סוס טרויאני עויין מנסה לשתק מאות מחשבים בישראל

יום ה', 11 בספטמבר 2014

CYBERTINELחברת הגנת הסייבר ממודיעין, חשפה סוס טרויאני שמנסה מזה כמה ימים לחדור למאות מחשבים בישראל והחל  לתקוף אותם מה- 11/9.

החשד להתקפה עלה לאחר שבימים האחרונים כמה מלקוחות החברה העבירו אימיילים חשודים לבדיקה ב- CYBERTINEL. הודעת האימייל נשלחה למאות משתמשים בבנקים, משרדי ממשלה, תעשיות ביטחוניות ותשתיות קריטיות. ההודעה הזמינה את המשתמש להוריד מ- iCloud  תמונות עירום של סלבריטאיות בטרם יוסרו מהרשת. ניסיון של המשתמש להוריד את התמונות גרם לפתיחת קובץ ZIPולשתילה של הסוס הטרויאני במחשב. לאחר ההתקנה הסוס הטרויאני יוצר קשר עם אתרי המפעילים בתוניסיה וממתין לפקודות מהתוקפים.

ההתקפה עצמה, ביוזמת ארגון OPISRAELשבו חברים האקרים מרחבי העולם הפועלים כנגד מטרות בישראל, התחילה בלילה. אחרי תהליך קצר של העברת מפתחות בין הנתקף לתוקף התוקף משך קבצים מתיקיית "המסמכים שלי" של המחשב המודבק כולל סיסמאות משתמשים, פירוט מלא של כל התוכנות המותקנות במחשב ומידע על הרשתות. לאחר כשעה התוקף הוריד קובץ נוסף למחשב הנגוע ושמר אותו ב REGISTRYבפורמט HEX, על מנת להימנע מזיהוי של תוכנות אנטי-וירוס.

הקבצים שהתגלו נמצאים עדיין בניתוח במעבדת CYBERTINELבמטרה לפענח את כל מרכיביהם, אופן פעולתם, הנזק שאמורים לחולל והדרכים למנוע אותו. כבר אתמול CYBERTINELחשפה את החתימה של הסוס הטרויאני והעבירה אותה ליצרני תוכנות אנטי-וירוס המובילים בעולם כדי שיעדכנו את ההגנות שלהן. משתמשים שברשותם תוכנת הגנה שסרקה את המחשב יכולים להיות בטוחים אך משתמשים רבים אינם מתעדכנים או סורקים את המחשב באופן יומיומי ולכן הם חשופים להתקפה.

מניתוח הודעת האימייל הנגועה עולה שהיא נשלחה כביכול מכתובת בישראל ונערכה בעברית על ידי תוכנה לתרגום אוטומטי. הסוס הטרויאני עצמו הוא תכנה גנרית שניתנת לרכישה אך הוא מכיל הגנה פנימית מפני ניתוח סטטי על ידי מערבל קוד בשם YANO. הקובץ מאוחסן בשרת הולנדי וכאשר הוא מותקן בהצלחה במחשב הוא יוצר קשר עם מפעיליו שעל פי כתובת IPנמצאים בתוניסיה. הקובץ יודע לעקוף תוכנות FIREWALL  ושורד BOOTשל המחשב.

עבור משתמשים שטרם עשו זאת מומלץ להוריד את העדכון האחרון של תוכנת ההגנה שברשותם ולסרוק את המחשב כדי להסיר את הסוס הטרויאני