בחסות הכאוס של CrowdStrike: האקרים איראניים טוענים שפרצו לשורת גופים ישראליים
אחת מקבוצות התקיפה האיראניות המוכרות טוענת כי הצליחה לפרוץ לכמה ארגונים מקומיים, זאת בעקבות עדכון התוכנה הפגום של CrowdStrike שהשבית מיליוני מחשבים ברחבי העולם • בצ'ק פוינט טוענים: "האירוע רחוק מלהסתיים" • ומה אפשר לעשות כדי לא ליפול בפח?
Your browser doesn’t support HTML5 audio
קבוצת Handala (הנדלה), אחת מקבוצות התקיפה האיראניות הגדולות והמוכרות, טענה היום (ראשון) בערוץ הטלגרם הרשמי שלה כי הצליחה לחדור לשורת ארגונים ישראליים.לפי הקבוצה, המתקפה בוצעה תוך ניצולהתקלה העולמית של חברת CrowdStrike, אשר השביתה מיליוני מחשבים ברחבי העולם במהלך סוף השבוע האחרון.
לפי הדיווחים בערוצי התקשורת המזוהים עם משמרות המהפכה והמידע שפורסם ברשתות החברתיות, ההאקרים האיראניים ניצלו את החולשה שנוצרה בעקבותעדכון התוכנה הפגום של CrowdStrikeואת המהומה והבלבול בקרב הציבור כדי להפיץ הודעות דיוג (פישינג) מזויפות. הודעות אלו התחזו למסרים רשמיים מחברת אבטחת הסייבר והכילו קישורים לקבצים זדוניים.
לדבריו של גיל מסינג , ראש המטה בחברת אבטחת הסייבר "צ׳ק פוינט": "האירוע הזה עדיין מתגלגל והוא רחוק מלהסתיים. בשל העובדה שהתיקון הטכני לתקלה דורש עבודה ידנית על כל מחשב ומחשב שנפגע - קבוצות תקיפה מכל רחבי העולם, בהן גם הקבוצות האיראניות, מנצלות את המצב כדי לנסות ולהפיל בפח גופים ישראלים".
"התוקפים מתחזים לחברת CrowdStrike ויוצרים קשר עם משתמשים באמצעים ובסגנון דומים לאלו של החברה. הם מציעים קבצים שכביכול נועדו לתקן את התקלה, אך למעשה מכילים תוכנות זדוניות. קבצים אלו עלולים לכלול תוכנות המאפשרות שליטה מרחוק במחשבי הקורבנות", טוען מסינג.
הוא מסביר כי "סביר להניח שהתקיפה לא תסתכם רק בהודעות דוא"ל מתחזות. אנחנו צופים שהתוקפים ירחיבו את שיטותיהם לערוצי תקשורת נוספים, בהן הודעות טקסט ושיחות טלפון. מטרתם - ליצור אשליה של תקשורת אותנטית עם נציגי החברה במטרה לפתור את הבעיה, כדי להגביר את סיכויי ההצלחה של המתקפה".
אז מה אפשר לעשות?
מסינג מסביר כי "ראשית, אם אינכם לקוחות של CrowdStrike - כל האירוע הזה לא נוגע אליכם, ויש להתעלם מפניות כאלה. בגלל שהבאג הזה פגע במערכת של ווינדוס, אז יש אנשים שחושבים שזה קשור גם אליהם , למרות שהם לא לקוחות החברה. זה כמובן לא כך ואם אתם לא לקוחות החברה – האירוע הזה לא קשור אליכם".
"אם אתם כן לקוחות החברה ונפגעתם מהאירוע הנוכחי, את המידע על הדרכים והאופן בו יש לטפל במחשב שלכם יש לקחת ישירות מהפלטפורמות של החברה- באתר ובמוקד התמיכה, ולא דרך מיילים אקראיים.
"אם קיבלתם מייל כזה - בדקו את הכתובת שלו. היא לרוב תכיל את המילה CrowdStrike או support , אבל הכתובת לא תהיה הכתובת האמיתית של החברה. מייל כזה יש למחוק בהקדם ובוודאי שלא ללחוץ על שום לינק או קובץ בו.
"אם לחצתם על קובץ כזה ממייל שמדמה את החברה ולא הגיע ישירות מהחברה עצמה – יש לפנות בהקדם למערך הסייבר הלאומי כדי שיסייע לכם לנקות את המכשיר, או לחברת סייבר מתאימה שתסייע לכם בכך.
"לבסוף, אם אתם מקבלים הודעת סמס או אפילו שיחת טלפון כשבצד השני מזדהים מ-CrowdStrike - ברוב מכריע של המקרים מדובר בהתחזות. אם אתם בכל זאת רוצים לנהל את השיחה, בקשו מהדובר לאמת את הזהות שלו ובכל מקרה אל תעשו מה שאומרים לכם מיד אלא קודם כל תבדקו עם המקור (אתר החברה או אתר התמיכה שלה) כדי לבדוק אם ההנחיות תואמות את מה שנאמר לכם".
טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו