בפעם הראשונה בעידן הסייבר: קספרסקי זיהתה מלחמת האקרים
קבוצה גדולה של האקרים תקפה מחשבים שקבוצה קטנה יותר השתילה בהם נוזקה, מחקה אותה והתקינה קוד זדוני משלה ● היריבים לא נשארו חייבים
מאז התפשטותה הגלובלית של רשת האינטרנט לפני כ-20 שנים תועדו מתקפות רבות של האקרים על אתרים של חברות מסחריות, ארגונים ציבוריים וממשלתיים, כמו גם על תשתיות פיזיות. השבוע התגלתה בפעם הראשונה מלחמה בין כנופיות האקרים – כך מסרה מעבדת קספרסקי (Kaspersky).
החברה עקבה אחר שתי קבוצות האקרים שתקפו זו את זו: הגדולה מביניהן מכונה Naikon והיא זו שתקפה ראשונה קבוצה קטנה בהרבה בשם Hellsing. הקבוצה הנתקפת השיבה מלחמה שערה.
כל אחת מהקבוצות תקפה מחשבים ש-"נלכדו" על ידי הקבוצה היריבה, במטרה "לנקות" את הנוזקה שלה ולהשתיל בהם נוזקה אחרת, שתשתלט על אותם מחשבים. יוג'ין קספרסקי, מייסד, מנכ"ל ויו"ר הענקית הנושאת את שמו, ציין שההאקרים משתי הקבוצות משתמשים בפתרונות אנטי וירוס וטיפול בנוזקה של החברה. הוא אמר כי "זו ההוכחה שהפתרון של קספרסקי הוא הטוב ביותר, שהרי המקצוענים ביותר, האקרי העילית, בוחרים להשתמש בה. הם רוכשים את התוכנה בעילום שם".
ממלחמות הכוכבים ועד מלחמות APT
תיאורי עלילות אלה של מלחמת ההאקרים מזכירים את מיטב ספרות הקומיקס וסרטי המדע הבדיוני בארצות הברית וביפן – המולדת של המנגה. קבוצת Hellsing, למשל, מכונה על שם גיבור מנגה יפני שהוא גם "טוב" וגם "רע", כלומר: עוזר ותוקף גם יחד. בנוסף, קספרסקי כינתה את הקרבות "מרגל נגד מרגל", על שם הקומיקס של המגזין MAD שנקרא "Spy vs. Spy". גם כאן, שתי הקבוצות, השחורים והלבנים, רעות וטובות כאחד. את כלל המלחמה כינתה החברה "האימפריה מכה שנית" – על שם הסרט החמישי בסדרת מלחמת הכוכבים. המושג APT (ר"ת Advanced Persistent Threats) מחליף כאן את המושגים החלליים. כלומר: לא עוד ספינות חלל אלא מתקפות בוטים ברשת.
קספרסקי תיאר את השתלשלות האירועים וגילויים ב-Cyber Security Summit – הכנס שערכה החברה השבוע בסינגפור, במקביל לתערוכת Interpol World 2015. לדבריו, "מעבדת קספרסקי תיעדה דוגמה נדירה ויוצאת דופן למתקפה של עברייני רשת מקבוצה אחת על 'עמיתיהם' מקבוצה אחרת. קבוצת ריגול מקוון קטנה חסרת יכולות טכניות יוצאות דופן בשם Hellsing, שתקפה עד עתה בעיקר ארגונים ממשלתיים ודיפלומטיים באסיה, הפכה בעצמה במהלך 2014 קורבן למתקפת פישינג מצד שחקן אחר – והחליטה לתקוף חזרה. ייתכן שהדבר מסמל מגמה חדשה בעולם העבריינות המקוונת – מלחמות APT".
