ב-Online
 
 
 
 
 
 
 
סייבר 
מבוך לאור הירח: מלחמת הסייבר שנמשכת כבר 20 שנה יוצאת מהצללים 

מבוך לאור הירח: מלחמת הסייבר שנמשכת כבר 20 שנה יוצאת מהצללים

 
סייבר |
 

מחקר חדש של חברת אבטחת המידע הרוסית קספרסקי שופך אור על אחת ממתקפות הסייבר המשמעותיות בהיסטוריה שכוונה כנגד ארה"ב, וחושף: היא עדיין נמשכת

 
 
 
 
 
 
 
 
 
 
 

לפני כשנה, עלה חוקר הסייבר תומס ריד על בימת הכנס השנתי של קספרסקי להרצאה שנמשכה כעשרים דקות אודות ה-Moonlight Maze, אחת ממתקפות הסייבר הראשונות כנגד ארה"ב שיוחסו למאמצי ריגול של מדינה עויינת.

 

במשך 18 דקות שטח האיש את ההיסטוריה של המתקפה הזו כקידום לספרו החדש. אך בשתי הדקות הנותרות שלו, הוא אמר כמה דברים שהצליחו להסעיר רבים בתחום וגילה כי חוקרים בשלוש מדינות טוענים שה-Moonlight Maze הוא האב הרוחני של מה שלימים יהפוך ל-Turla, נוזקת סוס טרויאני מתוחכמת ומורכבת שתקפה מאמצע העשור הקודם שלל מוסדות וגופי צבא וממשל מערביים ואשר יוחסה לגופי הביון הרוסים.

 

טורלה הוא שמה של נוזקה מתוחכמת שלימים הפך לכינויה של הקבוצה העומדת מאחורי פיתוחה. דבר קיומה התגלה באופן רשמי לעולם בתחילת שנת 2014 כשחברות אבטחת המידע BAE Systems הבריטית ו-G Data הגרמנית פירסמו דוחות משלהם על פעילות הגוף הזה, שזכה לכינויים שונים כמו הנחש, אורובורוס ועוד. מהדוחות הללו עולה כי העדויות הוותיקות ביותר לקיומה של טורלה מתוארכות מעט לפני שנת 2005, כשעיקר פעילותה היה בין השנים 2008 ל-2014. בשנים הללו, הקבוצה הזו עשתה שימוש בכלי תקיפת סייבר שונים כנגד גופים מערביים שונים ומדינות מהגוש המזרחי שבעברן היו סובייטיות. החוקרים טענו לאורך השנים כי מורכבות התוכנה הזו והכח החישובי מאחוריה מעידים על כך שהיא כלי תקיפה שמאחוריו עומד מערך מדינתי - ולא שחקן פרטי.

 

בכלי התקיפה הללו נעשה שימוש לאורך השנים כנגד חברות ברית נאט"ו השונות, ואף במתקפת הסייבר הגדולה בשנת 2008 כנגד צבא ארה"ב, זו שכונתה אז כפריצה החמורה ביותר אי פעם למערכות המיחשוב של צבא ארה"ב. הגילוי הזה הוביל למבצע נגדי אמריקני ושנה אחר כך - אף להקמת זרוע פיקוד הסייבר העליון בצבא ארה"ב.

 

 

במהלך השנה האחרונה שקד ריד, ביחד עם אנשי מעבדת המחקר של קספרסקי וחוקרים מ King's College שבלונדון, על מחקר מקיף שמאשש את הקשר הזה. המחקר למעשה מבסס את הטענה כי מדובר במבצע תקיפה שנמשך כבר למעלה מעשרים שנה, ומעמיד את מפעילי הטורלה הרוסים באותה השורה עם The Equation Group, קבוצת ההאקרים שסונפה ל-NSA האמריקני - כשני השחקנים הוותיקים והמאיימים ביותר במגרש הסייבר העולמי, שני טיטאנים שיתכן ומעורבים במלחמת צללים כבר למעלה משני עשורים. על פי המחקר החדש, נראה כי החל משלהי שנת 2003, על בסיס ה-Moonlight Maze החל להתהוות מה שלימים כונה ה"טורלה".

