מוסווה כדי לחמוק מזיהוי של אנטי וירוסים. על פי הזיהויים שלנו במהלך השנה שהוא קיים, הוא מזוהה בעיקר בדרום אמריקה, ולא היו כמעט זיהויים בישראל, מה שיכול להצביע על כך שמדובר בכלי שנמצא זמן רב בשימוש להתקפות פיננסיות, והוא הוסב להתקפה בישראל על מנת להראות הישג בפרסום פרטים של עובדי מדינה. יכול גם להיות שהוא פגע בבתי החולים במקרה, אבל בהתחשב באופי הכותב של הנוזקה והכתובת שאליה היא ניגשת אפשר להעריך שמדובר אכן בהתקפה ממוקדת".

עדיין לא ידוע כיצד האיום חדר לרשתות של בתי החולים אבל ניתן לומר שקיימות אצלו תוכנות של תולעת שמאפשרות לו להתפשט ברשת באמצעות התקני USB ניידים.

פלילי או ביטחוני?

בנוסף לחברת ESET, גם חברת קלירסקיי, כמה ימים לאחר ההתקפה, זיהתה כי מדובר בתשתית תקיפת של גורמים ערביים ושיש הצבעה אפשרית על אדם מסוים באזור חברון. כמו כן, ציינו בקליר סקיי כי ייתכן ומדובר בפעילות על רקע פלילי ולאו דווקא ביטחוני.

חברה נוספת שעסקה במחקר התקיפה היא trendmicro שהמוצרים שלה מותקנים בשני בתי החולים שנפגעו. החברה ביצעה מחקר על בסיס סמפלים של התקיפה ופרסמה את התוצאות במהירות בבלוג החברה.

לפי העדכון האחרון מלפני יומיים (שלישי), מדובר בתולעת מסוג ROWMANTI שצפה כבר בשנת 2015 ששואבת יכולות מתולעת IPPEDO המוקדמת יותר. תכתובות ברשת האפילה גילו לטרנדמיקרו כי מדובר בסקריפט מבוסס VB שתמך ב-IPPEDO.

כלי התקיפה חשאי מאד ומשמיד את עצמו אם הוא מזהה כלי אנטי וירוס או סנדבוקסים או כלים נוספים לבחינת קוד.