$
IT

תעלומת ראש המוסד: אותרה מלכודת מקוונת להפלת גולשים

ההאקרים נעם רותם ויובל אדם גילו אתר מסתורי שנראה ככזה שנועד לחשוף פרטים אישיים על יוסי כהן ובכירים אחרים. ואולם, מדובר במלכודת שמטרתה לרגל אחר גולשים ולגלות את מיקומם; לא ידוע אם מדובר במבצע לבנוני, או שמדובר במאמץ הטעייה נוסף

עומר כביר 20:0817.01.19
ההאקרים נעם רותם ויובל אדם חשפו אתר מסתורי שמציג לכאורה פרטים רגישים של ראש המוסד, יוסי כהן, ושל דובר צה"ל בערבית, אביחי אדרעי. בנוסף, בדיקה מעמיקה של קוד המקור שלו ואופן הפצתו העלו ממצאים חשודים במיוחד לגבי הגורמים שעומדים מאחוריו.

 

 

 

בחודשים האחרונים מפעילים רותם ואדם פרויקט נרחב לזיהוי ומיפוי רשתות בוטים שפועלות בטוויטר. "כחלק מפעילות הניטור אנחנו לא מנתחים רק קשרים בין חשבונות, אלא גם מה הם עושים, איך, ומהי האג'נדה שהם מנסים לקדם", הסביר רותם בסקירה שכתב על פעילות האתר. "בבדיקה שערכנו על אחת הרשתות מצאנו כמה עוקבים שהרימו דגלים אדומים. הם עקבו אחרי חשבונות ישראלים (שחלקם עקבו אחריהם בחזרה), אבל התכנים שלהם היו מאוד מכוונים להפצה של לינק לאתר ספציפי. המפעילים רכשו את הסיומות .com, .org, .net ו-.info, והפנו את כולן לאותן שתי כתובות IP שמגישות את אותו התוכן".

 

 

 צילום: שאטרסטוק

 

 

לדברי רותם, שפת הממשק של החשבונות שהפיצו את הקישור לאתר היא עברית או רוסית, והם הפיצו את האתר למשתמשים ישראלים ויהודים, רבים מהם עיתונאים. "ניסיון לשחזר את הגישה לחשבונות המפיצים הביא כתובות מייל שייתכן ששייכות לשירות הדואר האלקטרוני של וואלה", הוא הוסיף.

 

באתר עצמו שלושה עמודים בלבד: דף בית, עמוד מידע על ראש המוסד שחושף, לכאורה, את כתובת מגוריו, צילומים של ביתו, מספר תעודות הזהות שלו, ושמות אשתו, הוריו, וילדיו, ועמוד שמציג תוכן דומה לגבי דובר צה"ל בערבית. "על פניו, מדובר ב'דוקסינג' - פרקטיקה שחושפת פרטים מהעולם שמחוץ לרשת שעלולים לאפשר למי שמעוניין בכך להגיע למטרה שלו ולפגוע בה. במקרה הזה מדובר בשני אישים שהפופולריות שלהם בעולם הערבי אינה בשיאה, ואפשר להניח שפרסום כתובת הבית הפרטי שלהם עלולה להעמיד אותם בסיכון משמעותי", אמר רותם.

 

שגיאה חובבנית או הטעייה מכוונת?

 

ואולם, בחינה של קוד המקור של האתר חשפה שייתכן שהדוקסינג של שני הבכירים הישראלים הוא רק מסך עשן לפעילות מורכבת הרבה יותר. לדברי רותם, קוד צד הדפדפן באתר נועד ליצור מעין טביעת אצבע של הגולש ומנצל חולשות ידועות בפרוטוקולים כדי לגלות מידע נוסף עליו, גם כשהוא עושה מאמצים להסתיר את זהותו. "חלק נבזי במיוחד בקוד נועד לזהות את כתובת ה-IP של המשתמש גם אם הוא נמצא מאחורי VPN באמצעות שימוש לרעה בטכנולוגיית WebRTC. גרסה מסוימת של העמוד מנסה להפעיל פקודות בווינדוס באמצעות חולשת אבטחה ידועה, והקוד גם מנסה לגשת למידע גיאוגרפי על מנת לנסות, ככל הנראה, לחשוף טוב יותר את מיקום הגולשים. המידע שנאסף על ידי הדפדפן באמצעות הקוד הזה נשלח לשרת".

 

שגיאה חובבנית של מפעילי האתר (שספק נעשתה במכוון וספק בשוגג) סיפקה לרותם ולאדם גישה גם לקוד צד השרת של האתר, וזה חשף כמה דברים מסקרנים: "ראשית, אזור הזמן המוגדר בקבצי המקור הוא 'Asia/Beirut', מה שלכאורה עשוי לרמוז שמפעיליו רצו שכל הזמנים של הקבצים והפעולות שנרשמו בו יהיו אזור הזמן המקומי שלהם, בביירות. מאידך, בשילוב עם שפות הממשק של הפרופילים שהפיצו אותו, לא ניתן לשלול שמדובר במהלך שתכליתו דיסאינפורמציה ושלמבצע אין שום קשר לבנוני. שנית, הקוד איפשר לנו לראות היכן נשמרים קבצי הלוג, ועוד קצת הקלקות על המקלדת איפשרו לנו לקבל גישה גם אליהם ולראות מי ניגש לאתר הזה ואת המידע שנאסף עליו".

 

קבצי הלוג חשפו שהאתר לא עורר תשומת לב רבה מדי והתעבורה אליו היתה דלילה במיוחד. עם זאת, התריע רותם, ייתכן שהוא נבנה במיוחד בעבור קורבנות ספציפיים ומופעל כדי לאתר חולשות ברשת שלהם.

 

 

 

"אזור הזמן של הקבצים הוגדר כזה של ביירות, שפות הממשק של החשבונות המפיצים היו בעברית וברוסית, העילגות בשפה האנגלית עשויה להצביע על כך שהמפעילים אינם דוברי אנגלית, והחובבנות הטכנית עשויה לרמוז על כך שהגוף שעומד מאחוריה אינו מהמעולים שבהם, או שהוא מנסה להתחזות לאחד כזה", כתב רותם. "אדם חשדן היה יכול להניח שאף ארגון שמכבד את עצמו לא היה מרשה לקוד נחות כל כך לעלות לרשת, וכי החולשות הבולטות כל כך בשרת נועדו לכך שהקוד המצביע על ביירות יתגלה על ידי עיניים סקרניות. יכול להיות שמדובר באופרציה שמופעלת מלבנון, או שמדובר באופרציה שרק מתחזה לכזו. דיווחנו על ממצאינו לגורמים האחראיים במדינה ואנחנו מקווים שהם ימשיכו את העבודה מכאן".
בטל שלח
    לכל התגובות
    x