מערך הדיגיטל הלאומי חשף היום (שני) קמפיין סייבר בינלאומי ורחב היקף המכונה ShadowCaptcha, המנצל מנגנוני אבטחה מוכרים כדי להפיץ נוזקה מסוכנת. המתקפה, שפגעה במאות אתרים בעולם ובישראל, מתמקדת באתרי אינטרנט המבוססים על פלטפורמת וורדפרס (WordPress), ומשתמשת בהם כמוקד הדבקה להפצת נוזקה מתוחכמת שמסוגלת לגנוב נתונים, להפוך את מחשב הקורבן לכורה ביטקוין ואף להפעיל מנגנון כופר לסחיטת כסף.
ניצול ציני של משתמשים
הייחוד של ShadowCaptcha הוא בניצול ציני של אמון המשתמשים. הקוד הזדוני, שמוזרק לאתרים שנפרצו, מפנה משתמשים תמימים לדפים מזויפים שמתחזים למנגנוני CAPTCHA (כמו "אני לא רובוט").
במקום לבצע אימות פשוט, המשתמשים מונחים לבצע פעולות שנראות תמימות, כמו להדביק טקסט כלשהו בשדה או להפעיל פקודה, אך בפועל, אלו מריצות קוד זדוני שמתקין נוזקות מתוחכמות על המחשב שלהם.
ניר בר יוסף, ראש היחידה להגנת סייבר בממשלה הסביר בשיחה עם ynet: "מנגנון הקאפצ'ה מוכר לכולם, אך במקרה הזה המנגנון המזויף מבקש מהמשתמש לבצע פעולה מחוץ לדפדפן, כמו לפתוח שדה חיפוש במחשב, ולהעתיק לתוכו פקודה שמופיעה בחלון הדפדפן, המשמשת למעשה להתקנה של הנוזקה במחשב עצמו. יש לציין שמנגנון קאפצ'ה אמיתי לא מזיק למחשב, כל עוד הפעולה מתבצעת בתוך הדפדפן עצמו".
ההיקף הבינלאומי של המתקפה ניכר גם בדיווחים ממקורות גלובליים. חברות אבטחת סייבר וגופי אכיפה ברחבי העולם, כמו היורופול (Europol) וגופים בארה"ב, דיווחו בחודשים האחרונים על מבצעים נרחבים נגד רשתות פשע סייבר שניצלו נקודות כניסה דומות.
מתקפות אלו, בדומה ל-ShadowCaptcha, משתמשות בשיטות הטעיה מתקדמות כדי להטמיע תוכנות כופר או במטרה לגנוב מידע. לדוגמה, במבצע בינלאומי ששמו Operation Endgame, נותקו שרתים ומאות אתרים ששימשו להפצת נוזקות מסוג זה, מה שמצביע על דפוס פעולה דומה של ניצול אתרים לגיטימיים כנקודות הפצה של נוזקות.
מגוון רחב של יכולות הרסניות
הטקטיקה של התחזות למנגנוני אבטחה מוכרים היא תולדה של התפתחות טכנולוגית של המפתחים מד אחד, וקבוצות התקיפה מד שני. זהו שיפור טכנולוגי מתמיד ששם ללעג את המנגנונים הטובים ביותר, והוא מצטרף לארסנל של טקטיקות כמו התחזות למערכות תשלום או חשבוניות תמימות, כדי להקשות על גילוי הפעילות הזדונית.
בהתאם, הנוזקות שמופצות על ידי ShadowCaptcha מעניקות לתוקפים מגוון רחב של יכולות הרסניות, החל מהשתלטות מלאה על מחשבים, דרך גניבת מידע רגיש ועד כריית מטבעות דיגיטליים והצפנת מידע לשם דרישת כופר.
הנוזקות שמופצות על ידי ShadowCaptcha מעניקות לתוקפים מגוון רחב של יכולות הרסניות, החל מהשתלטות מלאה על מחשבים, דרך גניבת מידע רגיש ועד כריית מטבעות דיגיטליים והצפנת מידע לשם דרישת כופר
מערך הדיגיטל הלאומי הדגיש כי נכון לעכשיו לא נמצאו פגיעות במערכות הממשלתיות בישראל, אך ההערכה היא שמספר האתרים שנפגעו בפועל גבוה בהרבה מהמאות שאותרו עד כה. מערך הדיגיטל פועל יחד עם מערך הסייבר הלאומי כדי לעדכן את האתרים הישראלים שבהם זוהתה הנוזקה ולסייע להם להגן על עצמם.
במקביל, העבירו חוקרי המערך את החתימות של הנוזקה שזוהתה לפלטפורמות מודיעין הסייבר של גוגל ומיקרוסופט כדי שאלה יפיצו עדכונים לדפדפנים, אפליקציות האנטי-וירוס ומערכות ההפעלה שלהן.
בשלב הנוכחי לא ברור מי עומד מאחורי המתקפה הזו, אך במערך מעריכים כי מדובר בגוף פלילי שמחפש לגנוב כסף, ולא בגוף מדינתי שמעוניין לפגוע בגולשים הישראלים. הפצת הנוזקה משתמשת בתשתית מוכרת אך קשה מאוד לאיתור שמיוחסת לקבוצות האקרים פליליות.
במערך ביקשו להדגיש כי לבעלי אתרים מומלץ לוודא שהם מעדכנים באופן תדיר את התוספים והגרסאות של וורדפרס ועוקבים אחר האזהרות השונות שמפיקים גופי מודיעין הסייבר הלאומיים והעסקיים בעולם. למשתמשים, ההמלצה החד משמעית היא לבצע אימות קאפצ'ה אך ורק באמצעות הדפדפן, ולהימנע מכל בקשה חריגה שדורשת להריץ פקודות או לבצע פעולות חיצוניות.
