האקרים פלסטינים ניהלו בשנתיים האחרונות מתקפת סייבר מתוחכמת ביותר, במטרה לגנוב מידע מחברות וארגונים בעלי חשיבות אסטרטגית בישראל, כך חושף דו"ח שפרסמה הבוקר (ב') חברת האבטחה האמריקאית Trend Micro, תחת הכותרת "עוקפים את כיפת הברזל".

האקרים
אילוסטרציה

המתקפה, שזכתה לכינוי "מבצע צפע צחיח" (Operation Arid Viper), כוונה לעבר מטרות ישראליות מתוך שרתים הממוקמים בעיר הצנר שבגרמניה, אך לדברי החברה התנהלה בפועל על ידי האקרים מרצועת עזה.

החברה כותבת כי התוקפים הדביקו מחשבים ב"משרדי ממשלה, חברות תחבורה ציבורית, ספקית תשתית, ארגון צבאי ומוסד אקדמי אחד", אם כי היא אינה מספקת כל רמזים לזהותם של הגופים שנפלו קרבן למתקפה. דרך הפעולה היתה מיילים שכוונו לעובדים באותן חברות ופיתו אותם בדרכים שונות (שלא פורטו) לפתוח קבצים מצורפים.

לאחר פתיחת הקובץ המצורף למייל, הפעיל את עצמו סרטון פורנו קצר ששולב עם תוכנה זדונית, כאשר ברקע הופעל קובץ נוסף שהתחזה לסקייפ. התוכנה המתחזה יצרה קשר עם שרת מרכזי וסיפקה פרטים על המחשב אליו הגיעה, במטרה לזהות האם מדובר במחשב חדש או באחד שהתוכנה כבר נמצאת עליו. לאחר מכן, הוענקה למפעילי השרת גישה לחומרים שעל המחשב המודבק, כאשר השליטה התאפשרה על כל מחשב מודבק בנפרד והעניקה להם חופש פעולה לבחור אילו חומרים יועברו מהמחשב לשרת.

החברה מציינת כי דרך הפעולה של המתקפה היתה ייחודית וראשונה מסוגה. עד כה, ההתנהלות המוכרת של תוקפים היא לפתות את המותקפים להפעיל קבצים שמתחזים לסרטונים או תמונות אך מפעילים תוכנות זדוניות. השילוב של סרטוני פורנו שהופעלו אוטומטית ללא שמקבלי המיילים ציפו לכך, ובעודם על מחשב המשרד, יועדה לגרום להם לחוש מבוכה ולא לדווח על המייל החשוד, וכך הפחיתה מאוד את הסיכוי לגלות את התוכנה הזדונית.

חקירת פרטי הבעלות על שרת השליטה של התוכנה גילתה כי היא נרכשה תוך שימוש בפרטים בדויים, אך עם כתובת מייל שנראית כשם אמיתי: חליד סמרע בג'ימייל. אתרי שליטה אחרים שקושרו עם התוכנה נוהלו מכתובות מייל שכללו בין היתר את השמות אחמד ג'מאל ומחמוד האשם. החברה חיפשה ומצאה פרופילים אינטרנטיים של מספר אנשים שקושרו עם כתובות המייל, ורובם רשומים לרשתות החברתיות כתושבי עזה ופעילים נגד ישראל ובעד חמאס.

השימוש בתוכנה החל, לפי החברה, כבר לפני כשנתיים, עלה משמעותית לפני כשנה ונמשך עד סוף 2014. במקביל, פעל מאותם שרתים מבצע לגניבת מסמכים ממחשבים במצרים ובישראל. עם זאת, בחברה הדגישו כי מבצע זה היה מתוחכם הרבה פחות, והחומרים שהושגו במסגרתו אף היו חשופים לעיני גולשים במשך זמן רב לפני שהבינו ההאקרים כי המבצע שלהם נגיש ברשת לכל מי שיודע איך לחפש אותו וחסמו את הגישה אליו.

החברה רומזת כי הקשר בין שתי התקיפות השונות עלול להצביע על מדינות ערביות או ארגוני טרור המממנים תשתיות להאקרים ערבים, במסגרת מאמץ לבנות צבא-סייבר שיתקוף מדינות מערביות. היא מזהירה מפני גל מתקפות של קבוצות האקרים ערבים, שלדבריה "יתקע" גולשים "בלב שדה קרב שלא איכפת להם ממנו".