X

שני בתי חולים נפגעו במתקפת סייבר

הערכת חברת האבטחה ESET: פלשתיני השתמש בנוזקה המתוחכמת HoudRat בתקיפה שבוצעה כנגד 2 בתי חולים בישראל בשבוע שעבר • הנוזקה מסוגלת לתעד צילומי מסך, הקלדות במחשב, לגנוב סיסמאות ואף להגיע לשירותים פיננסיים

אילן גטניו
, עודכן
0
צילום אילוסטרציה: GettyImges

בהמשך להודעה של רשות הסייבר הלאומית בשבוע שעבר, על מתקפת סייבר על בתי חולים בישראל בה נפגעו עשרות מחשבים בשני בתי חולים מרכזיים בארץ. במעבדות חברת האבטחה ESET ניתחו דגימות מהמתקפה וכעת נחשפים פרטים חדשים.

אכן שני בתי חולים בישראל נפגעו מהמתקפה, אך מממצאי המחקר אין אינדיקציה על כך שהמתקפה הייתה ממוקדת דווקא למערכות של בתי חולים וייתכן וגופים נוספים נפגעו ממנה.

בניגוד למידע שסופק בתחילה כי הפוגען בו נדבקו המחשבים הוא מסוג SGX הגונב תעודות RSA, תוצאות הניתוח מעידות על הדבקה בכלי ריגול לגניבת מידע, המזוהה על ידי ESET בתור HoudRat. ביכולתו של כלי הריגול הזה לתעד צילומי מסך, הקלדות במחשב, לגנוב סיסמאות מהדפדפן ואף לאתר שימוש בשירותים פיננסיים כמו פרטי חשבונות בנק, PayPal, eBay.

יש כמה רמזים בולטים למי עומד מאחורי הנוזקה שפגעה בבתי החולים. ראשית הפרטים שנגנבים נשלחים לדומיין Palestineop.com. לרוב כאשר מתבצעות מתקפות המכוונות למוסדות ישראלים ומשתמשות בדומיינים עם הביטוי "פלשתין", מי שעומדות מאחורי המתקפה הן קבוצות כמו אנונימוס או חמאס.

בקוד הנוזקה ניתן למצוא את הכיתוב הבא: "rad12345user@dev-point.com from Palestine". כיתוב זה הוא בעצם שם משתמש ששייך לכתובת dev-point.com, אתר של חברה מדובאי עם פורום בערבית עבור מפתחים, שם קיימים גם הסברים על שימוש בקוד עבור פריצה ויצירת נוזקות.

על פי חוקרי ESET המשתמש rad12345 מעיד על עצמו שהוא פלשתיני, הוא חבר פעיל בפורום הערבי ומשתף בו סקריפטים זדוניים ונוזקות. נראה שהוא גם הכותב המקורי של הנוזקה HoudRat שלא השתנתה הרבה מאז שזוהתה לראשונה ע"י ESET ביולי 2016.

אמיר כרמי, מנהל הטכנולוגיות של ESET בישראל מסביר כי "HoudRat הוא בהחלט לא כלי חדש או מתוחכם מידי, והוא פועל בצורה די פשוטה, אפילו שהוא מוסווה כדי לחמוק מזיהוי של אנטי וירוסים. על פי הזיהויים שלנו במהלך השנה שהוא קיים, הוא מזוהה בעיקר בדרום אמריקה, ולא היו כמעט זיהויים בישראל, מה שיכול להצביע על כך שמדובר בכלי שנמצא זמן רב בשימוש להתקפות פיננסיות"

כרמי הסביר כי HoudRat הוסב להתקפה בישראל על מנת להראות הישג בפרסום פרטים של עובדי מדינה. יכול גם להיות שהוא פגע בבתי החולים במקרה, אבל בהתחשב באופי הכותב של הנוזקה והכתובת שאליה היא ניגשת אפשר להעריך שמדובר אכן בהתקפה ממוקדת.

עדיין לא ידוע כיצד האיום חדר לרשתות של בתי החולים אבל ניתן לומר שקיימות אצלו תוכנות של תולעת שמאפשרות לו להתפשט ברשת באמצעות התקני USB ניידים.

 

טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו

כדאי להכיר