בזמן "שאגת הארי": נבלמו שני ניסיונות תקיפה נרחבים נגד אתרים פופולריים בישראל
מערך הסייבר הלאומי התיר לחשוף שני ניסיונות תקיפה שנבלמו במהלך מבצע "שאגת הארי", שהיו עלולים להוביל להדבקה רחבה באתרים פופולריים בישראל. האירועים כללו החדרת נוזקה לפרסומות באתרי חדשות, לצד הונאת Click-Fix באתרי מסחר. המתקפות נחסמו באופן אוטומטי הודות למיזם TITAN, המשותף למערך הסייבר ולחברות אבטחה מהמגזר הפרטי
במערך הסייבר הלאומי חושפים שני ניסיונות תקיפה שנבלמו במהלך מבצע "שאגת הארי", ושניהם היו יכולים להפוך לאירוע הדבקה רחב במיוחד דרך אתרים פופולריים בישראל.
במקרה הראשון, האקרים אנטי-ישראליים הצליחו להחדיר נוזקה לפרסומות לגיטימיות שהופיעו באתרי חדשות ישראלים מוכרים. כל מי שהיה לוחץ על אחת מהמודעות, היה עלול להוריד למחשב תוכנת שליטה מרחוק שאפשרה לתוקפים גישה מלאה למכשיר.
לפי הממצאים, התוקפים פרצו לחברה שרכשה שטחי פרסום באתר, והשתמשו בגישה הזו כדי להחליף את המודעות התקינות בגרסה נגועה. התוכנה עצמה היא כלי ניהול מוכר ולגיטימי, אבל במקרה הזה שימשה לצורך גניבת מידע ופגיעה במערכות.
האירוע זוהה על ידי שתי חברות אבטחה שמספקות שירותי SOC-as-a-Service ומשתתפות במיזם TITAN של מערך הסייבר הלאומי. אחרי הזיהוי בוצעה הצלבה מול המערכת הלאומית, הופצו התרעות לכל הגופים החברים במיזם, והחסימה בוצעה לפני שהאירוע התרחב.
במערך אומרים כי המהלך אפשר "לחסן" באופן אוטומטי אלפי חברות במשק. בפועל, מדובר בעדכון מהיר של מערכות ההגנה לפני שמישהו הספיק ללחוץ על הבאנר הלא נכון.
האירוע הזה מצטרף לניסיון תקיפה נוסף שנבלם באותם ימים, הפעם באמצעות הונאת Click-Fix באתרי מסחר. במקום לפרוץ ישירות למחשב, התוקפים מציגים באתר חלון שנראה כמו הודעת שגיאה או בקשת אימות תמימה. ההודעה מבקשת מהמשתמש לבצע פעולה ידנית, בדרך כלל להעתיק פקודה ולהדביק אותה בחלון ההפעלה של המחשב.
במקרה זה, לאחר סימון ה-V בבדיקת ה-CAPTCHA ("אני לא רובוט"), המשתמש מתבקש להעתיק ולהריץ פקודה במערכת ההפעלה כחלק מתהליך ה"אימות". ברגע שהמשתמש מבצע זאת, המחשב מוריד ומפעיל את הקוד הזדוני. מאחר שמבחינת מערכת ההפעלה מדובר בפעולה שהמשתמש אישר בעצמו, מנגנוני הגנה רבים אינם מזהים את האיום מיד.
מיזם TITAN הוקם בתחילת 2024 על רקע מלחמת חרבות ברזל. במיזם משתתפות 32 חברות אבטחת מידע שמנטרות יחד יותר מ-2,000 ארגונים, בהם גופים חיוניים ותשתיות קריטיות.
לדברי טל אביטן, מנהל ה-SOC הלאומי וראש המיזם במערך הסייבר הלאומי: "המיזם מדגים שיתוף פעולה יעיל ומשמעותי בין מערך הסייבר הלאומי לבין המגזר הפרטי, שעזר בחודשי הלחימה האחרונים להרחיב את ההגנה בסייבר על המשק הישראלי".
לדבריו, "הפעילות במיזם באה לידי ביטוי בשיתוף מזהים וחוקי ניטור בפלטפורמה ייעודית. המידע זורם בשני הכיוונים: החברות השותפות מתריעות על אירועים חריגים שהן מזהות אצל הלקוחות, והמערך מזין את המזהים של האירוע למערכת הלאומית. הדינמיקה הזו מאפשרת הגנה אוטומטית ומהירה, שהיא קריטית במיוחד מול תוקפים הפועלים במהירות".