האקרים פרצו ל-ESET ישראל ושלחו מיילים עם נוזקות
חברת ESET מגינה על מכשירים וארגונים רבים בעולם. לאחרונה האקרים ניצלו את המוניטין הזה ושלחו מיילים שהיו יכולים להפיל גם אתכם ולגרום לא מעט נזק
חברת ESET הסלובקית מוכרת במיוחד בזכות תוכנות האנטי-וירוס הוותיקות ואפליקציות האבטחה הארגוניות שלה. מדי פעם החברה מפרסמת גם פרצות ומחקרים מעניינים שחוקריה איתרו, אבל לאחרונה דווקא היא עמדה במרכזה של תקרית סייבר חמורה מאוד, ודווקא בישראל.
הכל החל ב-8 באוקטובר, 2024, יום לאחר יום השנה למתקפת ה-7 באוקטובר. לקוחות של ESET החלו לקבל מיילים שכותרתם “תוקפים מטעם ממשלות זרות מנסים לפרוץ למכשיר שלך”. בניגוד להודעות חשודות שבהן יש שגיאות כתיב ו-URLים חשודים, המייל הזה נראה לגיטימי, נשא את הלוגו של ESET, ואפילו נשלח מהדומיין של ESET. “המכשיר שלכם זוהה כחלק מרשימת מכשירים שהפכו למטרה על ידי איום ממדינה זרה. מידע שהגיע ממחלקת המודיעין של ESET זיהה כי קבוצה המונעת מטעמים גיאופוליטיים ניסו לפרוץ למכשירך במשך 14 הימים האחרונים”. בהמשך המייל, הציעה לכאורה ESET למשתמש להצטרף לתוכנית Unleashed, שאמורה להדוף מתקפות שכאלו, ומאפשרת למשתמש להתקין את “תוכנת ההגנה” על 5 מכשירים שונים. המייל אף נחתם “אנחנו מבקשים שלא תשתף את הלינק הזה עם אף אחד”.
הסיבה שהמייל הזה עבר גם מערכת סינון שונות היא שהוא הגיע מהשרתים האמיתיים של eset.co.il. גם הלינק עצמו היה לקובץ שאוחסן תחת דומיין הרשמי של ESET בישראל וכך גם הקבצים שאוחסנו בתוך קובץ ה-ZIP היו חתומים על ידי ESET.
אז איפה הבעיה? הקובץ ה-5 היה קובץ Setup.exe שלא היה חתום על ידי ESET (אם כי הוא היה מעוטר בלוגו החברה), ולפי VirusTotal, מדובר ב-Data Wiper שמטרתו היא לבצע כמה שיותר נזק במהירות למחשב עליו הוא מותקן. ווייפר (Wiper) נזכיר היא נוזקה שמוחקת מידע מהדיסקים או מהקושחה (Firmware) של המערכות שהיא תוקפת.
התאריך המוטמע בתוך ה-Wiper, לפי חוקר אבטחה, הוא ה7 באוקטובר 2023, בשעה 06:29:00 – שעת תחילת מתקפת חמאס על ישראל, סמליות מטרידה. בנוסף, במה שמתחיל להיראות כמו קמפיין מתוזמר, גם הנוזקה הזאת משום מה קוראת שוב ושוב לשרתי אתר פיקוד העורף, בדומה למתקפת ה-SMSים שהגיעה לסמארטפונים של ישראלים רבים בחודש שעבר. האם מטרת העל של הקבוצות הללו היא להפיל את אתר פיקוד העורף ובתקווה גם את המערכות שלו?
ב-ESET טענו שהפריצה לא נעשתה לשרתים שלה, אלא לשרתים של חברת קומסקיור, נציגת ESET בישראל, שאחראית על השיווק והמכירה שלהם: “לפי החקירה הראשונית שלנו, מתקפת מיילים זדונית מוגבלת נחסמה בתוך 10 דקות. הטכנולוגיות של ESET חוסמות את האיום ולקוחותינו בטוחים. ESET לא נפרצה ואנחנו עובדים בשיתוף פעולה צמוד עם השותפה שלנו כדי לחקור את הנושא ועוקבים אחריו”.
בתגובה לפניית גיקטיים, נמסר מחברת ESET ישראל: “במסגרת המתקפה הכוללת שעוברת ישראל, והמיקוד של קבוצות תקיפה בעסקים וארגונים ישראליים, במיוחד סביב יום השנה לאירועי ה-7 באוקטובר, זוהתה ב-8 באוקטובר חולשה במערכת פגיעה, שאפשרה הפצת מיילים עם תוכן פרו פלסטיני הכולל סרטוני זוועות מאירועי ה-7 באוקטובר. נקטנו צעדים מהירים לטיפול באירוע, ובתוך 10 דקות מתחילתו חסמנו את הקמפיין והסרנו את האיום. ביצענו בדיקות מקיפות על מנת לאשר כי לקוחותינו בטוחים, אין פגיעה במוצרי החברה ולא קיבלנו פניות על לקוחות שנפגעו. אנחנו ממשיכים לשפר ולתחזק את מערכות האבטחה של האתר שלנו באופן קבוע כדי למנוע איומים באופן פרואקטיבי ולהגן על לקוחותינו בכל פעולה”.
הכתבה פורסמה לראשונה בגיקטיים