opjerusalem, צילום מסך

בגלל טעות: נמנעה מתקפת תוכנת הכופר הגדולה ביותר נגד ישראלים

בסוף השבוע האחרון פורסם כי אתרים רבים הושחתו בעקבות מתקפת סייבר שיוחסה לארגונים פרו -פלסטינים, כעת מסתבר שההשחתה המדוברת היתה רק קצה הקרחון במתקפה הזו

האם נמנעה מתקפת תוכנת הכופר הגדולה ביותר אי פעם שכוונה נגד ישראלים? ובכן, זה בהחלט נראה כך. בסוף השבוע האחרון מאות אתרי אינטרנט ישראלים מצאו עצמם תחת מתקפת סייבר. במקום חלק מהתוכן המקורי שלהם הופיע  דף שחור ועליו הכיתוב באדום “Jerusalem Is The Capital Of Palestine”. חלק מהידיעות שעלו לאויר ופורסמו בבלוגים וברשתות החברתיות השונות טענו כי מדובר בקמפיין אנטי ישראלי שנועד רק להשחית אתרים, אך כעת מסתבר כי ההשחתה היתה רק קצה הקרחון ונראה כי רק בנס יתכן ונמנע ארוע סייבר חריג בקנה המידה שלו - כמותו מדינת ישראל עדיין לא חוותה.

ראשיתו של הארוע הזה בשבת, פירצה שנוצלה על ידי האקרים זדוניים בתוסף פופולארי המותקן במאות אתרים הובילה למה שמוערך כהשחתה של מליוני עומדים בשורה ארוכה של אתרים ישראליים. התוסף המדובר שייך לחברה בשם Nagich.co.il, המתמחה בהנגשת תכנים לבעלי מוגבלויות. "ההאקרים שגילו את הפלאגין, השכילו להבין שדי בפרצה אחת על מנת להדביק מאות אלפי משתמשים" אומר עידו נאור, מנהל מחקר בקספרסקי ישראל. "ההאקרים פנו לשורש הפלאגין הזה – שם מתחם משני של חברת נגיש – js.nagich.co.il  - ושם הושתל הקוד הזדוני. דבר זה גרם לטעינה של הקוד בכל דף בו קיים לינק ההנגשה". אבל מסתבר שהקוד המדובר לא כלל רק השחתת העמוד בו נטען התוסף, כי אם משהו זדוני הרבה יותר - הורדת תוכנת כופר למחשב של כל גולש תמים שנקלע לאתר הנגוע.

צילום מסך של אתר שנפרץ

צילום מסך של אתר הסופר פארם שנפרץ ( צילום מסך)

 

כאמור, על פניו נראה היה כי  הסיבה להחלפת הקוד הייתה בראש ובראשונה הצגת דף HTML ובו תוכן תעמולתי, אך מסתבר כי במקביל, בקוד המקור של אותו הדף ההאקרים הריצו אלגוריתם שמבצע זיהוי של סוג מערכת ההפעלה במחשבו של הגולש ולאחר מכן מוריד למחשבו קובץ המתחזה לעדכון תוכנה של Adobe Flash Player. לדברי נאור

מאחורי ה"עידכון" עומדת תוכנת כופר אשר בעת הפעלתה תנעל את קבצי המחשב הקורבן ותדרוש 500$ במטבעות וירטואליים, עבור שחרור הקבצים. בנוסף, "על הקורבן יהיה להתקין דפדפן חדש בשם Tor דרכו יגלוש לאתר אשר לא ניתן למצוא אותו ברשת האינטנרט הרגילה – אתרים אלו הינם בעלי סיומת onion ונמצאים ברשת הדארקנט" מסביר נאור. 

מכיוון והתוסף המדובר, שכאמור מאפשר לאנשים בעלי מוגבלויות גישה לתכנים באתרים שונים,   מותקן על מאות אתרים ישראלים דוגמת: Ynet, כלכליסט, סופר פארם, מקדונלדס, בנק הפועלים, בנק לאומי, גולן טלקום, בהצדעה, יד 2,  פרטנר, רשויות מקומיות כמו עריית תל אביב-יפו ואתרים ממשלתיים כמו משרד האוצר -  כולם אתרים מהימנים שזוכים לאמון הגולש, הרי שמדובר בפוטנציאל הדבקה שיתכן ולא ראינו דומה לו במחוזותינו. אלא שלדברי נאור - משהו השתבש בדרך, וטעות קוד פשוטה שביצעו התוקפים מנעה ארוע גדול בהרבה. 