 

 
 

המקרה המוזר של המחשב בשעת לילה

 

הסיפור שלנו מתחיל באוקטובר 1996, במעבדה קטנה בקולורדו המשתייכת לבית ספר שפעל בחסות חיל הים האמריקני. עוזר מנהלה בבית הספר הזה גילה לילה אחד פעילות מוזרה במחשבי המוסד. מה שהוא גילה זו Rootkit, כינוי לתוכנה המאפשרת לתוקף להסוות חדירה ולהשיג הרשאות מערכת. למעשה עוזר המנהלה לא הבין בדיוק מה הוא גילה ולכן דיווח על כך לחיל הים, הגוף שהיה אחראי על פעילות המעבדה. למרבה ההפתעה גם בחיל הים לא בדיוק הבינו במה מדובר, ולמעשה רק שנתיים אחרי כן, מניתוח המקרה, ניתן היה לקבוע כי מדובר בפעם הראשונה שאותרה מתקפה של תוכנת ה-Moonlight Maze, תוכנה שעמדה בחוד החנית של מתקפת סייבר מתוחכמת שהובלה כנגד מוסדותיה הצבאיים של ארה"ב.

 

בדצמבר 1996, חודשיים לאחר מכן, נפרצה מערכת הפיקוד של חיל הים האמריקני, במה שלימים יהפוך לרגע היסטורי כאחת מתקיפות הסייבר הראשונות שחווה גוף בטחוני אמריקני. במהלך כל התקיפות הללו נגנבו חומרים סודיים ממחשבי הצבא וממעבדות המחקר - כשהתוקף או התוקפים שוטטו להם בחשאיות בקרבי המערכות הרגישות.

 

ביוני 1998, זיהה טכנאי ATI-Corp חיבור חריג מהרשת של החברה שלו אל מחשבי בסיס בחברת עוזר מנהלה בבסיס חיל האויר האמריקני. הוא הבחין בתנועה לא שגרתית ברשת של החברה שלו אל בסיס חיל האויר האמריקני רייט פטרסון. הוא זיהה כי מישהו השתמש בפרטי הגישה של אחד העובדים בשעה 3:00 לפנות בוקר ביום ראשון. מבירור שערך עם העובד, האחרון ענה כי לא הוא זה שעבד על המחשב בשעה הזו - מה שהוביל את הטכנאי ליצור קשר עם חיל האויר האמריקני.

 

 
חמ"ל חיל האויר של ארה"ב
 חמ"ל חיל האויר של ארה"ב   צילום: חיל האויר של ארה"ב 
 

החקירה של החיל גילתה כי אותו התוקף חדר למחשבי בסיס רייט פטרסון גם ממחשביהן של אוניברסיטת דרום קרוליינה, אוניברסיטת רייט ואוניברסיטת סינסינטי. באחד מהמקרים הללו החקירה גילתה כי התוקף עשה טעות והשאיר עקבות שהובילו לחיבור המקורי - אשר אותר ככתובת IP רוסית.

 

בעקבות הגילוי הזה הוקם צוות חקירה רשמי, שגילה שהתקיפה הזו נרחבת הרבה יותר ממה שנחשד תחילה וכי בין הקורבנות היו עוד אוניברסיטאות, המעבדה הלאומית בלוס אלמוס, נאס"א וגם קורבנות נוספים במדינות כגרמניה, אנגליה, קנדה, ברזיל ועוד.


מלכודת דבש לעמותה לונדונית

 

במהלך החקירה הזו, נתגלתה עוד מעידה נדירה של התוקף אשר הובילה למספר טלפון של עמותה ללא רווח מלונדון. אחרי שיצרו בחיל האויר קשר עם נציגי העמותה, ביקשו שם לקבל לידם גישה למחשבי העמותה ולנתוני חברת הטלפון. החוקרים ניצלו את ההזדמנות שנפלה בחיקם והחלו לעקוב אחר תעבורת הרשת מהשרתים הבריטים, במערכת המכונה HR Test - בשיתוף עם המקומיים. החוקרים הניחו לתוקפים מלכודת דבש בדמות אסופת קבצי PDF עם שמות מסקרנים במיוחד, שפתיחתם הותרה רק לאחר הורדת קורא ייעודי משרתים צבאיים שהכיל בתוכו תוכנת מעקב - מסתבר שמישהו בצד השני נגס בפתיון ובמשך חצי שנה עקבו החוקרים אחר הנעשה בשרת - ומה שהם גילו, גרם להם להחוויר.

