נחשפה משפחת נוזקות ש-"מחקה" נוזקה של ה-NSA

חוקרי קספרסקי חשפו בסוף השבוע משפחת נוזקות ורוגלות "מתוחכמת ביותר", לדבריהם, שמבנה הקוד שלה הוא בעל דמיון לנוזקות שבהן משתמשת ה-NSA – הסוכנות לביטחון לאומי של ארצות הברית. מדובר בנוזקות שההאקרים משתמשים בהן כבר לא מעט שנים.

הגילוי היה במסגרת חקירה של נוזקות שמנצלות מחשבים תמימים לטובת כרייה של מטבעות קריפטוגרפיים. תוך כדי חקירה זו, הם חשפו "מסגרת ריגול" בעלת יכולות טכנולוגיות מתקדמות. ניתוח של שורות הקוד של משפחת הנוזקות העלה דמיון לאלה של ה-NSA, והחוקרים קבעו כי הן עדינות, אבל עוצמתיות ומתוחכמות טכנית.

הדו"ח של ענקית אבטחת הסייבר הרוסית מספק פרטים טכניים נדירים על פעולת פריצה, שקשורה לקוד – שקשור לפעילות סייבר של ארצות הברית. בעוד שחברות אבטחת סייבר מערביות מפרסמות באופן קבוע דו"חות על פעולות פריצה שמבוצעות על ידי האקרים שלוחי מדינות – כמו רוסיה, איראן וסין – הרי שבדיקות טכניות מפורטות של פעולות סייבר של מדינות מערביות קשות להשגה הרבה יותר.

NSA

על פי חוקרי קספרסקי, "מסגרת העבודה", שקיבלה את הכינוי StripedFly, מסוגלת לעשות את הדברים הבאים: לצלם צילומי מסך; לאחזר מידע על גרסאות של מערכות; לגנוב שמות משתמש לכניסה לאתרים, סיסמאות ונתוני מילוי אוטומטי אחרים; להשיג גישה למידע של רשתות Wi-Fi – כולל סיסמאות; להקליט ממיקרופון; ולזהות קבצים רגישים ואז לגנוב אותם. StripedFly מסתמכת על ניצול מותאם אישית של EternalBlue – פיסת נוזקה שה-NSA השתמשה בה, ואשר דלפה לרשת ב-2016.

ההאקרים – ככל הנראה שלוחי מדינה

השימוש ב-EternalBlue – שנוצלה לרעה בעבר על ידי קבוצות פריצה שאינן מארצות הברית – העלה שאלה בקרב מומחי אבטחה שאינם מקספרסקי: האם אכן נעשה שימוש בנוזקת הפריצה שנחשפה על ידי גופי ממשל אמריקניים? בין אם התשובה חיובית או לא, כולם היו תמימי דעים שהאופי המתוחכם של רכיבים אחרים של הנוזקה מצביע על שחקן איום מתוחכם בסייבר (משמע, היא פותחה בחסות מדינה – י"ה).

מסגרת העבודה של משפחת הנוזקות שנחשפה כללה גם מודול כריית מטבעות קריפטו מסוג מונרו (Monero) – גרסת כופרה מותאמת אישית בשם ThunderCrypt, עם חיבור אישי לרשת טור (Tor), שהיא השתמשה בו כדי לתקשר בצורה מאובטחת עם שרתי פקודה ובקרה נסתרים. נתונים הקשורים למנגנון העדכון של המסגרת מצביעים על כך שהנוזקה הדביקה יותר ממיליון יעדים, על פי המחקר.

החוקרים הסבירו שיש למשפחת הנוזקות שני פנים – או, אם תרצו: האחד, ככזו שכורה מטבעות קריפטוגרפיים, ואז עלולים לזהות אותה, והשני – היותה בעלת יכולות ריגול ותקשורת מאובטחת, כאלה ש-"נוגדות את הנורמה". על אף שהשאלה מי עומד מאחורי הנוזקות הללו נותרה ללא מענה, חוקרי קספרסקי ציינו בדו"ח כי "קשה לקבל את התפיסה לכאורה, שלפיה נוזקה כה זדונית, מתוחכמת וכזו שהושקעו בה מאמצי פיתוח רחבי היקף נועדה למטרה כל כך טריוויאלית (של כריית מטבעות קריפטו בחשאי – י"ה), בהינתן בכל הראיות ההפוכות".

מהי רשת טור?

טור (Tor – ר"ת The Onion Router, נתב הבצל) היא תוכנה חופשית שמנתבת תקשורת מוצפנת ואנונימית בין מחשבים על גבי האינטרנט באמצעות רשת של צמתים. ההצפנה ברשת טור מונעת זיהוי של מקור המידע או יעדו ומספקת למשתמשים אנונימיות. היא נמצאת בשימוש נרחב – הן מסיבות לגיטימיות של שמירה על הפרטיות והן למטרות פליליות. לפי החוקרים, "העובדה שמפתחי הנוזקה יצרו לקוח טור מותאם אישית מעידה שפרויקט הפיתוח שלה היה ייחודי וארך זמן רב מאוד – מה שמדגיש את התחכום של נוזקה מדהימה זו".

החוקרים: "הנוזקה מזכירה את הקוד שבו השתמשה קבוצת Equation Group"

חוקרי החברה כתבו כי "המורכבות הפונקציונלית והאלגנטיות של המסגרת של הנוזקה מזכירות לנו את הקוד המהודר שבו השתמשה קבוצת הפריצה Equation Group, שגם אותה חשפה קספרסקי ב-2015 – והיא נקשרה ל-NSA".

ב-2016, קבוצת האקרים טענה שפרצה לקבוצת האקרים אחרת, שקשורה ל-NSA, והוציאה (והציעה) את כלי הנשק לסייבר של הסוכנות הנפרצת למכירה ברשת. בעבר, חוקרי קספרסקי פרסמו דו"ח אודות קבוצת ריגול הסייבר Equation Group, שבו הם כתבו כי גורם איום זה "עולה על כל דבר מוכר אחר מבחינת מורכבות ותחכום הטכניקות". מערך הכלים של הקבוצה דומה לזה שמשמש סוכנויות ביון אמריקניות. אנשי קספרסקי נמנעו מלהצביע במפורש על כך שה-NSA מקושרת לקבוצת Equation, אבל מקורות חדשותיים רבים וחוקרי אבטחה כן עשו זאת.

דובר קספרסקי אמר כי "לא ניתן לייחס לקבוצת Equation את פיתוח הרוגלה שחשפנו – בהתבסס על הממצאים הטכניים שנתגלו… מפתחי נוזקות עורכים לעתים פעולות הטיה, הסחה ורמייה, כדי להפנות את החוקרים לכיוון הלא נכון".

ה-NSA לא הגיבה לדיווח.