משתמש:Stav-tamari/מבצע אורורה

מבצע אורורה (מתקפת אורורה)  הוא כינוי שניתן לסדרת מתקפות סייבר (שביצעה ממשלת סין כלפי חברות אמריקאיות לצרכי ריגול מידע, אשר התנהלו במשך שנתיים, מ-2009 עד 2011 (3)^[1] ההתקפות כוונה כלפי חברות אמריקאיות מסקטורים של טכנולוגיה, פיננסים והגנה (2). תוך ניצול פרצות בתוכנת הדפדפן אינטרנט אקספלורר של מיקרוסופט (1^[1]) (6^[2]) כדי לחדור למחשבים של חברות ענק אמריקאיות, ביניהן גוגל (Google), יאהו (Yahoo), אדובי סיסטמס (Adobe Systems), סימנטק (Symantec) ובנק מורגן-סטנלי (Morgan-Stanly Bank).(2)

לוחמת סייבר/רשת היא פעולה תוקפנית באמצעות מערכות מידע ותקשורת ממוחשבות שמבצעות מדינות או ארגונים, במטרה לחדור למערכות ממוחשבות של היריב. (3). במתקפת סייבר, שהיא מתקפה זדונית, גורמים זדוניים מנצלים פגיעות של מידע מסוים לצורך ביצוע מתקפה דרך המרחבים האינטרנטיים, במטרה לשבש, להשבית, להרוס, להשיג שליטה לא מורשית על תשתיות ממוחשבות או לפגוע בשלמות המידע או חיסיון המידע.(10). במרחבים מקוונים ניתן לבצע תקיפה מכל מקום בעולם, כל עוד קיימת גישה למערכות באופן מקוון. התוקף מנסה להשיג מידע מרשת המחשבים של הנתקף באמצעות תוכנות ריגול ובמקרים קיצוניים אף ינסה לשנות את המידע. כדי להתמודד עם איומים אלה, הצד שעשוי להיות מותקף מנסה לאבטח את המידע שלו. (3)

סדרת הפריצות במבצע אורורה החלו ב-11 לינואר 2009 והתרחשו בעיקר בחצי השנה הראשונה של שנת 2009. (4). למעשה, המתקפה התגלתה לראשונה לחברת Goggle רק כשפעיל זכויות אדם ממוצא סיני שמתגורר בניו-יורק התריע בפני החברה שהבחין שבמקביל אליו, מישהו מטייוואן נכנס לחשבון האימייל שלו. (5) גוגל זיהתה שהאקרים תקפו את רשת התאגיד, גנבו מידע וחיפשו גישה לחשבונות של פעילי זכויות אדם. סין זוהתה כמקור המתקפה. בינואר 2010 הודיעה גוגל שגם מחשביה נפרצו במשך מספר חודשים על ידי האקרים שהשתמשו בשרתים שממוקמים בסין. (4)

תוכנות התקיפה והריגול לא זוהו באמצעי האבטחה של החברות המותקפות. התוקפים השתמשו בעשר חתיכות קוד זדוניות ורמות הצפנה שונות כדי להגיע לעומק הרשתות הממוחשבות. (2) מאוחר יותר התגלה שמאות חברות אמריקאיות הותקפו ונפרצו, כשחלקן הסתירו את דבר הפריצה (4).

מבצע אורורה מיוחס ליחידות הסייבר של "צבא השחרור של סין (PLA)". למרות שסין הכחישה בתוקף כל קשר לתקיפות, דווח במדיה האמריקאית שחלק גדול מהתקיפות מקורן ב"יחידה 61398" המקושרת לממשל והצבא הסיניים. (9)

חברת אבטחת המידע מקאפי קראה למתקפה "מבצע אורורה" בגלל השם שהתוקפים נתנו לספריית הקבצים שמכילה את התוכנות הזדוניות והודבקה הלאה. (2)

מהלכי המתקפה[עריכת קוד מקור | עריכה]

במתקפה נעשה שימוש בטכניקות מודיעין אנושיות וכלי טכנולוגיה מתפתחים במטרה לגנוב סודות תאגידים ומידע סודי. המתקפה הייתה ממוקדת מאוד ומכוונת כלפי מהנדסים, מתכנתים ואנשי אבטחת איכות בארגונים המותקפים, שלהם רמה גבוהה של גישה למידע - מה שדרש איסוף מידע מקדים במשך חודשים, בהם התוקפים אספו מידע מאתרי רשתות חברתיות (כמו פייסבוק, טוויטר, לינקדאין ומיי-ספייס) ושלחו אימיילים או הודעות המכילים קישורים לשרת פרוץ בטייוואן, תוך התחזות לדמות שמוכרת לנמען. הנמענים הקליקו על הקישור ובכך התחברו לשרת הפרוץ ללא ידיעתם והמחשבים הנגועים שלהם הורידו באופן אוטומטי תוכנה שיצרה דלת אחורית או סוס טרויאני. השילוב של הפרצה בדפדפן אינטרנט אקספלורר והסוס הטרויאני היו נקודות המפתח שאפשרו לתוקפים להשתלט על המחשב, להתחזות למשתמש עם הרשאות רבות, לגשת לרשת המידע ולגנוב אותו. (5)

