הודו – CyBureau

מתקפת ריגול קיברנטי נגד הודו ופקיסטאן

31 אוגוסט 2017/ב הודו, ממשל, פקיסטאן, רוגלה /על ידי Tal Pavel

ב-28 אוגוסט פורסם כי מדוח ששלחה חברת האבטחה Symantec ללקוחותיה בחודש יולי, עולה כי היא זיהתה קמפיין ריגול קיברנטי מתמשך מאוקטובר 2016, ככל הנראה בחסות מדינה – מבלי לנקוב בשמה – נגד מספר קבוצות בהודו ופקיסטאן הקשורות בנושאי בטחון אזוריים.

דובר החברה מסר כי היא אינה מגיבה פומבית על ניתוח נוזקות, חקירות ושרותי תגובות לארועים אשר היא מעניקה ללקוחותיה. אולם נמסר כי "ממשלות וצבאות הפועלים בדרום אסיה ובעלי אינטרסים בנושאי בטחון אזורי, הם בעלי סבירות לסיכון מהנוזקה, העושה שימוש ב-backdoor בשם Ehdoor לשם גישה לקבצים במחשבים".

תוך התייחסות של מומחה אבטחת מידע לכך כי קמפיין זה דומה לאחר אשר פגע בקטאר באמצעות תוכנות הקרויות Spynote וכן Revokery. "היו אלו Backdoors בדיוק כמו Ehdoor, המהווה מאמץ ממוקד בדרום אסיה". אכן דוח החברה מסר כי נעשה שימוש לראשונה בתוכנה זו בסוף 216 נגד גורמי ממשל וצבא במזרח התיכון ומעבר לו.

לדברי החברה, התקנת הנוזקה היתה באמצעות מסמכי הטעיה, לכאורה מטעם גורמי תקשורת שונים, העוסקים בנושאי בטחון בדרום אסיה. עם התקנתה מאפשרת הנוזקה לתוקפים העלאה והורדה של קבצים, ביצוע תהליכים, תעוד פעולות במקלדת, זיהוי מיקום הקורבן, גנבת מידע אישי וביצוע צילומי מסך. תוך התייחסות לכך כי תוכנה זו עודכנה בקביעות על מנת לספק "יכולות נוספות" למבצעי הריגול. כל זאת אף נגד מכשירים מבוססי אנדרואיד.

מנהל ה-CERT ההודי (CERT-In) סרב להגיב על התקפה זו, אך ציין כי "נקטנו בפעולה מיידית לכשגילינו Backdoor באוקטובר האחרון לאחר שקבוצה בסינגפור הזהירה אותנו".

פקיד בכיר בסוכנות החקירות הפדראלית (FIA) של פקיסטאן, אשר שמר על עילום שמו, מסר כי לא התקבלו כל דיווחים על ארועי נוזקות ממחלקות טכנולוגיות המידע בקרב גורמי הממשל.

מומחה אבטחה אחר אמר כי "דרום אסיה מהווה חממה למתחים גאופוליטיים, והיכן שאנו מוצאים מתחים מוגברים, אנו מצפים לרמות גבוהות של פעילות ריגול קיברנטי".

בכוונת הודו להקים חדר מצב לניטור הרשתות החברתיות מפני פעילות "המדינה האסלאמית"

25 דצמבר 2015/ב הודו, המדינה האסלאמית, זכויות דיגיטליות, ללא קטגוריה /על ידי Tal Pavel

ב-24 דצמבר פורסם כי בכוונת ממשלת הודו להקים חדר מלחמה לשם ניטור הרשתות החברתיות 24 שעות ביממה כחלק ממלחמתה בפעילות המקוונת של "המדינה האסלאמית" בשפות הודיות ואסיאתיות אזוריות שונות, מלבד הינדית ואנגלית.

לשם כך החליטה הממשלה ב-15 דצמבר 2015 על הקמת ועדה אשר תבחן את האפשרות להקים מרכז רב זרועי לניתוח הרשותת החברתיות בכל שעות היממה וכן הכנת תוכנית עבודה להקמת חדר מצב שכזה. בראש הוועדה יעמוד Ashok Prasad, המזכיר לבטחון פנים במשרד הפנים ובה יקחו חלק נציגים ממשרדי ממשלה וכן גופי המודיעין. עוד עולה כי כבר בחודש אוגוסט פורסם על כוונת הממשלה להקים גוף בין משרדי לניטור המדיה החברתית. הן לשם איתור פעילות מקוונת של תעמולה וגיוס למען "המדינה האסלאמית" והן לשם התמודדות עם התפתחויות בתוך המדינה אשר להן פוטנציאל "להפרעה לסדר הציבורי", דוגמת התנגשויות קהילתיות לאחר מסרי שנאה אשר הוצבו ברשתות החברתיות.

