סימנטק חשפה מתקפת האקרים רחבה; בין הנפגעים: פייסבוק, טוויטר, אפל ומיקרוסופט

קבוצת האקרים ביצעה חדירות רבות היקף לתאגידי ענק וגנבה מהם קניין רוחני יקר ערך – כך חשפה בסוף השבוע סימנטק (Symantec). על פי ענקית אבטחת המידע, הקבוצה תקפה חברות ענק, בשווי של מיליארדי דולרים, במגזרי התוכנה, האינטרנט, התרופות, המשפט והסחורות. טוויטר (Twitter), פייסבוק (Facebook), אפל (Apple) ומיקרוסופט (Microsoft) הן בין חברות שהודו כי הותקפו.

ייחודה של הקבוצה, כך על פי חוקרי ענקית אבטחת המידע, הוא בכך שהיא חיפשה, ומצאה, קניין רוחני יקר ערך אותו היא גנבה. זאת בניגוד לקבוצות האקרים רבות המחפשות לגנוב סיסמאות ומידע אישי מחברות בעלות רמת אבטחת מידע ירודה – פרטים אישיים אותם הן מוכרות בשוק השחור של המידע. על פי דו"ח שהנפיקה החברה, קבוצת ההאקרים התאפיינה בתחכום טכנולוגי גבוה בהרבה מקבוצות ההאקרים הרגילות הפועלות בעולם הפשע המקוון. סימנטק כינתה את הקבוצה Morpho, ולאחר מכן שינתה את הכינוי ל-Butterfly – פרפר. הקבוצה נהגה למכור את הקניין הרוחני אותו גנבה למתחרים של החברות אליה פרצה או למדינות לאום.

החוקרים אמרו שהם לא מאמינים כי הקבוצה קיבלה גיבוי ממדינת לאום כיוון שהיא הייתה "שוות נפש" ללאום של הארגונים אותם תקפה. החוקרים אמרו שיש רמזים לכך שההאקרים עשויים להיות דוברי אנגלית; הקוד הזדוני אותו פיתחו כתוב באנגלית רהוטה והשמות שהם נתנו למפתחות ההצפנה שלהם קשורים בתרבות הפופ האמריקנית ולמשחקי מחשב מערביים. על פי החוקרים התוקפים פעלו בשעות העבודה של ארצות הברית, אולם הדבר אינו מעיד על היותם אמריקנים אלא על כך שהם פעלו בזמן שמטרות התקיפה שלהם פעילות ביותר.

הקבוצה פיתחה מערך של כלי פריצה המסוגלים לפרוץ למחשבים מבוססי חלונות (Windows) ולמחשבי אפל. הם עבדו במשך כשנתיים על פיתוח שני סוסים טרויאניים מסוג "דלת אחורית", והיו בידיהם משאבי מחשוב רבים. לפחות במקרה אחד החוקרים גילו כי ההאקרים השתמשו בשיטה המכונה "יום אפס" – zero day, פרצת אבטחה שלא התגלתה על ידי חברות אבטחת מידע. כלים המוצאים פרצות שכאלו נחשבים כקשים למצוא וניתן לרכוש אותם בשוק השחור תמורת סכומים גבוהים בשל היקף הנזק הגדול יחסית שהם מביאים, ובהתאם – התמורה הכלכלית לפורצים.

חוקרי ענקית אבטחת המידע מאמינים כי קבוצת Morpho היא שפגעה בפייסבוק, טוויטר, אפל ומיקרוסופט בשנת 2013. החוקרים ציינו כי מצאו ראיות לכך שאותה הקבוצה עדיין פעילה כיום. בסך הכול, הקבוצה תקפה 49 ארגונים שונים ביותר מ-20 מדינות: 17 בארצות הברית, 12 באירופה, 4 בקנדה, וכן ארגונים בברזיל, סין, הודו, יפן, מרוקו וישראל.

"סיורים זהירים"

החוקרים מצאו ראיות לכך שההאקרים ערכו "סיורים זהירים" בטרם גנבו את הסודות המסחריים של הארגונים שתקפו. בכמה מהמקרים היו סימנים לכך שההאקרים הצליחו ליירט מיילים של הארגונים, ולגנוב מסדי נתונים עסקיים המכילים מסמכים משפטיים, מסמכים על מדיניות הארגונים, דו"חות כספיים, תיאורי מוצר, ומסמכי הדרכה. במקרה אחד, החוקרים מצאו כי הקבוצה הצליחה לפרוץ למערכת האבטחה הפיזית של הארגון העוקבת אחר תנועות עובדים ומבקרים סביב המבנים שלו. עוד נכתב בדו"ח כי ההאקרים היו זהירים מאוד בטשטוש הפעילות שלהם בסוף התקיפה והשתמשו – לתיאום המתקפות – בשרתים שהושכרו באמצעות ביטקוין (Bitcoin), מה שהבטיח להם אנונימיות.

"Morpho הוא תזכורת לארגונים", נכתב בדו"ח, "שבזמן שהם נערכים למתקפות מפני האקרים הפועלים בחסות מדינות, הם צריכים להיות מודעים לאיום הפוטנציאלי של ריגול תעשייתי – ולהיערך בהתאם".

"אנחנו יודעים שיכולות התקיפה שלהם מאוד מאוד טובות,"אמר ויקראם ת'אקור, מנהל בכיר בצוות חקירת המתקפות בסימנטק, "מי הם? אנחנו לא יודעים. כמעט בלתי אפשרי לעקוב אחריהם".