שלבי ההדבקה[עריכת קוד מקור | עריכה]

1. המשתמש ניגש לאתר נגוע

2. לאתר הנגוע יש קוד זדוני אוטומטי שמנצל פרצה בדפדפן אינטרנט אקספלורר IE 6/7/8

3. התוכנה הזדונית מורדת למחשב ומותקנת באופן אוטומטי, ללא ידיעת הגולש

4. התוכנה הזדונית פותחת דלת אחורית של המערכת הנגועה המאפשרת גישה למידע רגיש

גרסאות דפדפן בסיכון

גרסאות IE 6, 7, 8 במערכות ההפעלה של מיקרוספטWindows 2000, Windows XP, Windows 2003, Windows Vista, Windows 2008, Windows 7 . (1)

קבצים מוכרים  (1)

Exploit-Comele – סקריפט (מקטע קוד) זדוני שמנסה לנצל את הפגיעות כשאינטרנט אקספלורר מבצע פעולות DOM מסוימות. תוקף עשוי לנצל זאת כדי להפעיל קוד תוכנה מרחוק.

Roarur.dr – סוס טרויאני המכניס קבצים נוספים זדוניים למחשב הקורבן.

Roarur.dll – קובץ טרויאני שמוחדר על ידי הטרויאני roarur.dr. הקובץ יוצר שירות נוסף במחשב הקורבן ומחפש קבצים מסוימים במערכת. משמש לשידור של "שולחן העבודה" במחשב המודבק לתוקף.

סימני הפריצה (1)

·        חיבורי רשת חיצונית ל-"hxxp://demo[remove].jpg"

·        הימצאות הקבצים הבאים:

%SystemDir%\Rasmon.dll

%SYSDIR%\DFS.bat

·        הימצאות מפתחות ההרשמה (registry keys) הבאים:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RaS[%random 4 chars %]

"ImagePath" = %SystemRoot%\svchost.exe -k netsvcs

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RaS[%random 4 chars %]

"Start"= 02, 00, 00, 00

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RaS[%random 4 chars %]\Parameters "ServiceDll" = %SystemRoot%\rasmon.dll

האם קיים קשר ישראלי?[עריכת קוד מקור | עריכה]

לפי דיווחים במדיה (7), ישנה הערכה בשוק אבטחת המידע הישראלי שמי שאפשר את הפריצה מסין הוא מומחה ישראלי לניצול פרצות באבטחת מידע, יוצא יחידת מודיעין. ההערכה מבוססת על תיאור שלו מתרברב בראיון עבודה לחברת אבטחת מידע על כך שהצליח למכור מידע שאפשר את התקיפה על רשת גוגל בפורום סגור של האקרים (7). לא נמצאו עדויות רשמיות לדיווח זה.

איומי סייבר בעידן האינטרנט[עריכת קוד מקור | עריכה]

בעידן האינטרנט של ימינו, התפתחויות טכנולוגיות שמאפשרות שליטה מקוונת על מאגרי מידע גדולים ("ביג דאטה") ועל חפצים ומערכות פיזיות ("האינטרנט של הדברים"), מציבות בסיכון את המידע האישי והביטחון האישי.

המידע האישי, כמו נתונים על מיקום גיאוגרפי, מידע פיננסי ואף מידע רפואי, מאפשרים להסיק מידע אישי רגיש כמו הרגלים ודפוסי התנהגות, תכונות והעדפות אישיות. מידע אישי זה עלול להימצא בסיכון אם ינוצל לרעה על ידי גורמים שונים למטרות שונות ממטרתו המקורית, כמו הצעות מגופים מסחריים המבוססים על מידע הנוגע לבריאותנו, (3) או אף שימוש בו כדי להזדהות בשמנו.

הביטחון האישי עלול להיות בסיכון אם גורמים עוינים יבצעו מתקפות סייבר שינצלו פרצות אבטחה כדי לפגוע בחיי אדם, באמצעות השתלטות על כלים המופעלים באופן ממוחשב, כדוגמת מפעלים ומתקני תשתיות לאומיות. (3)

משום שטכנולוגיות חדשות המבוססות על תקשורת מקוונת נכנסות לשוק מדי יום, לכן עולה במקביל גם רמת הסיכון לאיומים שמקורם מקוון. איומים אלה על מאגרי המידע של הארגונים מחייבים התייחסות מיוחדת ודורשים התגוננות פעילה מצד הארגונים ושימוש בכלי אבטחה מתאימים. (8).

