בין החברות המותקפות חברה ישראלית. חברת הסייבר שגילתה את גל המתקפות גילתה כי רוב המותקפות היו חברות שירות פיננסי, קבוצות נדל"ן ומשרדי עריכת דין. מתכנתי האופרציה, שניצלה פירצות במיקרוסופט סוויי של OFFICE365, כנראה מדברים ויאטנמית ומתפעלי המתקפה ממוצא ניגרי. כך עולה מהגדרות השפה של האופרציה.
כ-156 חשבונות מייל של בכירי חברות בתחום הפיננסי ובממשק אליו מרחבי העולם נפרצו במסגרת קמפיין פישינג מאורגן. הקמפיין התמקד בבכירים בחברות פיננסיות, במשרדי עריכת דין וקבוצות נדל"ן במדינות כמו ארה"ב, קנדה, גרמניה, בריטניה, הולנד ומדינות נוספות. בין החברות נמצאת גם חברה הממוקמת בישראל. כך עולה מהודעה לתקשורת של חברת הסייבר GROUP-IB הסינגפורית השבוע. הקמפיין, שנקרא "פרסוויסיון" עקב השימוש הרב שלו בשירות המיקרוסופט סווי, השיגו גישה למיילים מסווגים רבים של החברות.
- דעה: הגנץ צריך ללכת, האיזנקוט צריך להחליט
- דעה: בתקופת החשמונאים היה לנו את חוני המעגל, כעת יש לנו את גנץ הפוקק
- האם אישרו, ומי אישר, ליועץ הניו מדיה של ראש הממשלה שימוש בצ'קלקה?
- דעה: הזמן האבוד, או למה חזרנו?
- ראש הישיבה דיבר על מספר אחד, משרד החינוך נתן מספר אחר ובדרך חשף אמת מדאיגה
ע"פ חברת הסייבר הסינגפורית, אחד המאפיינים של הקמפיין הוא קצב התפשטותו ללא נוכחות תוכנה זדונית במחשב הקורבן. משך הזמן בין הפריצה לחשבונות הבכירים ועד לשימוש בחשבונם למטרות הקמפיין ערך פחות מיממה. עוד נכתב כי הקמפיין היה פעיל לפחות מאמצע השנה שעברה. החברה, שהוכנסה לתיק בשל מקרה שהתרחש במסגרת הקמפיין הזדוני באסיה, קבעה כי מדובר בקמפיין פישינג בן שלושה שלבים "שמשתמש בטקטיקה וטכנולוגיות מיוחדות כדי להימנע מלהתגלות". תחילה, התוקפים "משכנעים" את הקורבנות הבכירים לפתוח קובץ PDF לא זדוני מחשבון אמיתי ברשימת אנשי הקשר שלהם. הקובץ הצמוד לאותו PDF, בצורת הודעה לשיתוף מידע של OFFICE365 מבית ווינדוס, מחקה צורת הודעה רשמית של עדכוני מערכת. עם לחיצת הלחצן "קרא כעת", הקורבן מועבר לקובץ שהועבר ע"י מיקרוסופו סווי.
התוקפים בחרו בדרכי שיתוף ענן לגיטימיות כמו מיקרוסופט סווי, מיקרוסופט שייר פוינט, ווואן-נוט כדי להימנע מאיתור ברשת. מהכתובת הזו מועבר הקורבן לכתובת נוספת שמתחזה לאתר הרשמה של גרסה של שירות ווינדוס משנת 2017. אנליסט בכיר בחברת הסייבר, פיישיאנג הי, מסר כי "התוקפים מחזיקים דרכי גישה חסויות לחשבונות עסקיים רבים וכמויות רבות של מיילים עסקיים רגישים של ניהול בכיר [בחברות שנפרצו]. לכן, זה פותח מגוון רחב של אפשרויות", והרחיב: "הגישה לחשבונות יכולה להימכר במקבצים לעברייני סייבר נוספים לתשלומי כופר. מידע עסקי רגיש שהוצא ממיילים, כמו רישום פיננסי לא-ציבורי, אסטרטגיות מסחר חסויות ורשימות של לקוחות גם יוכלו להימכר למרבה במחיר בשוק האפור".
בהתייחס ליוצרי התוכנה, חברת הסייבר הסינגפורית הודיעה כי מפתחיה ככל הנראה מדברי וייטנאמית. בהתאם, ההנחה הקיימת היום היא כי הקמפיין נמכר לעברייני סייבר ברחבי העולם, כשהמתפעלים הראשונים היו מדרום-אפריקה וניגריה. עוד נקבע כי המפתחים השתמשו באמצעי נגד לריגול אחר פיתוחם כמו דחיית ביקורים שניים באותו קובץ והחדרה בצורה רנדומלית של קבצים זדוניים. החברה אף הקימה אתר אשר באמצעותו ניתן לבדוק האם פרצו לחשבונכם.
מהחברה נמסר כי היא "ממשיכה לעבוד עם הרשויות הרלוונטיות בכל מדינה כדי ליידע את החברות המושפעות מהחדירה".
