חשיפת מתקפה ממוקדת נגד חברות הובלת נפט

ב-20 במאי פורסם על מחקר חדש של חברת Panda בשם "Operation Oil Tanker: The Phantom Menace" העוסק בסכנות אשר מציב המרחב הקיברנטי למגזר הובלת הנפט.

מהמחקר עולה כי חברת האבטחה גילתה כבר בינואר 2014 התקפה מתמשכת על תובלת הנפט אשר החלה באוגוסט 2013 ונועדה לגנוב מידע ונתוני גישה (שמות משתמש וסיסמאות בשרת הדואר ובדפדפן), זאת לשם הונאת סוחרי נפט.

הדוח מגלה כי כבמקרים רבים בעבר, חדרה הנוזקה תוך שימוש ב'הנדסה חברתית' באמצעות דוא"ל אשר נשלח לעובדי חברות  במסווה של קובץ בשם Document.pdf במשקל 4,160KB, תוך שימוש בצלמית של Adobe Acrobat Reader. זאת לשם הונאת המשתמש והסוואת קובץ הפעלה אשר פורס עצמו בצורה חכמה, מוסוות ורבת שלבים עד כדי טענה כי אין ביכולת אף תוכנת אנטי וירוס לגלות פעילות זו, בין השאר בשל עקיפת ההתראות שתוכנות אנטי וירוס בוחנות והעובדה כי בפריצה לא נעשה שימוש בנוזקה כלשהי, אלא ב"כלים חוקיים וסקריפטים שונים". החדירה התגלתה רק משעה שנפתח הקובץ שהתגלה מאוחר ביותר בקרב עשר חברות שונות מתחום הובלת הנפט והגז הימית ותוכננה להתבצע מידי שעה נגד יעדים שנבחרו מראשו בקפידה.

מחבר הדוח מגלה כי בתחילה התקיפה היתה נראית כרגילה למדי ובלתי ממוקדת, אולם בחינה מעמיקה גילתה כי זו מתקפה ממוקדת ושיטתית נגד מגזר מסויים בתעשיית הנפט. מטרתה של המתקפה היתה גנבת פרטי הגישה לחשבונותיהם של המשתמשים. במרבית המקרים זיהוי מקור התקיפה הוא מאתגר בצורה יוצאת דופן, אולם עם גילוי התקיפה התגלתה גם נקודת החולשה שלה; תקשורת FTP בו נעשה שימוש לשלוח את פרטי ההרשאות הגנובים, כך יכלה החברה לזהות לטענתה כתובת דוא"ל ושם, אשר לטענתה מצויה בניגריה (על סמך מאפיינים שונים המצויינים בעמוד 9 בדוח).

משעה שהחוקרי האבטחה הצליחו להשיג גישה לשרת ה-FTP, אליו נשלח המידע שנגנב, נמצאו בו קבצים החל מאוגוסט 2013, משמעות הדבר שהתקיפה נעשתה במשך כחצי שנה מבלי שהתגלתה.

לדבריה היא מוכנה לזהות את פרטי היישות אשר עומדת מאחורי התקיפה בפני הרשויות, אולם בלא שהקורבות יתנדבו לדווח בצורה אמינה על הארוע, לא תוכלנה הרשויות לבצע חקירות ומעצרים. זאת לאור העבודה שאף לא אחת מעשר החברות שנפגעו (הדוח מציין שאחת מהן מספרד), היתה נכונה לדווח על הפריצה ולהסתכן בתשומת לב בינלאומית לחולשות ברשתות אבטחת מערכות המידע שלה.