זוהה הקישור הראשון של כלים ששימשו את ההאקרים בפריצת הסייבר הענקית

התגלו עדויות חדשות, הקושרות את הנוזקה ששימשה לפריצה המסיבית למאות ארגונים מסחריים ולעשרות ארגונים פדרליים בארה"ב – לקבוצת תקיפה רוסית. על פי חוקרי קספרסקי, שפרסמו את הממצאים שלהם אמש (ב'), מדובר בכלי ריגול שפיתחה קבוצת פריצה רוסית המכונה טורלה (Turla).

המתקפה החלה, ככל הנראה, באוקטובר 2019 וקיבלה "דחיפה" במרץ האחרון. מאז שהתגלתה בדצמבר האחרון – חוקרים של חברות הגנה בסייבר היו תמימי דעים שמדובר באחת מקבוצות ההאקרים העקביות והמתוחכמות ביותר בתבל – APT29. הקבוצה נתמכת על ידי ממשלת רוסיה וידועה גם בשם דובי חמים ונעים – Cozy Bear. בעבר דווח שהיא מקושרת ל-SVR, שירות ביון החוץ של רוסיה. הקבוצה ידועה לשמצה בכך שהיא מפעילה מאמצים רב כיווניים ובשל העובדה שהיא לא נסוגה מפעולות ריגול, גם לאחר שאלה מתגלות.

אלא שכעת מסתבר, במידה גבוהה של ודאות, כי המדובר בקבוצת האקרים אחרת, טורלה, הנתמכת וקשורה ל-FSB, שירות הביטחון הפדרלי – ה-"יורש" של הקג"ב. חוקרי קספרסקי, ענקית אבטחת הסייבר ממוסקבה, אמרו כי חפיפות הקוד שהם זיהו מייצגות את "הקישור הפוטנציאלי הראשון שזוהה – למשפחת נוזקות ידועה מהעבר". החוקרים הדגישו, כי הם לא מייחסים את הפריצה לסולארווינדס (SolarWinds), כדי להדביק בנוזקה את Orion, תוכנת ניהול הרשת שלה – לקבוצת טורלה, אך לדבריהם הדמיון בין כלי הפריצה הוא מסקרן: "צירוף מקרים אחד לא יהיה כזה יוצא דופן, שני צירופי מקרים יביאו לחלוטין להרמות גבה, בעוד ששלושה צירופי מקרים שכאלה הם די חשודים בעינינו", הם כתבו בפוסט בבלוג שלהם. לדבריהם, יכולות להיות כמה סיבות לקוד החופף, כמו, למשל, שמפתחי הנוזקות של טורלה עוברים לשרת קבוצת פריצות אחרת ולוקחים איתם אותם כלי פריצה. החוקרים כתבו, כי ההאקרים שפרצו לסולארווינדס אפילו חיקו בכוונה קבוצת ריגול אחרת ברשת – במטרה להסוות את זהותם.

על פי NCSC, המרכז הלאומי לאבטחת סייבר בבריטניה – הנמצא בסוכנות הביון GCHQ – קבוצת טורלה מכוונת לממשלות, כמו גם לצבאות, לחברות טכנולוגיה ואנרגיה, וכי יש לה עבר מוכח של שימוש בנוזקות שגונבות נתונים רגישים, ואשר לאחר מכן משמשות לביצוע מתקפות סייבר עתידיות. שירות המודיעין של אסטוניה – מדינה שנפגעה בעבר ממתקפות סייבר רוסיות, חשף לפני שנתיים, כי טורלה קשורה ל-FSB. סיאראן מרטין, לשעבר ראש ה-NCSC וכיום פרופסור באוניברסיטת אוקספורד, אמר, כי החשיפה של החוקרים של קספרסקי עשויה להיות משמעותית. "חלקים מסוימים של האקרים ברוסיה פשוט פורצים למטרות ריגול; לאחרים יש רקורד מרושע יותר, של מתקפות משבשות – בעקבות פריצה ראשונית", אמר, "אז חשוב להבין בדיוק איזה קטע של רוסיה עומד מאחורי מתקפת הענק הזאת. אני בטוח שהממשל בארה"ב ושותפיו מביטים מקרוב על כל בדל ראיה ועדות, אבל נכון לעכשיו, אין כל עדות שהמניע לפריצה הזאת היה משהו שהוא יותר, או שונה, מאשר מתקפת סייבר למטרת ריגול".

בשבוע שעבר סוכנויות הביון והמודיעין האמריקניות הודיעו כי, ככל הנראה, רוסיה היא העומדת מאחורי המתקפה המסיבית בסייבר. זאת, בסתירה להצהרות דונלד טראמפ, הנשיא היוצא של ארצות הברית, שהמעיט בערך האפשרות למעורבות של מוסקבה וטען, שאולי סין היא התוקפת. בהצהרה משותפת שהוציאו ה-FBI, ה-NSA, הסוכנות לאבטחת סייבר ותשתיות (CISA) ומשרד מנהל המודיעין הלאומי, תיארו הסוכנויות את המוטיבציה למתקפת הענק כ-"מאמץ לאיסוף מודיעין" – ולא מתקפה לצורך מניפולציה בנתונים, או מאמצי הרס ושיבוש אחרים. "זו פריצה רצינית, שתצריך מאמץ מתמשך ומסור של תיקון", ציינו, "ההאקרים הם, ככל הנראה, ממקור רוסי". הם תיארו את הפריצה כ-"מתמשכת", שכן החוקרים מנסים לזהות קורבנות ולהוציא את ההאקרים מהמערכות שלהם לאחר שזוהו כנפגעות – מהלך שלדעת המומחים יכול לקחת חודשים, אם לא שנים.