הותר לפרסום: חמאס החדיר פוגען לטלפונים של משרתים בצה"ל
צה"ל הודיע היום כי בשיתוף שירות הביטחון הכללי (שב"כ) הצליח לסכל פעולת טרור טכנולוגי של חמאס. מדובר בסיכול שלישי בשלוש וחצי השנים האחרונות.
בחודשים האחרונים, זוהו במחלקת ביטחון המידע באגף המודיעין ובשירות הביטחון הכללי ניסיונות חוזרים של ארגון הטרור חמאס להדביק את המכשירים הסלולאריים של משרתי צה"ל בפוגען באמצעות יצירת קשר ברשתות החברתיות ושידול להורדת אפליקציות זדוניות.
בימים האחרונים ביצע צה"ל בשיתוף פעולה עם השב"כ סיכול טכנולוגי מוצלח של תשתית שרתים של ארגון הטרור חמאס אשר שימשה את הארגון לטובת יצירת קשר ואיסוף מידע ממשרתי צה"ל. זוהי הפעם הראשונה שסיכול טכנולוגי מתבצע אל מול תשתיות חמאס מסוג זה. כחלק משלים לסיכול הטכנולוגי, יזומנו החל מהיום מאות בודדות של משרתים שיש סבירות שנגועים בפוגען, לטובת תשאול והסרת הפוגען מהמכשיר.
• זאת ההזדמנות שלך! נסדר לך קריירה ונלווה אותך להצלחה - לפרטים נוספים לחצו כאן
בצה"ל הבחינו כי חמאס ממשיך ומשתפר בניסיונות לחדור אל טלפונים של חיילים באמצעות שימוש בפלטפורמות חדשות בטלגרם, אינסטרגם, ווטסאפ ופייסבוק. ישנם חידושים מהאירועים הקודמים וחמאס משכלל את היכולת שלו לפתח שיח עם החיילים דרך אנשים שהם כביכול מוגבלים. בנוסף הוא משתמש בהודעות קוליות ואנושיות.
לא מעט דמויות מציגות עצמן כדמויות שהן עולות חדשות. כדי לייצר אמינות החמאס מייצר את אותן הדמויות בכלל הרשתות. חמאס עושה שימוש באפליקציות שונות כמו סנפצאט להעברת תמונות. האלפיקצייה מבקשת הרשאות רבות כמו אפליקציות לגיטימיות רבות אחרות אך לאחר מכן מציגה שגיאה והטלפון מותקף. הפוגען יודע לייצר קשר ישיר עם החמאס ולהעביר תמונות, מסמכים, הודעות, מיקום ועוד.
אפיון הדמויות:
הדמויות – מערך ביטחון המידע באגף המודיעין זיהה שש דמויות בהן השתמשו להגיע למשרתים: שרה אורלובה, מריה יעקובלבה, עדן בן עזרא, נועה דנון, יעל אזולאי ורבקה אבוקסיס.
ארץ לידה -דמויות רבות מן המערך מציגות עצמן כעולות חדשות לארץ במטרה לכפות על היעדר השליטה המלאה בשפה העברית.
שימוש בהאשטגים – במטרה להגדיל את האמינות ואת כמות המשתמשים אליהם הגיעו הדמויות ברשת.
INTRO – שימוש בפונקציית ה"בקצרה" )Intro )של פייסבוק. באמצעות המשפט המופיע בפרופיל, ניסו הדמויות להגביר את אמינותם בהתחזות לנערות צעירות תוך שימוש ב"סלנג" ישראלי.
מהימנות התמונות – חמאס ערך את התמונות של הדמויות בכדי להקשות על מציאתן ברשת ושיוכן למקור.
פריסה רשתית – חמאס יצר ישויות במספר פלטפורמות במטרה להגביר את אמינותן של הדמויות וליצור נגישות רשתית רחבה.
הפוגען:
בחודשים האחרונים זיהו מערך ביטחון המידע באגף המודיעין ושב"כ, שלוש אפליקציות 'מדביקות' בהן השתמש חמאס במטרה להעביר את הפוגען: GrixyApp .ZatuApp, Catch&See
באתרי האפליקציות מתואר כי הן נועדו להעברת תמונות בין משתמשים לפרק זמן קצר ומוגבל (כמו אפליקציית "סנאפצ'אט"). ההרשמה לאפליקציה מתבצעת באמצעות כתובת דוא"ל וסיסמה. יודגש כי בשונה מהקמפיין הקודם האפליקציות לא הונגשו לחנות האפליקציות וניתן היה להוריד אותן אך ורק באמצעות קישור.