 

מסתבר שעל בסיס קו התקשורת הבריטי של העמותה, לא רק שנמצאו חלק מכלי התקיפה של ה-MM (קיצור של ה-Moonlight Maze), אלא אף נותבו לעברם אינספור התקשרויות עם בסיסים וגופי בטחון אמריקנים - כשחלקם מנותבים דרך אוניברסיטאות אמריקאיות ואחת מהן דרך ספריה עירונית שמחשביה נוצלו והפכו למעיין מרכזית רשת עבור התוקפים. מתברר שבין השאר התוקפים ניצלו את הגישה לאוניברסיטאות כדי לחדור משם למחשבי מעבדות מחקר צבאיות - שעבדו בשיתוף עם אותן אוניברסיטאות. בעקבות הגילוי המרעיש הזה, ה-FBI החליט להתערב בנדון ומנצל את התגלית כדי לנסות ולהתחקות אחר מפעילי המתקפה, מהלך שהוביל לזעזוע אמיתי בצבא האמריקני.

 

 
נתיב התקיפה של ה-MM לפי קספרסקי
 נתיב התקיפה של ה-MM לפי קספרסקי   צילום: קספרסקי 
 

בין אלפי הרשומות וקודי התוכנה שהם מגלים, הם מוצאים מדי פעם איזכורים למילים ברוסית. באחת מהתכתובות, למשל, נמצאה המילה "ילד" ברוסית. בהמשך ה-FBI ניתח את פעילות ההאקרים ומצא כי זו נמשכה לאורך חג המולד הנוצרי באותה השנה, אך פסקה בין השביעי לשמיני בינואר בשנת 1999 - בתזמון מושלם עם חג המולד האורתודכסי הנוצרי, זה שמצויין ונחגג ברוסיה. למעשה כל הראיות הובילו לכך שמדובר ברוסיה - גם אם זו מעולם לא הואשמה או הודתה בכך בפומבי. הגילוי הזה היה הקטליזטור להקמת יחידת הגנת הסייבר הראשונה של ארה"ב שבראשיתה בחנה רק את מה שלימים כונה Moonlight Maze.

 

המשך החקירה הפתיע בדיוק כמו גילוי דבר הפריצה. באחת מחקירות הסייבר המקיפות הראשונות אי פעם, גילו החוקרים מדוע התוקפים השתמשו באוניברסיטאות כדי לחדור למחשבי מחקר צבאיים - מסתבר שהמידע היה זמין לכולם. הצבא, כל מתברר, פירסם במשך שנים חוברת מיוחדת שסקרה טכנולוגיות חדשניות שנמצאות בפיתוח, החוברת הזו הכילה לא רק את שם הפיתוח והמעבדה הצבאית - אלא אף את אנשי הקשר באקדמיה, שמותיהם ומספרי הטלפון שלהם. כל מה שהיה על הפורצים לעשות הוא להשיג את החוברת הזו, שלא הוגדרה כסודית, ולחבר את הנקודות - וזה בדיוק מה שההאקרים עשו. החוקרים מצאו התאמה מלאה בין האוניברסיטאות שנפרצו לבין המעבדה הצבאית שנפרצה באמצעות האוניברסיטה - כפי שצויין בחוברת הצבאית. מכאן החוקרים הסיקו שזו הייתה למעשה רשימת המטרות של התוקף.

 

 
הכיכר האדומה, מוסקבה
 הכיכר האדומה, מוסקבה   צילום: getty 
 

בפברואר 1999 התמונה מתחילה להתבהר, ובדוחות פנימיים מתואר כי כמות הקבצים שנגנבה היא בלתי נתפסת. גופי הביטחון מחליטים לתדרך את הקונגרס בתדרוך מסווג, וכצפוי - המידע זולג החוצה. התקשורת בארה"ב עלתה על הסיפור ובמהרה הכותרות שם זועקות "מלחמת סייבר". במקביל ב-FBI מחליטים לנסוע למוסקבה בנסיון לפענח את הפרשה ולגלות האם מדובר באקט פלילי או אולי במעשה תוקפני של מדינה.


כולם נעלמו, חוץ מהנהג

 

ב-2 באפריל 1999 משלחת בת שבעה נציגים יוצאת למוסקבה במטרה לפגוש נציגים ממשרד הפנים הרוסי בנסיון להתחקות אחר אותו קצה החוט שנתגלה שנה לפני כן ברוסיה. ביום הראשון לביקור, הרוסים מקבלים את פני המשלחת האמריקנית בחום ואפילו לוקחים את החוקרים למשרדי ספקית האינטרנט בניסיון לגלות את מקור הפריצה. אך למחרת, משהו מוזר קורה - והאמריקאים סיפרו שכל אנשי הקשר שלהם במשרד הפנים הרוסי נעלמו להם וסירבו לענות להם לטלפונים. למעשה איש הקשר היחיד שנשאר הוא הנהג של המשלחת, שרק היה אמור לקחת אותם לסיור תיירותי במוסקבה. לאחר שהחקירה הזו מגיעה למבוי סתום, עיקר המאמצים הוטלו על כתפי המודיעין האמריקני, במה שהופך להיות מאמץ מודיעיני לאומי.