עוד נמסר כי קיימים כ-30 אלף חשבוונת טוויטר, משתמשי פורומים ואתרי אינטרנט, בעוד שניתן מעט לעשות לשם ניטור מלא שלהם בזמן אמת. במסגרת זו המדינה פועלת לא רק לסגירת אתרים רלבנטיים, אלא גם להסרת תכנים שכאלה מרשתות חברתיות דוגת טוויטר ופייסבוק.

גורמי מודיעין גורסים כי עד עתה 23 הודים הצטרפו ל"מדינה האסלאמית" ואחרים נעצרו לפני שעזבו את המדינה לעבר סוריה. שישה מהם נהרגו, שניים חזרו ו-15 עדיין מהווים חלק מהארגון, כאשר רבים מהם מצויים בקשר עם מפעילים הודיים המגייסים לארגון, כאשר חלקם פעילים במדינה וחלקם במפרץ.

האקרים הודיים במתקפת הנדסה חברתית ברחבי אסיה

27 נובמבר 2015/ב הודו, הנדסה חברתית, ממשל, פקיסטאן /על ידי Tal Pavel

ב-20 נובמבר פורסם כי שתי קבוצות האקרים הודיות – Shakti Campaign ו-VVV – תקפו מוסדות בטחון וממשל בפקיסטאן ומדינות נוספות במערב אסיה. מקורות במדינות אלו אף חושדים כי "האקרים אלו יתכן ואף קיבלו את ברכת ממשלת הודו".

המתקפות בוצעו בשיטת spear phishing במהלכן נשלחו הודעות דוא"ל ובהן צרופות לגורמים שונים וזאת על מנת להשיג גישה בלתי מורשית למידע מסווג. עוד נמסר כי המדינות שהותקפו התלוננו בפני הודו בערוצים רשמיים.

מתקפת DDoS על בנקים בהודו

6 ספטמבר 2015/ב בנקאות, הודו, השבתה, מוכנות /על ידי Tal Pavel

ב-31 באוגוסט פורסם על שני בנקים פרטיים גדולים בהודו אשר היו נתונים למתקפה מסוג DDoS ככל הנראה על ידי האקרים מפקיסטאן השכנה, ערב יום העצמאות ההודי שחל ב-15 בחודש, דבר אשר האט משמעותית פעילות העברות כספים מקוונות של הלקוחות.

בתאריך שלא צויין במהלך חודש יולי קיבלו שני הבנקים הודעה על המתקפה מה-CERT הממשלתי בהודו וכן התראה כי יתכן והתקפות נוספות יתבצעו במהלך השעות שלאחר מכן. פקיד בכיר ציין "היתה מתקפה אולם היא הוכלה בצורה יעילה. לעיתים קרובות אלו נעשות לשם סחיטה … אולם יש לנו את המערכות להתמודד איתן. ניתנו הנחיות לבנקים לנקוט בצעדים הנדרשים להגנה מפני מתקפות DDoS".

לדברי ראש אבטחת המידע באחד מהבנקים הגדולים ביותר בהודו התקבלו, מאז אפריל, מספר אזהרות מסוכנויות ממשל דוגמת CERT ומהמרכז להגנה על תשתיות מידע קריטיות לאומיות, בדבר מתקפות שכאלה. "במתקפת DDoS, אם הבנק יכול לחסום את התעבורה המזוייפת ב-15 הדקות הראשונות, התוקף על פי רוב יעבור הלאה למטרה חלשה יותר. אולם אם הארגון אינו יכול להתנגד, התוקף יבקש כופר. התקפות שכאלה מגיעות ממקומות דוגמת ניגריה, מזרח אירופה כשהתשלום המבוקש הוא בביטקויין".

כצעדי מנע ההמלצה היא כי אף בנק לא יסתמך על ספק אינטרנט אחד, בנקאי ששמר על עילום שם מסר כי בנקים מתחילים להשקיע במנגנונים למניעת מתקפות שכאלה, חלקם מבצעים תרגילים לבדיקת הטכנולוגיות.

עד שמתגלה הפריצה, חברות בהודו בדרך כלל שומרות את הדבר תחת מעטה חשאיות, הואיל והמחוקקים אינם דורשים דיווח חובה במקרה של ארועי אבטחה. אחרות אף עוד פחות מכך יטו להודות בדבר הפריצה, הואיל והדבר יפחיד את לקוחותיהן. עם זאת במתקפות מסוג DDoS אין דליפת נתונים או גנבת כסף.

במקרה זה, תזמון הארוע מעלה את האפשרות כי יתכן והדבר הוא מעשה ידיהם של האקרים פקיסטאנים אשר יתכן וממוקמים בארה"ב ואירופה. אלו פעילים בעיקר לפני פסטיבלים גדולים או יום העצמאות ויום הרפובליקה של הודו.

