בעולם אבטחת הסייבר שוב חדשות מדאיגות.
קבוצת ההאקרים הרוסית APT28 (המוכרת גם בשם Fancy Bear) פתחה בקמפיין חדש נגד חברות ממדינות נאט״ו.
אבל מה זה אומר עבורנו, משתמשים רגילים?
בואו נפרק את זה במילים פשוטות.
מה ההאקרים המציאו?
ההאקרים יצרו תוכנה זדונית בשם NotDoor.
זה לא וירוס במובן הקלאסי — הוא מסתתר בתוך Outlook (תוכנת הדוא״ל של Microsoft).
התוכנה יושבת בשקט ומחכה להודעה מסוימת.
ברגע שמגיע לתיבת הדואר מייל עם מילה “נכונה” בשורת הנושא,
לדוגמה Daily Report,
התוכנה הזדונית מופעלת ומתחילה לבצע פקודות של התוקפים.
איך זה נכנס למחשב?
הטריק כאן מתוחכם:
1. הנוזקה מתחזה לקובץ של OneDrive (שירות הענן של Microsoft).
2. היא משתמשת בטכניקת החלפת ספריות (DLL side-loading) —
כלומר מופעלת כאילו הייתה קובץ מערכת רגיל.
3. לאחר ההפעלה היא מנטרלת את הגנת המאקרו במסמכי Office
ופותחת להאקרים גישה למערכת.
מה היא מסוגלת לעשות?
לאחר ההפעלה NotDoor יכולה:
לבצע פקודות על המחשב שלכם.
לגנוב קבצים ולשלוח אותם להאקרים.
להוריד קבצים חדשים למחשב הקורבן.
לפעול “בשקט”, בלי חלונות או הודעות.
כל המידע שנגנב מועבר דרך ערוצים מוצפנים —
כולל Proton Mail (דוא״ל אנונימי),
Telegram ואפילו שירותים של Microsoft.
למה זה מסוכן?
הבעיה העיקרית היא שהמתקפה כמעט בלתי נראית.
האדם ממשיך לעבוד מול המחשב,
לבדוק דוא״ל,
ואפילו לא חושד שהנתונים שלו כבר נשלחים להאקרים.
זו סכנה לא רק לחברות גדולות ולממשלות,
אלא גם לעובדים רגילים שמקבלים מיילים כאלה
לתיבת הדואר הארגונית שלהם.
איך אפשר להתגונן?
כמה כללים פשוטים יכולים להפחית את הסיכון:
אל תפתחו קבצים מצורפים ממיילים של שולחים לא מוכרים.
אל תפעילו מאקרו במסמכי Word או Excel אם התוכנה מבקשת זאת.
עדכנו את Windows ו-Office כדי לסגור פרצות אבטחה.
השתמשו באנטי-וירוס והפעילו בדיקה לקבצים חשודים.
אם אתם עובדים בארגון —
וודאו שמנהל המערכת משבית פונקציות מיותרות
(למשל מאקרו שמגיעים מהאינטרנט).
סיכום
המתקפה של APT28 באמצעות NotDoor
היא תזכורת נוספת לכך שאיומי סייבר נעשים מתוחכמים יותר ויותר.
היום המטרה העיקרית הן חברות נאט״ו,
אך מחר אותן שיטות עלולות לשמש גם נגד משתמשים פרטיים.
היו ערניים:
אבטחה מתחילה בזהירות בעבודה עם דוא״ל וקבצים.