החקירה הטכנולוגית:
מחלקת בטחון המידע באמ"ן זיהתה מחקירת האפליקציה כי היא מבקשת הרשאות רבות, אך אלו משמשות אותה אך ורק לפעילות לגיטימית, כביכול על מנת לשלוח תמונות, צריכה האפלקציה גישה למצלמה וכו'.
מיד לאחר הורדת האפליקציה יופיע במכשיר הסלולארי אייקון שלה. עם הלחיצה על האייקון של האפליקציה היא תפתח כביכול ותופיע הודעת שגיאה לפיה הגרסא של האפליקציה לא נתמכת במכשיר ועל כן היא תמחק את עצמה.
לאחר מכן, האפליקציה נסגרת והאייקון שלה נעלם – כביכול נמחקה. בפועל המכשיר הסלולארי כבר הותקף, הותקן עליו פוגען המאפשר לחמאס להשתלט על המכשיר.
עולה כי לאפליקציה יכולות גבוהות, לא שונות במהותן, ממה שראינו באירועים קודמים: יצירת קשר אל מול השרת של חמאס והעברת קבצים מהמכשיר הנגוע באופן אוטומטי, צילום תמונות מרחוק באופן עצמאי, מתן גישה למערכת הקבצים (write/read), הורדת קבצים נוספים והרצתם, איסוף מזהים על הטלפון, איסוף מסרונים, הקלטת נפח, איסוף אנשי קשר, מתן גישה למיקום (GPS), וגישה למצלמה.
הנחיות בטחון מידע למשרתים:
א. לחיצה על קישורים ממקורות מוכרים בלבד.
ב. הורדת תכנים מאתרים מהימנים בלבד.
ג. גילוי ערנות לפניות חשודות באינטרנט וברשתות החברתיות.
ד. הימנעות משיוך צבאי ו/או פרסום מידע מסווג באינטרנט וברשתות החברתיות.
ה. בחינת ההרשאות הנדרשות בעת הורדת יישומון.
ו. דיווח למפקד או לגורם ביטחון מידע ביחידה על כל אירוע חריג.
ז. הרחקת הטלפון הנייד ממתחמים צבאיים מסווגים.
בצה"ל מדגישים כי על מנת לסכל את הניסיונות של חמאס הכי חשוב זה ערנות ומודעות של המשרתים. בצה"ל מנחים כי בכל הנושא של עולם הקישורים והפניות למקורות שונים באמצעות לחיצה על לינק (קישור) יש לבצע רק ממקורות נאמנים ולדווח לקצין ביטחון המידע או למפקדים בדברים חריגים.
דובר צה"ל מסר כי "מדובר באנשים ספציפיים בארגון החמאס שמבצעים את הפעילות הזאת" אך ציין כי לא ניתן לפרט מעבר לכך. הוא הדגיש כי "אותם אנשים בחמאס לא יודעים לשבת על מישהו מיחידה ספציפית. זיהינו אותם מלפני מספר חודשים, נתנו להם להמשיך כדי לאפשר את פעולת הסיכול הטכנולוגי שהיא אפקטיבית יותר."
עוד אמר דובר צה"ל כי "לא דלף מידע משמעותי, מדובר בסדר גודל קטן של מאות בודדות של אנשים ממגוון יחידות הצבא. ככל שאנחנו מזהים כעת, לא נגרם נזק בטחוני. במקרים שזיהינו כי יתכן ויגרם נזק שכזה פעלנו באופן מיידי מול אותו משרת צה"ל. כמו כן, זיהינו כי חמאס הרחיב את המאתרים שלו ופנה לאוכלוסיות נוספות, בשונה מאירועים קודמים בהם התמקד בלוחמים. הזיהוי התאפשר בין היתר באמצעות מעקב אחר אחת הדמויות שזוהו עוד באירועים הקודמים ולא חשפנו בזמנו במטרה לעקוב אחר השתנות התשתית הטכנולוגית של ארגון הטרור ולזהות חזרה לפעילות כנגד משרתינו."
הדמויות שנחשפו
האפליקציות ששימשו בהדבקת הפוגען
"Catch&See"
"ZatuApp"
"GrixyApp"