כפי שפרסמנו הערב (רביעי) ב"מהדורה המרכזית", חברת הסייבר ההגנתית "Cybereason" חשפה קמפיין ריגול רחב של ארגון הטרור חמאס אחר עשרות יעדים בכירים ישראלים משירותי הביטחון וההצלה בישראל - באמצעות "נערות פיתוי".

במהלך השנים האחר ונות צוות המחקר של סייבריזן עקב באדיקות אחר פעילותן של קבוצות תקיפה שונות כנגד מטרות במזרח התיכון. בחודשים האחרונים הבחין הצוות בעלייה ניכרת בפעילותה של "APT-C-23", זרוע הסייבר המרכזית של החמאס. במסגרת המחקר, הצוות גילה 3 נוזקות חדשות ומתוחכמות, לצד יכולות מרשימות של התוקפים בשימוש השפה העברית ויצירת פרופילים מזויפים בצורה מוקפדת ואמינה.

לוחמי חמאס (צילום:  SOPA Images, getty images)
עברו לסייבר. לוחמי החמאס|צילום: SOPA Images, getty images

אם בעבר מרבית הפעילות של קבוצות התקיפה התמקדה בקורבנות דוברי ערבית, כיום קיים ניסיון רחב להפיל בפח עשרות ישראלים, רובם המכריע גברים שמשרתים בצבא, בארגוני אכיפת חוק ושירותי חירום. בקמפיין הנוכחי כלי התקיפה היו מתוחכמים וכללו שימוש בנוזקות שלא נחשפו מעולם במטרה להשיג גישה למכשירים הסלולריים והמחשבים של הקורבנות - למטרות ריגול ולחשיפת מידע רגיש.

נקודת הממשק הראשונה של התוקפים עם הקורבנות התבצעה דרך הפייסבוק. קבוצות התקיפה יצרו מספר פרופילים פיקטיביים של נשים צעירות שתופעלו ותוחזקו באופן רציף. "ניתן לראות שהתוקפים עשו עבודת מחקר מקיפה ביצירת פרופילים אמינים - העלו פוסטים בצורה תדירה, שיתפו תמונות, התנסחו בעברית רהוטה, הצטרפו לקבוצות פעילות והוסיפו את החברים של הקורבנות על מנת ליצור דמות אמינה בשטח", סיפרו בצוות המחקר של סייבריזן.

לאחר שנוצר הקשר בין התוקף לקורבן, החלה שיחה בצ'אט באפליקציה שנמשכה לאורך זמן וכללה תוכן מיני. בשלב מסויים התוקפים עודדו את הקורבן לעבור לשיחה אינטימית יותר בווטסאפ, ולאחר שנענו לבקשה פעלו התוקפים בשתי דרכים: 

  1. במידה והשיחה התקיימה דרך הנייד, ביקש התוקף מהקורבן להוריד אפליקציה "מאובטחת" להמשך ההתקשרות. האפליקציה נראתה כאפליקציית תמימה לכאורה, אך כללה בתוכה נוזקה שהותקנה על המכשיר הנייד. ברגע שהופעלה, לתוקף הייתה שליטה מלאה על מכשיר הנייד של הקורבן - כולל גישה למיקרופון, למצלמה, לתמונות ולאפליקציות האחרות במכשיר.
  2. הדרך השנייה הייתה באמצעות חדירה לרשתות פנימיות של גופים ביטחוניים. התוקפים שיכנעו את הקורבנות להתכתב עמם באמצעות מחשבים במקום העבודה - ויצרו איתם אינטראקציה דווקא במהלך שעות יום העבודה. במידה והקורבן התפתה, התוקפים העבירו לו לינק להורדת סרטון וידאו אינטימי. הלינק הוביל לקובץ שהכיל נוזקה המעניקה לתוקפים גישה מלאה למחשב, כולל היכולת לשאוב את המידע שנמצא במחשב או ברשת הארגונית.

צוות המחקר של סייבריזן מסר כי קמפיין הריגול מסמן עליית מדרגה משמעותית ביכולות התקיפה של חמאס. לפי החוקרים, בניגוד לפרופילים פיקטיביים מהעבר שהתגלו ישר כלא אמינים, הפרופילים החדשים אמינים וניכר כי הושקעו מאמצים רבים לכך.

"השימוש בהנדסה חברתית מוקפדת בשילוב כלי תקיפה מתוחכמים עשויים להסב נזק רב למדינת ישראל. חומרת המצב בה מדינת ישראל עשויה להימצא כתוצאה מחדירה של פעילי חמאס לרשת פנימית בארגון ביטחוני היא גבוהה, ועשויה להוות בסיס לאירוע מסוכן. אנו נוכחים לראות כי קבוצות התקיפה הופכות למתוחכמות יותר, אך לצד התפתחותם - היום ישנה טכנולוגיה מתקדמת שיודעת לזהות ולעצור אירועים שכאלו. באחריותנו להגן על המשאבים הקריטיים במדינה, זאת לצד תדרוך מקצועי והעלאת המודעות בקרב כוחות הביטחון וההצלה בישראל", אמר ליאור דיב, מנכ"ל ומייסד סייבריזן.

חברת סייבריזן מסרה כי יידעה את הגורמים הרלוונטים בישראל ואף דיווחה לחברת פייסבוק על הפעילות של הפרופילים הפיקטיביים.