תגלית חדשה של חברת האבטחה הישראלית למחצה פינג'אן (Finjan) מספקת דוגמא נוספת לקלות הבלתי נסבלת של מציאת הכלים הדרושים על מנת לחדור, לגרום נזקים ולגנוב מידע מאתרי אינטרנט ארגוניים.

החברה הודיעה היום שחשפה מסד נתונים בלתי חוקי שמכיל יותר מ-8,700 רשומות FTP גנובות הכוללת שמות משתמש, סיסמאות וכתובות של שרתים. כל גורם שמעוניין בכך יכול לרכוש את הרשומות הללו ולעשות בהן שימוש על מנת להוציא אל הפועל מתקפות כנגד אותם שרתים.

לדברי יובל בן-יצחק, סמנכ"ל הטכנולוגיה של פינג'אן, הנתונים הגנובים שייכים לחברות בכל רחבי הגלובוס, מתוכן יותר מ-2,500 חברות בצפון אמריקה שחלקן מחזיקות אתרי אינטרנט מהפופולריים בעולם.

רשומות ה-FTP הגנובות עלולות לאפשר להאקרים לחדור לשרתים ולהעלות אליהם תוכנות זדוניות, כל זאת בלחיצת כפתור אחת או שתיים. "הם יכולים לבחור כל שרת מתוך הרשימה, לשלם עבור המידע הקשור אליו, ולהוציא אל הפועל מתקפה ללא שום קושי", אומר בן-יצחק.

ממשק מיוחד על השרת שמכיל את מסד הנתונים מאפשר לרוכשים הפוטנציאליים לקנות את נתוני ה-FTP על בסיס המדינות בהם ממוקמים השרתים או אפילו על פי הדירוג אותו נתנה גוגל לאתרי האינטרנט היושבים עליהם. הממשק גם מאפשר לגורמים פליליים למכור בעצמם נתוני FTP גנובים.

לדברי בן-יצחק, מסד הנתונים כולל גם גרסה חדשה של חבילת התוכנה NeoSploit, המאפשרת לגורמי אינטרנט זדוניים להחדיר תגיות iFrame לדפי אינטרנט הנמצאים על שרתים נגועים. בתגיות הללו ניתן לעשות שימוש מאוחר יותר על מנת למשוך בחשאי קוד זדוני מאתרי אינטרנט חיצוניים.

כל נתוני ה-FTP שנמצאים במסד הנתונים שנחשף על ידי פינג'אן נאספו ככל הנראה מבעוד מועד בעזרת סוסים טרויאניים וסוגים אחרים של תוכנות ריגול. "תחום ה-SaaS (תוכנה כשירות) מתפתח כבר זמן מה, אולם גישה זו יושמה עד עכשיו רק בהקשר של יישומים חוקיים", אומר בן-יצחק. לדבריו, מסד הנתונים אותו חשפה החברה, יחד עם ממשק המסחר המתקדם העוטף אותו, מראים שמודל זה מתחיל להיות מיושם גם בעולם התחתון של האינטרנט.

מסד הנתונים מאוחסן בשרת הנמצא בהונג-קונג, למרות שהתוכן עצמו כולו ברוסית. נכון לסוף השבוע שעבר, השרת היה עדיין פעיל, זאת למרות שפינג'אן שלחה הודעת דוא"ל לספק האינטרנט המקומי בה היא מודיעה לו על תוכנו הבלתי-חוקי. בשלב זה לא ברור האם השרת עצמו, המכיל את מסד הנתונים, נפרץ גם הוא.

חברות המעוניינות לבדוק האם השרתים שלהן נמצאים ברשימה אותה חשפה פינג'אן יכולים ליצור קשר ישירות עם החברה. בנוסף, בן-יצחק ממליץ לחברות שחוששות שהשרתים שלהן נמצאים בסיכון לשנות את שמות המשתמש וסיסמאות ה-FTP שלהן, זאת במידה ולא עשו זאת כבר במסגרת הנהלים הרגילים.