סיגניה חשפה קרטל סייבר בינלאומי שתקף פיננסית גופי ענק

חברת הסייבר הישראלית סיגניה (Sygnia) חשפה רשת סייבר בינלאומית, שתקפה גופים וארגונים מהמגזר הפיננסי באמריקה הלטינית בשנים האחרונות. קבוצת ההאקרים, המכונה Elephant Beetle, הסתננה לתוך ארגונים וגנבה מהם כספים הנאמדים במיליוני דולרים, זאת על ידי החדרת עסקאות מזויפות למחזור הפעילות הסדיר. להערכת החברה, הפריצה לגופים הפיננסיים החלה לפני יותר מארבע שנים.

בסיגניה מציינים, כי על אף שההאקרים התמקדו בעיקר באמריקה הלטינית, סכנה נשקפה גם לגופים ישראליים, אמריקניים וזרים אחרים הפועלים באותן מדינות. כך, לדוגמה, צוותי התגובה לאירועי סייבר (IR – Incident Response) של החברה גילו פריצה לפעילות של חברה מארה"ב הפועלת באמריקה הלטינית. בחברה ממליצים לארגונים הפועלים שם לעמוד על המשמר ואף לפעול פרואקטיבית ולצוד פעילויות דומות באמצעות תיאור שיטות הפעולה והמזהים המופעים בדו"ח.

בדו"ח שמפרסמת סיגניה מפורטים שלבי הזיהוי, האיתור וכן נטרול של פעילות הקבוצה על ידי צוות התגובה לאירועי סייבר. בין היתר, החוקרים הישראליים חושפים את שיטת הפעולה של התוקפים, מנתחים לעומק את היכולות שלהם ומספקים תובנות שניתן לפעול לפיהן, אינדיקטורים לפריצה והנחיות להגנה מפני המתקפות.

לדברי אריה זילברשטיין, סמנכ"ל תגובה לאירועים בסיגניה, "התוקפים למדו את המערכות הפיננסיות של הקורבנות והשתמשו בארסנל רחב מאוד של כלי תקיפה כדי לפעול ברשת למשך פרקי זמן ארוכים מבלי שיבחינו בהם. על ידי הנגישות הרחבה לרשת וההבנה הפיננסית, הם בסופו של דבר הצליחו לגנוב מיליוני דולרים מארגונים רבים באופן שיטתי ומתמשך לאורך שנים. זוהי מתקפה גאונית בפשטותה, שמבוססת על טקטיקה שמאפשרת לתוקפים לפעול בחשאיות בתוך הארגון, ובמקרה הזה גם ללא צורך לפתח ולממש חולשות אבטחה ייעודיות".

עוד מציין זילברשטיין, כי "מדובר בקבוצה מיומנת ביותר במתקפות אפליקטיביות, ובפרט אפליקציות Java ישנות ולא מתוחזקות שפועלות בשרתים מבוססי Linux כאמצעי לכניסה הראשונית לרשת. בשילוב עם הידע הפיננסי האופרטיבי הרחב שצברה הקבוצה במהלך הפעילות שלה ומשכי השהייה הארוכים ברשתות הקורבנות, אפשר לומר שמדובר בקבוצת תקיפה מתוחכמת למדי".

כך פעל קרטל הסייבר: שלב אחר שלב

אמנון קושניר, חוקר אבטחה ותגובה לאירועים בסיגניה, מסביר כי הפעילות של קבוצת Elephant Beetle מבוססת על דפוס פעולה מאורגן וסדור. בשלב הראשון, שיכול להימשך עד חודש, הקבוצה מתמקדת בבניית יכולות תפעוליות ברשת של הקורבן שנפרצה. הקבוצה לומדת את הסביבה ושותלת דלתות אחוריות, ובו זמנית מתאימה את הכלים שלה לעבודה ברשת של הקורבן.

לאחר מכן, הקבוצה משקיעה כמה חודשים בלמידת הסביבה של הקורבן, תוך התמקדות בפעולות הפיננסיות, ומאתרת את הפגמים שקיימים במערכת. במהלך שלב זה היא בוחנת את התוכנה ואת התשתית של הקורבן כדי להבין את התהליך הטכני העומד בבסיסן של עסקאות פיננסיות לגיטימיות. בשלב הבא הקבוצה יכולה לשתול עסקאות מזויפות לתוך זרם העסקאות הלגיטימיות. עסקאות אלה בנויות ומעוצבות להיראות כלגיטימיות, אך למעשה מושכות מהקורבן סכומי כסף הולכים וגדלים בלי שאף אחד שם לב. על אף שסכום הכסף שנגנב בכל עסקה עשוי להיראות זניח, הקבוצה מבצעת עסקאות רבות בסכומים מצטברים של מיליוני דולרים לפני שהיא ממשיכה הלאה. אם בזמן התהליך נחשפת ונחסמת פעילות ההונאה, הקבוצה פשוט שומרת על פרופיל נמוך במשך כמה חודשים, ולאחר מכן חוזרת ומתמקדת במערכת אחרת.

"במקרה אחד", מציין זילברשטיין, "זיהינו שפעילות הקבוצה נמשכה על פני יותר משלוש שנים – ובמהלך החקירה הצלחנו למצוא עדויות למספר מבצעי גניבה וזיוף שיצאו לפועל באמצעות הנגישות לרשת לאורך השנים. במהלך החקירה הצלחנו לזהות את כל הכלים שהתוקף השריש בכל רחבי הארגון ולהסיר אותם במבצע מתוזמן בבת אחת – תוך כדי שאנחנו מונעים ממנו לחזור בשיטות ובניצול חולשות אחרות בארגון".