 ההודעה שהיו אמורים לקבל קורבנות תוכנת הכופר

ההודעה שהיו אמורים לקבל קורבנות תוכנת הכופר ( עידו נאור/טוויטר)

 

החקירה של נאור העלתה כי תוכנת הכופר מכילה קובץ המקפיץ הודעת שגיאה מזויפת ולאחר מכן, באופן מיידי, יפתח חלון פקודות במחשב הקורבן ובוא יהיה כתוב #OpJerusalem והסבר על כך שהקבצים במחשב מוצפנים וניתן לשחררם רק באמצעות תשלום כופר. סיומות הקבצים הינם JCRY שככל הנראה משמשים כקיצור של Jerusalem Cry.  לאחר חקירה של קוד ה-HTML שהתוקפים עשו בו שימוש נאור חשף כי בעקבות טעות של ההאקרים נוצר תנאי עצירה בקוד שעוצר את פעולת הדף ומשאיר חלק מהקוד הכולל את הלינק לתוכנת הכופר כ"קוד מת". "קוד מת, בשפתם של מפתחי קוד" מסביר נאור, "הוא חלק אשר הקריאה אליו לעולם לא תגיע ולכן אין לייחס לו חשיבות כלל".

"אם למשל הוצאתי ירקות כדי לחתוך סלט", אומר נאור, וכתבתי בקוד שלי שרק במידה והמלפפון אדום אקח סכין ואחתוך אותו -הרי ששלב הכנת הסלט לעולם לא יגיע וכל "הקוד" הנוסף שמתוכנן להגיע לאחר מכן, זה המורה על חיתוך, תיבול והגשה פשוט ישאר כקוד מת. "כך גם ההאקרים", הוא מסביר, "כתבו בקוד הדף, "אם שם מערכת ההפעלה אינו Windows, נא הצג אך ורק דיפייסמנט (השחתה של הדף), אחרת הצג דיפייסמנט וגם הורד תוכנת כופר". נאור מסביר כי מכיוון והערך עבור שם מערכת ההפעלה תמיד יציג גם את גרסת מערכת ההפעלה, הרי שהתנאי של "אם שם מערכת ההפעלה אינו Windows" תמיד יהיה נכון -מאחר וזה תמיד יהיה מלווה במספר או כינוי דוגמת :Windows 10, Windows 8 וכן הלאה. כך שמה שקרה בפועל הוא שהחלק של "הצג דיפייסמנט וגם הורד תוכנת כופר" הפך לקוד מת ולכן לא הצליח להדביק משתמשים שמבקרים בדף. עוד מוסיף נאור ואומר כי בדיקה של הארנק האלקטרוני אליו מפנה תוכנת הכופר העלתה כי ככל הנראה לא הופקדו לשם כספים - מה שמאשש עוד יותר את כשלון הפצת התוכנה בעקבות הטעות בקוד.

המון שאלות עולות מהארוע הזה, כמו למשל כיצד זה קרה, כיצד ההאקרים קיבלו גישה לתוסף? נאור סבור כי נראה יתכן מדובר במידע שהושג כתוצאה מדיוג ממוקד שבוצע לעובדי חברת Nagich או לחילופין מידע שהושג מדיוג ממוקד שבוצע  למישהו מעובדי חברת BOX  - מי שסיפקה לחברת Nagich שירותים מקוונים. בנוסף, למרות הכסות הפרו-פלסטינית והסמיכות הקרובה לתאריך מתקפת ה OpIsrael המסורתית ב-7 לאפריל, הרי שלא ניתן לקבוע בודאות בשלב הזה מי עומד מאחורי המתקפה. ההרשאה החופשית שתוסף ההנגשה קיבל אמורה לעורר את כל הגופים שנפגעו לבצע חקירות פנימיות שבמסגרתן יוכלו להעריך שם טוב יותר את רמת החשיפה לאיומי סייבר תחתם הם נמצאים - זאת כתוצאה מתוספים חיצוניים נוספים המותקנים באתרים המקוונים שלהם. העובדה כי רק טעות בקוד הצילה מאות אלפי מבקרים ישראלים מהדבקה המונית בתוכנת כופר אמורה להדליק נורות אזהרה במערך הסייבר הישראלי ולפי גורם המעורה בארוע - נראה כי אף שם חוקרים את הדברים.