 

אחרי השתלשלות הארועים הזו, הסיפור של ה-Moonlight Maze מגיע למבוי סתום. ריד וצוות החוקרים של קספרסקי לא הצליחו להעלת שום מידע על השתלשלות הארועים או למצוא עדויות להופעות נוספות של הנוזקה, מלבד עדות אחת, בדמות מעטפה של ה-FBI משנת 2008 ובה נרשם כי כל חומרי החקירה בנושא ה-Moonlight Maze הושמדו - נוהל מוכר ושיגרתי המבוצע לאחר שתיקי חקירה סודיים מסתיימים ואין כוונה לפתוח אותם שוב.

 

בתמונה: קספרסקי מצייצים צילום של המעטפה של הFBI:

 


 

 

ובנקודה הזו למעשה אנו מתחברים להווה ולפרסום של קספרסקי, ריד וה-King's College שבלונדון. במסמך מקיף שפורסם אמש, גוללים החוקרים את מאמציהם לאתר קשר בין ה-Moonlight Maze ל-Turla. הנחת היסוד שלהם היתה כי יש קשר בין השניים והדרך להוכיח זו טמונה בקוד התוכנות. בעוד שמאמץ ארכואולוגי הניב שלל גרסאות שונות של תוכנות וגרסאות קודמות של מה שמכונה "טורלה", הרי שלא כך הדבר היה עם חקירת ה-MM (קיצור ל Moonlight Maze). החוקרים מציינים כי עיקר הקושי היה באיתור דוגמאות קוד מקוריות של ה-MM, ומאחר וב-FBI השמידו את חומר החקירה הרי שהדבר הפך לכמעט בלתי אפשרי. כתבנו 'כמעט', כי מסתבר שאוצר סייבר אריכאולוגי נדיר המתין לחוקרים בלונדון.

 

בזמן עבודתו על ספר בנושא, פנה ריד בנסיון נואש לדייויד הדג'ס, טכנאי רשתות בריטי בן 69 שתיחזק את הרשת שנפרצה ונוצלה על ידי ההאקרים. ריד רצה לדעת האם קיים סיכוי שבידיו של הדג'ס, שכאמרו הפעיל את האתר עבור העמותה שנפרצה, שבבי מידע הקשורים לארוע ההוא והתשובה שהוא קיבל מהדג'ס הותירה אותו פעור פה. בתשובתו ענה הדג'ס כי הוא ציפה שפנייה כזו תגיע מתישהוא, ובאמתחתו המתינה הפתעה עצומה לחוקר.

 

מסתבר ששרת ה "HR test" שנחדר על ידי ההאקרים וכזכור הומר לתחנת מעקב אחר מפעילי ה-MM, נשמר במלואו על ידי הדג'ס, כיום טכנאי רשת בפנסיה שהבין את חשיבותו ההיסטורית של המחשב. לא רק זאת, האיש גם גיבה את הנתונים שנשמרו על היחידה, מחשב HP שולחני מדגם "HP 9000", ושמר אותם בכספת בביתו. בכך, לראשונה, העניק לחוקרים קצה חוט של ממש בפיענוח החידה.

 

 
מחשב ה- HP 9000 שאגר את הסודות של ה-MM
 מחשב ה- HP 9000 שאגר את הסודות של ה-MM   צילום: קספרסקי 
 

החוקרים מספרים שהם נברו בקרבי המחשב במשך חודשים ארוכים בנסיון להרכיב את הפאזל המיסתורי. במהלך חקירתם ההיסטורית, אותה הציגו אמש בוועידת קספרסקי - שנפתחה, מכל המקומות, באי הקריבי סן מרטין - טענו החוקרים כי הצליחו להוכיח לראושנה כי חוט ישיר מחבר בין ה-MM ל"טורלה" ואף יתרה מכך - המחקר העלה כי ה"טורלה" הוא פיתוח אבולוציוני שנעשה כהמשך ישיר ל-MM, לאחר שזה נתגלה על ידי האמריקנים.