איומי סייבר על ישראל[עריכת קוד מקור | עריכה]

הסיכונים במרחב הסייבר אינם חדשים, אך בשנים האחרונות ישנה עלייה משמעותית בהיקף ובעוצמת האיומים בעולם כולו ובישראל בפרט, שמקורם בעליית ההזדמנויות לתקיפה, כיוון שמרחב הסייבר מגיע לכל טלפון "חכם" (Smartphone) ולכל מחשב המחובר לרשת האינטרנט, שמצידה מאפשרת אנונימיות והפצה של כלי תקיפה ותקשורת בין גורמים שונים. כתוצאה, גורמים עוינים לישראל משקיעים משאבים לניצול הזדמנויות אלו. (10)

#Opisrael - מדי שנה מאז 2013, ב- 7 באפריל מציינים האקרים שונאי ישראל את יום הזעם שלהם כנגד המדינה. המבצע מכונה Opisrael ואמור לכלול תקיפות סייבר נרחבות ומתוזמנות נגד ישראל. מדי שנה מבטיחים האקרים מקבוצת אנונימוס לתקוף כל מחשב ישראלי, אתר, חשבון מייל, שרתים ארגוניים וגופים פיננסיים וממלכתיים מישראל, אך בפועל, המתקפות ספורות בלבד. נרשמו ניסיונות תקיפה של אתרי רשויות, ספקיות אינטרנט, גופי חינוך ואקדמיה, גופים משפטיים ופיננסיים, אך ללא נזק ממשי למידע.(11) 

לקריאה נוספת[עריכת קוד מקור | עריכה]

• לוחמת סייבר (לוחמת רשת): https://he.wikipedia.org/wiki/%D7%9C%D7%95%D7%97%D7%9E%D7%AA_%D7%A8%D7%A9%D7%AA

• סוס טרויאני (תוכנה): https://he.wikipedia.org/wiki/%D7%A1%D7%95%D7%A1_%D7%98%D7%A8%D7%95%D7%99%D7%90%D7%A0%D7%99_(%D7%AA%D7%95%D7%9B%D7%A0%D7%94)

• תוכנות ריגול (רוגלה):https://he.wikipedia.org/wiki/%D7%A8%D7%95%D7%92%D7%9C%D7%94

• האקר (פצחן): https://he.wikipedia.org/wiki/%D7%94%D7%90%D7%A7%D7%A8

• האינטרנט של הדברים - https://he.wikipedia.org/wiki/%D7%94%D7%90%D7%99%D7%A0%D7%98%D7%A8%D7%A0%D7%98_%D7%A9%D7%9C_%D7%94%D7%93%D7%91%D7%A8%D7%99%D7%9D

• Opisrael - https://en.wikipedia.org/wiki/OpIsrael

הערות שוליים[עריכת קוד מקור | עריכה]

1.       Varma, R. (2010). Mcafee Labs: Combating Aurora.‏ http://ver007.com/tools/APTnotes/2010/Combating%20Threats%20-%20Operation%20Aurora.pdf

2.       Zetter, K. (2010). “Google hack attack was ultra-sophisticated, new details show”. Wired Magazine, 14.‏  https://www.wired.com/2010/01/operation-aurora/

3.      רונית אביב, "ארגונים תחת איומי הסייבר", ניוזלטר פורום המנהלים לחדשנות, מאגר הידע לחדשנות, הטכניון, 13.4.2015, http://innovation.technion.ac.il/workrooms.asp?show=discussions&posts=on&id=4&discid=279&dyn=1&dyn2=

4.       "רשת המחשבים של מורגן סטנלי נפרצה בהתקפת הסייבר הסינית שפגעה בגוגל לפני שנה", אתר דה-מרקר, 1.3.2011, http://www.themarker.com/technation/1.594979

5.      Gertz, B. (2010). Cyber-attack on US firms, google traced to chinese. The Washington Times.‏ http://www.washingtontimes.com/news/2010/mar/24/cyber-attack-on-us-firms-google-traced-to-chinese/

6.      ירון, עודד. "מיקרוסופט: ההאקרים הסינים ניצלו פירצה באקספלורר", 17.01.2010, אתר "הארץ", http://www.haaretz.co.il/captain/software/1.1185208

7.      גרימלנד, גיא. "הישראלי שאיפשר לסינים לתקוף את גוגל". 29.5.2011, אתר "דה-מרקר", http://www.themarker.com/technation/1.648192

8.       Mangla, V., & Panda, S. N. (2013). Spectrum of Cyber threats and Available Control Mechanisms. Spectrum, 2(4), 1439-1447.‏ https://pdfs.semanticscholar.org/af34/379f4e574567d18ae79eb913619d8b101adc.pdf

9.      פרוסט טל. "דרקון דיגיטלי: הכירו את צבא הסייבר הסיני", 1.11.2013, אתר http://www.ynet.co.il/articles/0,7340,L-4448074,00.html

10.  "סיכונים במרחב הסייבר", משרד ראש-הממשלה, המרכז הלאומי להתמודדות עם איומי סייבר, https://cert.gov.il/WideAudience/Pages/CyberRisks.aspx

11.  וידל, אליחי. "הנזק העיקרי מאיומי מתקפת הסייבר על ישראל מחר: פאניקה והוצאות מיותרות", 6.4.2016, אתר דה-מרקר. http://www.themarker.com/technation/1.2905991