חברת CYBERTINEL הישראלית חשפה תשתית ריגול סיבר בינלאומית

יום א', 7 בספטמבר 2014

חברת אבטחת המידע CYBERTINELממודיעין, המתמחה בהגנה על נקודות קצה ושרתים ארגוניים מפוגענים שאינם מבוססי חתימה, חשפה תשתית ריגול סייבר בינלאומית אשר תקפה למעלה מ-300 מוסדות פיננסיים מובילים, חברות תעשייתיות, מעבדות מחקר וגופים ממשלתיים בגרמניה, אוסטריה ושוויץ במשך יותר מעשור. המתקפה המתוחכמת קיבלה את שם הקוד "הארקונן".

הפריצה התגלתה שניות לאחר התקנת המערכת של CYBERTINELברשת הארגונית, על מחשב של מנהל בכיר בארגון גרמני (שזהותו חסויה). ההתחקות אחר מקור הפוגען גילתה כי התקפה זו הינה רק קצה קרחון של תשתית ריגול סייבר מסיבית.

בעבודת הניתוח והמחקר שביצעה CYBERTINELמיד כשנחשפה התקיפה, התברר כי החדירה לרשתות החלה עוד ב-2002, כשלצורך הסוואת התקיפות רשם ארגון הפשע 833 חברות קש בבריטניה. חברות אלה קיבלו את תעודות ה- SSLהנדרשות כדי להתחזות לשירותי אינטרנט לגיטימיים. לאחר מכן איתר ארגון הפשע אנשי מפתח מרכזיים בתוך החברות המותקפות, הצליח להסתנן לתוך הרשתות הפנימיות והמאובטחות וחדר למחשבים האישיים שלהם. ארגון הריגול התוקף השיג שליטה מוחלטת במאגרי המידע הרגישים והוא ממשיך לשאוב מהם מידע ללא הפרעה בזמן שהקורבנות אינם מודעים כלל לתקיפה.

הניתוח של CYBERTINELהתחקה אחר העקבות הדיגיטליים של מתקפת "הארקונן" וזיהה את האקרים שנמצאים מאחורי הפעולה. חברות בגרמניה, אוסטריה ושוויץ, שנודע להם אודות התקפת הסייבר, יוצרות קשר בימים האחרונים עם החברה כדי לדעת אם הן נמצאות ברשימת הקורבנות, כאשר  CYBERTINELמספקת שירות איתור מהיר לחברות באמצעות הצוותים המקומיים שלה.

הטכנולוגיה של CYBERTINELמבוססת על איתור רב שכבתי, כאשר נקודת הקצה של החברה מזהות התקפות סייבר מתוחכמות באופן אוטומטי. סוכנים המותקנים על כל נקודת קצה מנטרים באופן קבוע את בטחון המערכת (ללא מעורבות של המשתמש או הפרעה לעבודתו), ומעבירים קבצים חשודים לשרת מרכזי המנתח את כל התופעות החשודות ומדווח לאחראי האבטחה בזמן אמיתי. האנליזות שמבצע השרת המרכזי מאפשרות חקירה עמוקה של כל מאפייני התקיפה כולל מתן דרכי התמודדות והתראות על חשדות לפגיעה במחשבים נוספים.

קובי בן נעים, מנכ"ל CYBERTINEL   אומר : "התקפות סייבר מבוצעות היום ממניעים כלכליים ופוליטיים על ידי ארגוני פשע ומדינות עוינות שלהם משאבים רבים ויכולות לעקוף את מנגנוני ההגנה המקובלים ברוב התעשיות. הפוגענים החדשים לא נושאים חתימות ולכן רוב ההגנות לא יזהו אותם. הם מסווים את עצמם בצורה יעילה בתוך מערכת ההפעלה ויכולים לפעול ולהזרים החוצה מידע רגיש במשך שנים ללא הפרעה".