לדברי מומחה אבטחת מידע קיימים שלושה סוגים של האקרים הנבדלים במניע;

פושעים קיברנטיים המונעים משיקולים כלכליים, בדרך כלל ממזרח אירופה והמתעניינים על פי רוב בגנבת פרטי כרטיסי אשראי או גנבת זהות. אלו מאורגנים היטב ומדביקים אלפי מערכות מחשב לשם השגת מטרתם, ואף משכירים גישה למחשבים נגועים על בסיס שעתי לשם ביצוע מתקפות DDoS.
האקטיביסטים בעלי מניעים פוליטיים אשר מטרתם קידום סדר יום פוליטי באמצעות השחתת אתרים או הפלתם. ההאקרים הפקיסטאנים נכללים בקטגוריה זו.
תוקפים מדינתיים המעורבים בריגול אחר חברות, באמצעות גישה למחשבים לשם גנבת סודות מסחריים שונים. אלו הסינים ידועים בפעילות זו.

התקפות פישינג על ארגונים בהודו

4 ספטמבר 2015/ב הודו, נוזקה, פשיעה קיברנטית /על ידי Tal Pavel

ב-22 באוגוסט פורסם ב-The New Indian Express כי מספר קבוצות APT, מרביתן מסין, מבצעות תקיפות בעיקר נגד ארגוני ממשל, דיפלומטיה, מדע, חינוך, חלל והגנה.

לטענת חברת FireEye, מסע התקיפה מתבצע לשם השגת מידע על מחלוקות גבול מתמשכות ונושאים דיפלומטיים נוספים. לדבריה זוהו 300 קבוצות APT, מהן חלק תוקפות את הודו, כאשר "להבדיל מפריצה לאתרי אינטרנט, אשר אינה פעולה מתוחכמת, קבוצות ה-APT סביר להניח כי הן ממומנות היטב על ידי ממשלות, תוך פגיעה באנשים באמצעות גישה למידע רב ערך".

במסגרת התקפות שכאלה נשלחו הודעות דוא"ל ולהן מצורפים קבצי Word הנושאים קוד הנקרא "WATERMAIN", אשר יוצר דלת אחורית במחשב הקורבן ובכך מאפשר לחברי הקבוצה גישה למידע במערכות השונות.

אחת מהקבוצות, APT 30, עשתה בכך שימוש נגד גורמים שונים משנת 2011, כאשר 70 אחוז מהם היו מהודו, תוך חשד כי זוהי קבוצה הנתמכת על ידי סין.

הודו וארה"ב פועלות לחזק את שיתוף הפעולה בתחומי האבטחה הקיברנטית

1 ספטמבר 2015/ב ארה"ב, הודו, מדיניות /על ידי Tal Pavel

ב-14 באוגוסט פורסם כי הודו וארה"ב הביעו את מחוייבותן לחזק את שיתוף הפעולה בנושאים קיברנטיים ביניהן לשם הגדלת האבטחה הקיברנטית העולמית והכלכלה הדיגיטלית.

בהצהרה משותפת שפורסמה בתום ועידה, הרביעית בסדרה, בת יומיים שהתקיימה ב-11-12 באוגוסט בוושינגטון, נדונו תחומים השונים ובכלל זה בניית היכולת של אבטחת קיברנטית, מחקר ופיתוח, לחימה בפשיעה הקיברנטית, בטחון בינלאומי ומשילות אינטרנטית.

בנוסף נפגשו המשלחות עם נציגים מהמגזר הפרטי ודנו עימם בנושאים הקשורים באבטחה קיברנטית וכלכלה דיגיטלית, זאת לצד גורמי ממשל בכירים בארה"ב.

בכירי התעשיה מארה"ב הגישו המלצות לממשלות ארה"ב והודו, בהדגישם את הצורך בהגנה על מידע חוצה גבולות, הקלה על שליטה מרוחקת, יצירת תקנים להצפנה חזקה והפחתת איומי אבטחה קיברנטית באמצעות שותפויות ממוקדות של המגזר הציבורי והפרטי.

סבב השיחות הבא יתקיים בדלהי בשנת 2016.

מעצר של צעיר הודי בשל ביקורת שמתח בפייסבוק על שר במדינה

21 מרץ 2015/ב הודו, זכויות דיגיטליות /על ידי Tal Pavel

ב-18 פורסם על דבר מעצרו של צעיר הודי באשמת פרסום ביקורת בפייסבוק על שר במדינת Uttar Pradesh.

הצעיר בן ה-19, Gulrez Khan המכונה גם Vikki Khan, הובא לבית משפט מקומי אשר הורה על מעצרו למשך 14 יום זאת בהתאם לסעיף 66A בחוק טכנולוגיית המידע העוסק ב"משלוח הודעות שקריות ופוגעניות באמצעות שרותי תקשורת". במידה ואדם יורשע לפי סעיף הוא עלול להשלח לעד שלוש שנות מאסר בגין משלוח דוא"ל או מסר אלקטרוני אחר הגורם ל"טרדה או אי נוחות".

