מספר ימים לאחר המתקפה בה נפגעו עשרות מחשבים בשני בתי חולים בישראל, נאספים פרטים נוספים שמרמזים על מי שעומד מאחורי המתקפה. הנתונים מצביעים על כך שהקוד של הנוזקה שבה נעשה שימוש נכתב ע"י מפתח נוזקות המעיד על עצמו שהוא פלסטיני.
בהמשך להודעה של רשות הסייבר הלאומית בשבוע שעבר, על מתקפת סייבר על בתי חולים בישראל בה נפגעו עשרות מחשבים בשני בתי חולים מרכזיים בארץ. במעבדות חברת האבטחה ESET ניתחו דגימות מהמתקפה וכעת נחשפים פרטים חדשים.
אומנם אכן שני בתי חולים בישראל נפגעו מהמתקפה, אך מממצאי המחקר אין אינדיקציה על כך שהמתקפה הייתה ממוקדת דווקא למערכות של בתי חולים וייתכן וגופים נוספים נפגעו ממנה.
במה נדבקו המחשבים?
בניגוד למידע שסופק תחילה כי הפוגען בו נדבקו המחשבים הוא מסוג SGX הגונב תעודות RSA, תוצאות הניתוח מעידות על הדבקה בכלי ריגול לגניבת מידע, המזוהה ע"י ESET בתור HoudRat. ביכולתו של כלי הריגול הזה לתעד צילומי מסך, הקלדות במחשב, לגנוב סיסמאות מהדפדפן ואף לאתר שימוש בשירותים פיננסיים כמו פרטי חשבונות בנק, PayPal, eBay.
מי עומד מאחורי הנוזקה?
מצאנו כמה רמזים בולטים למי עומד מאחורי הנוזקה שפגעה בבתי החולים. ראשית הפרטים שנגנבים נשלחים לדומיין Palestineop.com. לרוב כאשר מתבצעות מתקפות המכוונות למוסדות ישראלים ומשתמשות בדומיינים עם הביטוי "פלסטין", מי שעומדות מאחורי המתקפה הן קבוצות כמו אנונימוס או חמאס.
בקוד הנוזקה ניתן למצוא את הכיתוב הבא: "rad12345 user@dev-point.com from Palestine". כיתוב זה הוא בעצם שם משתמש ששייך לכתובת dev-point.com, אתר של חברה מדובאי עם פורום בערבית עבור מפתחים, שם קיימים גם הסברים על שימוש בקוד עבור פריצה ויצירת נוזקות.
הפורום של dev-point.com
על פי חוקרי המעבדות שלנו, המשתמש rad12345 מעיד על עצמו שהוא פלסטיני, הוא חבר פעיל בפורום הערבי ומשתף בו סקריפטים זדוניים ונוזקות. נראה שהוא גם הכותב המקורי של הנוזקה HoudRat שלא השתנתה הרבה מאז שזוהתה לראשונה ע"י ESET ביולי 2016.
HoudRat הוא בהחלט לא כלי חדש או מתוחכם מידי, והוא פועל בצורה די פשוטה, אפילו שהוא מוסווה כדי לחמוק מזיהוי של אנטי וירוסים. על פי הזיהויים שלנו במהלך השנה שהוא קיים, הוא מזוהה בעיקר בדרום אמריקה, ולא היו כמעט זיהויים בישראל, מה שיכול להצביע על כך שמדובר בכלי שנמצא זמן רב בשימוש להתקפות פיננסיות, והוא הוסב להתקפה בישראל על מנת להראות הישג בפרסום פרטים של עובדי מדינה. יכול גם להיות שהוא פגע בבתי החולים במקרה, אבל בהתחשב באופי הכותב של הנוזקה והכתובת שאליה היא ניגשת אפשר להעריך שמדובר אכן בהתקפה ממוקדת.
עדיין לא ידוע כיצד האיום חדר לרשתות של בתי החולים אבל ניתן לומר שקיימות בנוזקה תוכנות של תולעת שמאפשרות לו להתפשט ברשת באמצעות התקני USB ניידים.