 

החוקרים גילו בין הרשומות והקודים על מחשבו של הדג'ס, קוד המנצל פירצה במערכות מבוססות לינוקס בשם Loki2. הפירצה הזו איפשרה לתוקפים להעתיק מידע ממערכות מבלי שיזוהו. למרבה ההפתעה, מסתבר שאותה הפירצה בדיוק, הייתה בבסיסה של מתקפה שיוחסה לנוזקת הטורלה ואשר נתגלתה על ידי חוקרי קספרסקי בשנת 2014. עד אז נטען כי הטורלה פוגע רק במערכות הפועלות על בסיס חלונות 32 ו-64 ביט. חוקרי קספרסקי חשפו אז כי מצאו עדויות לכך שהטורלה הומר לתקיפת מערכות מבוססות לינוקס ואחד הסמנים שנמצא בקוד ההוא - היא אותה פירצת ה-Loki2.

 

החוקרים טוענים במאמר שפורסם כי השימוש בקוד הזה כיום נחשב די ארכאי, עד כדי כך שלא נמצאו עדויות לכך כי האקרים נוספים משתמשים בקוד המיושן הזה. המשך החקירה בגרסאות שונות של הטורלה העלה כי נראה והנוזקה הזו פותחה על בסיס ה-MM עוד בסוף שנת 1999 והפכה מבצעית לקראת 2003 - מה שיושב על לוחות הזמנים המוכרים לחוקרים ומייצר מצג של מתקפה מתמשכת שנמשכת למעלה משני עשורים ומנצלת, בבסיסה, כמעט את אותן הפרצות.

 

 
משמאל לימין, ריד, הדג'ס, והחוקרים דניאל מור וחואן אנדרס גואררו
 משמאל לימין, ריד, הדג'ס, והחוקרים דניאל מור וחואן אנדרס גואררו   צילום: קספרסקי 
 

למרות שהחוקרים נמנעו המפורש להצהיר כי מדובר באותו הגוף, הרי שהם עשו הכל כדי להצביע על כך. לאורך השנים דובר רבות על מעורבותם של ארגוני הביון הרוסיים בפיתוח הטורלה ובהפעלתה, אך ייתכן וזו הפעם הראשונה ובה נמצאות ראיות שמצביאות על קשר נסיבתי, בין המתקפה הזו לבין מתקפת ה-MM - ששתיהן כוונו כנגד מטרות מערביות ובראשן מערכות הביטחון של ארה"ב.

 

המחקר הזה ותוצאותיו שופכים אור על עולם המתקיים על פי רוב בצללים, עולם ובו רב הנסתר מהגלוי. חשיבותו, מעבר למידע הטכני, הוא בהבנת תהליכים ארוכי טווח שלעיתים ניתן להבינם רק במבט לאחור. רוב הארועים שנסקרו כאן, נתפסו בזמן התרחשותם כארועים נקודתיים - המחקר הזה מצליח לחבר את הנקודות ולייצר מעיין קו רציף המחבר בין שלל הארועים הללו ולמעשה לומר כי הארועים הללו לא נסתיימו ולמעשה הם עדיין בהתהוות.  וכאילו לא די בכך, רק בשבוע שעבר ריד עצמו עלה לכותרות לאחר שהעיד בשבוע שעבר בפני ועדת החקירה הממלכתית האמריקנית בנושא המעורבות הרוסית בבחירות בארה"ב, שם טען כי המעורבות הרוסית היא דבר מוחשי וכי זו החלה עוד בשנת 2015, אז בחנו שם שילוב של מתקפת סייבר מסורתית שמטרתה גניבת מידע לבין פעילות סייבר שמטרתה הדלפת מידע וזריעת דיסאינפורמציה ברמה לאומית על ידי הצפת הרשת במידע מסולף.

 

 

 

 
 
 
@@@@@@@@@@@@@@@@@@@ ilan @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
 
@@@@@@@@@@@@@@@@@@@ ilan @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
 
 
תגובות
הוסף תגובה0 תגובות
הוספת תגובה
מאת
 
נושא
 
תוכן
 
 
 
 
תודה! תגובתך התקבלה.
התגובה תתפרסם בכפוף לתנאי האתר.
 
 
 
 
 

כל הזכויות שמורות 2011 © נענע 10 בע"מ
 
 
 
 
כל הזכויות שמורות © Nana10 בע"מ
Video powered by