ראש הנחש: ארה"ב חיסלה נוזקה רוסית בת 20
סוכנות ביון רוסית השתמשה בנוזקת סנייק כדי לתקוף מטרות רבות – בארצות המערב ובאוקראינה ● ליסה מונקו, סגנית התובע הכללי, כינתה את סנייק "אחד מכלי הריגול הסייבר המתוחכמים ביותר של רוסיה"
פורקה רשת ריגול רוסית בסייבר בת שני עשורים.
בסוף השבוע הודיע משרד המשפטים האמריקני על השלמת מבצע "מדוזה", שאושר על ידי בית המשפט – לשיבוש רשת P2P עולמית, שהפעילה נוזקה מתחכמת בשם "נחש". הרשת הייתה פעילה עד יום בטרם המבצע, אמר בכיר ב-FBI לעיתונאים.
על פי הממשל, מדובר ביחידה בגוף הביון פס"ב, בשם "מרכז 16". פס"ב הוא ה"יורש" העיקרי של הקג"ב. היחידה מכונה טורלה (Turla), וחבריה ההאקרים החלו לפתח את סנייק, בגרסתו הראשונית בשם אורובורוס (Uroburos) בסוף 2003, וב-2004 שחררו את הגרסה הראשונית שלו. אורובורוס הוא סימן מצרי עתיק של נחש, או דרקון, הבולע את זנבו.
בין שלל המתקפות הרבות בסייבר מצדה של רוסיה, מאז שזו פלשה לאוקראינה בפברואר שעבר, שמה של טורלה – קבוצת האקרים בעלת יכולות רבות בתחום – נעדר באופן בולט מהקבוצות שהוזכרו כתוקפות את אוקראינה כחלק מהסכסוך, עד אז. טורלה היא אחת מיחידות הפריצה המפורסמות ביותר של רוסיה, ומתאפיינת בפעילויות חשאיות, לצד ערפול המתקפות שלה.
טורלה הוותיקה: התקיפה את אוקראינה עוד לפני הפלישה הרוסית אליה
בינואר השנה חשפו חוקרי מנדיאנט מבית גוגל כי גילו את ההאקרים חברי טורלה מבצעים מתקפות ממוקדות נגד מערכות אוקראיניות, באמצעות נוזקות מוכנות מהמדף. המתקפות התבססו על קמפייני סייבר מהעבר, תוך שימוש בתשתיות תקיפה שכבר נעשה בהן שימוש. המתקפה של טורלה על מערכות אוקראיניות החלה עוד בטרם הפלישה הרוסית לאוקראינה – בדצמבר 2021, כאשר ההאקרים הצליחו להחדיר התקן USB נגוע למערכת IT במדינה, ומשם הם פצחו במסע מתקפות בסייבר. ההתקן הכיל גרסה של נוזקת אנדרומדה מ-2013. אנדרומדה היא משפחת נוזקות שזמינות מסחרית. החוקרים הבחינו שהנוזקה החלה לשלוח נתונים לתשתית הפיקוד והבקרה של טורלה. לדבריהם, חברי טורלה שינו את תשתית התקיפה שלהם לעומת התשתיות שבהן הם השתמשו באירועי תקיפה קודמים.
רוסיה .Vs ארצות הברית – מלחמת הסייבר שלא נגמרת. מקור: BigStock
טורלה הסתמכה בעבר על נוזקות המופצות באמצעות התקני USB, אולם במתקפות נגד אוקראינה היא נקטה בגישה חדשנית, על מנת להסתיר את פעילותה – הקבוצה ניצלה עבודה של שחקן איום אחר, והשתלטה על תשתיות הפיקוד והשליטה שלו.
אנליסטים ציינו שהפעילות של חברי טורלה זוהתה כבר במחצית שנות ה-90', וכי יש לאנשיה היסטוריה ארוכה של "להרוס את החיים" לצוותי ההגנה בארגונים במערב.
כך, כבר ב-1996, הקבוצה תקפה, ב-"פשיטה נועזת", את מערכות ה-IT של נאס"א והפנטגון, במתקפה שהוגדרה כאחת הראשונות של ריגול בין מדינתי בסייבר. ב-2007, מומחים האשימו את הקבוצה בפריצה למערכות מחשבים "רגישות ביותר" של צבא ארצות הברית, באמצעות שימוש בהתקן USB נגוע. מתקפה זו הניעה את הפנטגון לשנות ולעצב מחדש את תפישת אבטחת הסייבר של ארצות הברית ולהקים פיקוד ייעודי בצבא האמריקני – סייבר.קום.
ב-2021, חוקרי קספרסקי חשפו כי חברי טורלה עשו שימוש בנוזקה ששימשה לפריצה מסיבית למאות ארגונים מסחריים ולעשרות ארגונים פדרליים בארה"ב. הקבוצה ידועה לשמצה בכך שהיא מפעילה מאמצים רב כיווניים ובשל העובדה שהיא לא נסוגה מפעולות ריגול, גם לאחר שאלה מתגלות. טורלה מכוונת לממשלות, לצבאות, לחברות טכנולוגיה ואנרגיה ויש לה עבר מוכח של שימוש בנוזקות שגונבות נתונים רגישים ושלאחר מכן משמשות לביצוע מתקפות סייבר עתידיות.
לפי משרד המשפטים האמריקני, "ההאקרים ניצלו פרוטוקולי תקשורת מותאמים אישית, שנועדו לעכב את מאמצי הזיהוי של שירותי ביון מערביים ואחרים". ליסה מונקו, סגנית התובע הכללי, כינתה את סנייק "אחד מכלי הריגול הסייבר המתוחכמים ביותר של רוסיה".
איך חוסל הנחש?
ה-FBI יצר כלי בשם פרסאוס, על שמו של הגיבור היווני המיתולוגי שהרג את מדוזה בעלת שיער הנחש. הכלי הנפיק פקודות שגרמו לנוזקת הנחש "לדרוס את הרכיבים החיוניים שלה".
משרד המשפטים הסתמך על צו תפיסה מיוחד, המכונה "נוהל 41", כדי להסיר את הנוזקה הרוסית ממחשבים בארה"ב שנפגעו. רק פעמיים בעבר נעשה שימוש בנוהל זה, כנגד סין ורוסיה.
בעוד שהמבצע השבית את הנוזקה במחשבים שנפגעו, הממשל הפדרלי הזהיר כי חלקים ממנה עלולים להסב נזקים נוספים, כגון גניבה של אישורי אימות חשבון, שמות משתמש וסיסמאות – כדי לפגוע מחדש במחשבים שנפגעו, או בחשבונות אחרים.
עצם העבודה שהתחילו את הכתבה ברשת p2p זה כבר לא אמין ונשמע כמי המצאה בשביל אנשים שלא מבינים בתחום..
חזק ביותר על הסבר
מחמיא ליוסי על הכתבה הזו. מקצועית. תודה יוסי ארוע חשוב שראוי לסיקור והבנה.