הגונב מגנב פטור – גם בסייבר? הכירו את רובין הוד הכורדי

נוזקה חדשה, שפוגעת במשתמשי Discord, אפליקציית צ'ט פופולרית ולה יותר מ-300 מיליון משתמשים ברחבי העולם, נחשפה על ידי חוקרי מעבדות סייברארק – כך החברה מסרה היום (ה'). מדובר בנוזקה שנמצאת בשימושם של האקרים פרו-כורדים ושמזכירה במשהו את רובין הוד. אולם, בניגוד לגיבור הספרותי, שגונב מהעשירים כספים כדי לתת אותם לעניים, הנוזקה החדשה מתחזה לכזו שגונבת מגנבים – ובפועל גונבת את המידע של המשתמשים.

החוקרים התחקו אחר עקבות התוקפים, עד שהגיעו לקבוצת פשיעת סייבר מתפתחת במזרח התיכון בשם Kurdistan 4455. זו יצרה כלי חדש להלבנת כספים ולמתקפות אקטיביסטיות – באמצעות נוזקה שנקראת Vare.

הנוזקה שנתגלתה על ידי חוקרי סייברארק. צילום: יח"צ

Kurdistan 4455 הינה קבוצת תוקפים פרו-כורדית המבוססת בטורקיה – מדינה שפועלת נגד המיעוט הכורדי ורצונו בעצמאות. הקבוצה משתמשת בפלטפורמת Discord למטרות זדוניות, באמצעות נוזקת Vare, שמשתמשת בפלטפורמה, ונמצאה בכמה קהילות שונות שלה. Discord הינה פלטפורמה מבוססת קהילה, שאנשים משתפים בה מידע ונפגשים זה עם זה לפי תחומי עניין לצורך החלפת אינפורמציה – דבר שיוצר אמון רב בין משתמשים בעלי תחומי עניין דומים. באפליקציה זו נחשפו השבוע מסמכי הפנטגון, שכללו מידע סודי רב והביאו למבוכה רבה בקהיליית המודיעין ובממשל של ארצות הברית.

תוכנה שמתחזה לתוכנה שבונה נוזקות

לפי החוקרים, תוקפי Kurdistan 4455 כתבו נוזקה שמתחזה לתוכנה שבונה נוזקות והציעו אותה בקהילות של אנשים שמחפשים תוכנות לבניית נוזקות, במטרה לתקוף תוקפים שנמצאים ב- Discord. המטרה של ההאקרים הפרו-כורדים היא לתקוף את אותם תוקפים, כדי ליצור אפקט של "פירמידת שרשרת אספקה" – כלומר, להציע את הנוזקה לתוקפים ובסוף לזכות במידע שהם משיגים, למשל מספרי כרטיסי אשראי, סיסמאות, קבצי עוגיות (Cookies) והיסטוריית גלישה. כך, הם יכולים להמיר את פרטי המידע לטובת גניבת כסף ופרטים אישיים וגניבת הזהות הדיגיטלית של הקורבן – ולא פחות חמור מכך, השתלטות על חשבונות מרחוק, מה שיכול לאפשר תקיפות נוספות כמו למשל על הרשת של הקורבן. החוקרים ציינו כי גם ארגונים גדולים מאמצים את Discord – אפילו הצבא האוקראיני משתמש באפליקציה למטרות תקשורת אסטרטגיות. "לפיכך", כתבו, "הנוזקה יוצרת סיכון גדול מאוד וחושפת רשתות ארגוניות למתקפות שליטה ובקרה (C&C)".

צילום מסך

כמו כן, החוקרים עמדו על הסכנה הטמונה בניצול של משתמשים צעירים ב-Discord, היות שהפלטפורמה התחילה כאפליקציית צ'ט לגיימרים, שמטבעה מושכת אליה משתמשים צעירים רבים, בהם גם קטינים. לפי החוקרים, "אותם משתמשים מרבים לתת אמון רב אחד בשני, למרות האנונימיות של המשתמשים – מה שעלול לסכן אותם בחשיפה למטרות זדוניות של קבוצות תוקפים. על ההורים להיות יותר מעורבים וערניים לגבי הפעילות של ילדיהם ב-Discord".

"זהו מחקר שחושף את ממדי הסכנה ב-Discord"

חוקרי סייברארק הוסיפו כי "זהו מחקר שחושף את ממדי הסכנה ב-Discord, ובניגוד למחקרים קודמים, שהראו כיצד קבוצות תוקפות משתמשים בה, בפעם הראשונה הראינו איך קבוצות תוקפות קבוצות תקיפה אחרות, כיצד הן מנצלות את התשתית של Discord לרעה ואיך בעיה זאת קיימת גם בפלטפורמות דומות". הם ציינו כי חוקרי צוות המעבדה ניסו לעדכן את האפליקציה דרך כל הערוצים מקובלים, אבל לא קיבלו מענה הולם.

"עיקר השימוש ב-Discord הוא בשעות הפנאי", הוסיפו, "אבל במקרים רבים נעשה שימוש במחשבים הארגוניים של העובדים כדי להיכנס לפלטפורמה, ולכן זה מאוד בעייתי. הורדת נוזקה למחשב עלולה לתת לתוקפים אחיזה ראשונה במחשבי החברה, ומשם יהיה להם קל יותר להגיע למידע רגיש". הם חזרקו על ההמלצה "לא לתת מידע רגיש כמו סיסמאות או מידע אישי לגורם כלשהו, וכמובן לא להריץ קבצים שהורדו ממקורות לא רשמיים".