החברה גילתה את המלחמה במהלך מחקר שהיא מבצעת בימים אלה לגבי קבוצת Naikon, שתקפה ארגונים באזור אסיה-פסיפיק. המומחים הבחינו בניסיון של הקבוצה להדביק את המערכות בביצוע מתקפת פישינג ממוקדת באמצעות מיילים שככלו קבצים עם קודים זדוניים. מטרת התקיפה פקפקה באמינות המייל שנשלח ולא פתחה את הקובץ. זמן קצר לאחר מכן היא שלחה אל המוען מייל שהכיל את אותו קוד זדוני שהוא עצמו שלח אליה. המהלך הדליק בקספרסקי נורה אדומה והוביל לחשיפת Hellsing.
שיטת מתקפת הנגד מצביעה על כך ש-Hellsing רצתה לזהות את קבוצת Naikon ולאסוף מודיעין לגביה ולגבי אחרים. ניתוח עומק של פעילותה חשף שורה של הודעות פישינג ממוקדות עם קוד זדוני מצורף, שמטרתו הייתה ריגול. אם הקורבן פותח את ההודעה הזדונית, המערכת נדבקת בדלת אחורית מותאמת אישית, שמסוגלת להוריד ולהעלות קבצים, ולעדכן ולהסיר את עצמה. על פי תצפית של מעבדת קספרסקי, מספר הארגונים ש-Hellsing תקפה עומד על קרוב ל-20.
המטרות של Hellsing
במהלך המחקר, החברה זיהתה וחסמה קוד זדוני של הקבוצה במלזיה ובפיליפינים, בהן נמצאו רוב הקורבנות, וכן בהודו, באינדונזיה ובארצות הברית. התוקפים היו בררניים מאוד לגבי סוג הארגונים שהם תוקפים: הם ניסו לפרוץ בעיקר לרשויות ממשלתיות ודיפלומטיות. קספרסקי מצאה שהקבוצה החלה לפעול לכל המאוחר ב-2012 והיא עדיין פעילה.
קוסטין ריאו, מנהל צוות מחקר וניתוח גלובלי במעבדת קספרסקי, אמר כי "תקיפת קבוצת Naikon על ידי Hellsing, בסוג של רדיפה נקמנית בסגנון 'האימפריה מכה שנית', היא מרתקת. בעבר ראינו קבוצות APT פוגעות בטעות אחת בשנייה, תוך גניבת רשימת כתובות מהקורבן ולאחר מכן שליחת הודעות המוניות לכל אחד ברשימה. אך כאשר בוחנים את מקור המתקפה, נראה כי כאן מדובר במתקפה מכוונת של APT על APT".
כדי להגן מפני מתקפות Hellsing, מעבדת קספרסקי ממליצה לא לפתוח קבצים מצורפים מאנשים לא מוכרים; להיזהר מקבצי ארכיב המכילים CSR או סוג אחר של קבצי הפעלה; במידה שלא בטוחים לגבי קובץ מצורף, לפתוח אותו ב-Sandbox; לוודא שמערכת ההפעלה עדכנית, שמותקנים בה כל העדכונים; ולעדכן אפליקציות צד שלישי, כגון אופיס (Office), פלאש (Flash) וג'אווה (Java).
הכותב הינו אורח החברה ב-Cyber Security Summit בסינגפור
אינני מבין ממה שמח קספרסקי מכך שהאקרים משתמשים בתוכנה שלו או מכך שהצליחו לפרוץ לתוכנה שלו? והוא עוד משבח אותם. זה רק מראה שהתוכנה של קספרסקי ניתנת לפריצה. הייתי משתתף בשמחתו אילו ציין שניסו להשתמש בתוכנה שלו אבל לא הצליחו לפרוץ.
גימיק שיווקי מדהים, אך האם המחיר הוא מכירת מערכות אבטחת מידע של קאספרסקי להאקרים, ועידוד מלחמת כנופיות פשעי סייבר על חשבון משתמשים? האם אין בכך אישוש לקביעה שחברות אבטחת המידע אחראיות להתפשטות פשעי הסייבר?