דבר מעצרו עורר גל מחאה בהודו אשר חלק ממנו מצא ביטויו ברשתות החברתיות.

עוזרו של השר מסר "הודעתי למשטרה כי אדם זה הציב פוסטים שנויים במחלוקת ומסיתים בשמו של Mr Khan אשר הם שקרים. הדברים פגעו בהינדים ובמוסלמים והשמיצו את דמותו".

אין זו הפעם הראשונה שממשלת הודו נוקטת בצעד שכזה נגד משתמשי הרשתות החברתיות במדינה; במהלך שנת 2012 נעצרו מספר משתמשי אינטרנט בשל קריאות לשביתה במומבי, מתיחת ביקורת על גורמי ממשל, טענות לשחיתות שלטונית, ואף מורה אשר שלח לחברו דוא"ל ובו קריקטורה ביקורתית על אחד משרי המדינה.

Pastebin ו-31 אתרים נוספים חסומים בהודו

1 ינואר 2015/ב הודו, זכויות דיגיטליות /על ידי Tal Pavel

בעת האחרונה דווח על חסימת האתר Pastebin ואתרים פופולריים אחרים בהודו, חלקם מאפשרים הצבת הודעות בצורה אנונימית.

בהודעה מה-19 דצמבר צויין בחשבון הטוויטר של Pastebin כי האתר חסום במדינה;

http://t.co/e3zRKnJJQO seems to have been blocked in India. If you are from India and unable to visit Pastebin, please email us.

— Pastebin.com (@pastebin) December 19, 2014

גם לאחר שבוע עדיין דווח כי אתר זה חסום במדינה, תוך הפניית האצבע המאשימה לעבר ממשלת הודו;

Pastebin is still blocked in India. We are getting many reports about this. The Indian government has blocked us,… http://t.co/6jqnHcgtIP — Pastebin.com (@pastebin) December 26, 2014

אכן, ב-31 דצמבר פורסמה הרשימה הכוללת 32 אתרים במסמך המופנה לספקיות האינטרנט במדינה;

Nimbuzz בשרות גורמי טרור בהודו

29 אוגוסט 2014/ב הודו, המג'אהדין ההודיים (IM) /על ידי Tal Pavel

בידיעה מה-24 אוגוסט ב-Time of India דווח כי בהודעה של משטרת דלהי נמסר כי גורמי ג'האד בהודו עושים שימוש נרחב באתרי רשתות חברתיות דוגמת פייסבוק ותוכנות צ'ט במטרה לתקשר ביניהם ולביצוע פעולות טרור.

הדבר התגלה במהלך משפט נגד שישה חברי המג'האדין ההודיים (IM) במעורבות במקרה הקשור לכאורה במפעל ליצור נשק לא חוקי אשר התגלה בנובמבר 2011 ובו יוצרה כמות עצומה של חומרי נפץ ותחמושת. נמסר כי תקשורת שכזו התנהלה במשך חודשים ושנים במהלכן נשלחו והתקבלו קבצים מוצפנים וכן מסמכים מזוייפים. עוד נמסר כי הנאשמים התקינו תוכנות Proxy במחשביהם על מנת להסתיר את מיקומם האמיתי.

לדברי המשטרה, תוכנת Nimbuzz (אשר לה משרדים בהולנד ובהודו) המאפשרת תקשורת של מסרים ושיחות בצורה חופשית, היתה צורת ההתקשרות המועדפת על הגורמים המבצעיים בארגון.

פריצה למחשבי צבא ובטחון בהודו

8 מרץ 2014/ב בטחון, הדלפה, הודו /על ידי Tal Pavel

בידיעה מה-7 במרץ ב-India Times נמסר נפרצו כ-50 מחשבים השייכים לצבא ולארגון למחקר ופיתוח צבאי (DRDO) וכי קבצים מסווגים עלולים היו להחשף. נראה כי הפריצה התרחשה בחודש דצמבר האחרון והתגלתה על ידי רשויות המודיעין אשר הורו על בדיקה ברמה גבוהה.

החשש הוא שעד 30 קבצים המוגדרים כמסווגים דלפו, תוך נסיון של גורמים בכירים להמעיט מחומרת המקרה בטענה כי "לא כל סיסמא שדלפה" מהווה איום חמור לבטחון.

בכתבה ב-Times of India נטען כי הבדיקה גילתה רוגלה אשר היה ביכולתה לקרוא קבצים במחשבים גם אם הם לא היו מחוברים לאינטרנט. עוד נמסר כי הצבא ההודי סבל רבות מנסיונות פריצה מצד האקרים סינים ופקיסטאנים