accessibility-icon
share-icon
מתקפת סייבר, אילוסטרציה | קרדיט: שאטרסטוק
מתקפת סייבר, אילוסטרציה | קרדיט: שאטרסטוק

המרגל בסלון: איך הממיר הסיני שלכם עשוי לשמש פושעי סייבר?

אפרת ברינר

אפרת ברינר

טז ניסן ה'תשפו (03.04.26)

5

86

like

5

dislike

מתקפת סייבר חובקת עולם ניצלה פרצות במכשירי אנדרואיד, טלוויזיות חכמות וממירי סטרימינג כדי להפוך אותם לחלק מרשת "פרוקסי למגורים" • למעלה מ-2 מיליון מכשירים נפגעו ושימשו להסוואת פעילות פושעי סייבר • החקירה חושפת כיצד רוחב הפס של משתמשים תמימים נמכר למרבה במחיר לצורך מתקפת מניעת שירות מבוזרת וגניבת זהויות


רוצה שנקריא לך?

מגישים

פרשת הסייבר המכונה "KimWolf" חושפת רשת בוטנט מאסיבית שהצליחה להדביק למעלה מ-2 מיליון מכשירי אנדרואיד ברחבי העולם. המפעילים מאחורי הרשת ניצלו פרצות אבטחה בפורט ה-Android Debug Bridg ובממשקי ניהול חשופים כדי להחדיר נוזקה מתוחכמת למכשירים ביתיים נפוצים, כך דווח היום (שישי) ב"וול סטריט ג'ורנל".

maximize-image
images-count4+
אילוסטרציה | צילום: שאטרסטוק

בין המכשירים שנפגעו ניתן למצוא טלוויזיות חכמות, ממירי סטרימינג ומגוון מכשירי IoT המחוברים לרשתות ביתיות. המכשירים הנגועים הופכים למעשה ל"שרתי פרוקסי", המאפשרים לגורמים חיצוניים לגלוש באינטרנט דרך כתובת ה-IP הביתית של המשתמש מבלי שהאחרון יבחין בפעילות החריגה.

הניתוח הטכני של הנוזקה העלה כי KimWolf פועלת במודל מודולרי התומך במגוון רחב של פעילויות זדוניות בהיקף חסר תקדים. המפעילים השתמשו בתשתית שהקימו כדי להוציא לפועל למעלה מ-1.7 מיליארד פקודות למתקפות מניעת שירות (DDoS) בתוך חלון זמן קצר של שלושה ימים בלבד.

maximize-image
images-count4+
מתקפת סייבר, אילוסטרציה | צילום: שאטרסטוק

בנוסף לכך, הרשת שימשה כפלטפורמה לביצוע מתקפות "Credential Stuffing" – ניסיונות פריצה המוניים לשירותי אימייל ולאתרי אינטרנט מאובטחים באמצעות שמות משתמש וסיסמאות שנגנבו בפריצות קודמות. השימוש בכתובות IP ביתיות אפשר לתוקפים לעקוף בקלות מערכות הגנה אוטומטיות המזהות וחוסמות פעילות חשודה המגיעה ממרכזי נתונים או ממקורות עסקיים.

היבט מטריד במיוחד שנחשף בחקירה הוא המודל הכלכלי המשומן שעומד מאחורי הבוטנט. התוקפים התקינו על המכשירים הנגועים ערכות פיתוח (SDK) של שירותי פרוקסי מסחריים חוקיים לכאורה. בדרך זו, הם "מכרו" את רוחב הפס של הקורבנות לספקי פרוקסי דוגמת IPIDEA, חברה הטוענת לגישה למיליוני כתובות IP "מסתובבות" מדי יום ברחבי העולם. פעולה זו מייצרת אקו-סיסטם שבו פושעי סייבר רוכשים גישה לכתובות IP "נקיות" של משתמשים פרטיים כדי להסוות את עקבותיהם ולחדור לרשתות ארגוניות המוגדרות לתת אמון בתעבורה המגיעה מכתובות מגורים.

maximize-image
images-count4+
אילוסטרציה | קרדיט: FOTOKITA, שאטרסטוק

החקירה המעמיקה לא העלתה ראיות ליעדים מדינתיים מוגדרים או למניעים פוליטיים מובהקים מאחורי הפעילות של KimWolf. נראה כי המניע המרכזי של המפעילים הוא רווח כספי ישיר ויעיל מהשכרת התשתית הלא חוקית שהקימו על גבם של משתמשים תמימים.

השימוש המסיבי ברשתות פרוקסי למגורים מאפשר לגורמים עוינים לעקוף בקרות אבטחה מסורתיות המושתתות על סינון כתובות, מה שהופך את הנוזקה לאיום אסטרטגי משמעותי. המשתמשים הפרטיים, מצידם, סובלים מהאטה משמעותית בחיבור האינטרנט ובמקרים מסוימים אף עלולים לעמוד בפני סיכונים משפטיים עקב פעילות פלילית המבוצעת דרך החיבור הביתי שלהם.

maximize-image
images-count4+
אילוסטרציה | קרדיט: shutterstock

מומחי אבטחה מציינים כי הדרך היעילה ביותר להתגונן מפני איומים מסוג זה היא הקפדה על היגיינת סייבר בסיסית במכשירים המחוברים לרשת. ההמלצה המרכזית למשתמשים ביתיים היא להימנע מרכישת מכשירי אנדרואיד וממירים מיצרנים לא מוכרים ולדאוג לחסימת פורטים של ניהול מרחוק בנתבים הביתיים.

ברמה הארגונית, מומלץ להחמיר את בקרות הגישה למכשירים המחוברים לרשת הארגונית ולבצע הפרדה (סגמנטציה) קפדנית, על מנת למנוע מצב שבו נוזקה המותקנת על מכשיר ביתי תצליח לחדור אל תוך ליבת המערכות הארגוניות הרגישות.

עקבו אחרינו גם ב-Google News