האקרים עוקבים אחר באמצעות החדרת כלי ריגול לטלפונים

יום א', 19 בפברואר 2017

האקרים העוקבים אחר תנועות צהל באמצעות החדרת כלי ריגול לטלפונים של חיילים - עדיין פעילים.

על פי פרסום באתר Securelistשל מעבדת קספרסקי, החברה סיפקה סיוע לחקירה של צה"ל לגבי התקפות סייבר שמוקדו בחיילי הצבא. נכון להיום אותרו כ- 100 חיילי צה"ל בכל הדרגות, שרבים מהם מוצבים באזורים רגישים כגון סביב רצועת עזה, אשר נפלו קורבן לכלי ריגול הממוקדים במכשירי אנדרואיד – כשהם חושפים את מיקום היחידה שלהם וכן מידע רגיש נוסף, כגון כלים וציוד צבאי.

על פי המחקר, עליו חתומה גם יחידת המחקר C4Iשל חיל התקשוב, כלי הריגול הופץ באמצעות שימוש בהנדסה חברתית, בערוצים כגון אפליקציית המסרים של פייסבוק, כשהוא מסוגל להפעיל את המצלמה, לאסוף נתוני מיקום, לשלוח ולקרוא SMS, או לבצע האזנה. חוקרי מעבדת קספרסקי סייעו לנתח את ההתקפות, כולל הכלים והטכניקות שהופעלו. עדויות מצביעות על כך כי מדובר במתקפה ממוקדת שעדיין נמצאת בשלביה המוקדמים, ואשר נועדה להשיג נתונים אודות תנועה ופיזור כוחות הקרקע של צה"ל, וכן אודות טקטיקה וציוד של הצבא.

רוב החיילים התפתו לשתף ללחוץ על קישורים זדוניים כתוצאה מהודעות בעלות גוון מיני שנשלחו מפרופילים שהתחזו לתושבי מדינות כגון קנדה, גרמניה ושוויץ. שיטת פעולה נפוצה של הקבוצה שמאחורי ההתקפה מתחילה בבקשה לשלוח תמונה עירום של הקורבן, כשלאחריה נשלחת תמונה מזויפת של נערה.

אל הקורבן נשלח קישור להורדת אפליקציה מזויפת כשהתוקפים מצפים כי הקורבן יתקין אותה באופן ידני ויאשר הרשאות של משתמש רגיל. אותה חבילה ראשונית שהופעלה שולחת רשימת אפליקציות המותקנות על המכשיר אל שרתי הפיקוד שלה, ומורידה מטען פריצה שיתאים ביותר למכשיר הנגוע.  גרסה אחת של המטען מתחזה לאפליקציית YouTube אחרות מתחזות לאפליקציות מסרים. בעוד האפליקציה הראשונה בשם LoveSongs מאפשרת הפעלת וידאו, האפליקציה WowoMassanger אינה עושה דבר ומוחקת עצמה אחרי ההפעלה הראשונה.

הקוד הזדוני מותקן לאחר שאחד ממטעני הפריצה הורד והופעל במכשיר הקורבן. עד עתה נמצא רק מטען אחד בשם WhatsApp Updateאשר מסוגל לבצע שני סוגי פעולות מרכזיים: פקודות על פי דרישה ותהליכים מוזמנים מראש לאיסוף מידע אוטומטי. רוב המידע שנאסף נשלח למפעילים כאשר מתבצע חיבור לרשת Wi-Fi.