NSO, מאחורייך: נחשפה חברת סייבר התקפי המקושרת לרוסיה

"הפתעה": נמצאה חברת סייבר התקפי שמקושרת לרוסיה. ובכן, הפתעה זו לא – אבל עצם חשיפתה חשובה.

ה-"חשודה" היא חברה מאוסטריה, שעלתה על מסכי המכ"ם של חוקרי מיקרוסופט, ואלה הגיעו למסקנה שהיא מפעילה שירותי אבטחה פוגעניים ולא חוקיים לטובת הלקוחות שלה – באופן דומה ל-NSO ולרוגלה שלה, פגסוס.

החברה, DSIRF (ר"ת DSR Decision Supporting Information Research Forensic), יושבת בווינה ומציגה את עצמה כחברת שירותים מקצועית, שלה לקוחות בתעשיות בעלות ערך גבוה. מעקב אחר פעילותה על ידי חוקרי האבטחה של הענקית מרדמונד העלה כי היא מציעה שירותי ריגול והפעלת נוזקות.

בחינת הקורבנות שנפגעו מהפעילות של DSIRF העלתה שאלה כוללים עסקים בבריטניה, אוסטריה ופנמה, ומתפרשים על פני תעשיות שונות, כגון בנקאות, משרדי עורכי דין וחברות לייעוץ אסטרטגי – אמרו חוקרי מיקרוסופט, לאחר שדיברו עם כמה מהם, כחלק מהמחקר שביצעו. היא נצפתה משרשרת ניצולים של פגיעויות יום אפס במוצרי Windows ואדובי, כדי לפרוס את הנוזקה Subzero (מתחת לאפס) שלה, שמסוגלת לרגל אחרי אנשים באופן ממוקד.

חוקרי מיקרוסופט הגיעו למסקנה שהחברה מפעילה מבצעי אבטחה התקפיים בלתי מורשים, במתכונת של "שכירי חרב" – באופן הדומה למה שעושה NSO. הם העניקו לשחקן האיום את השם Knotweed, ארכובית (סוג של צמח).

השירותים שהחברה מציעה

מומחי אבטחה ציינו כי הקבוצה חשאית בפעילותה, ואנשיה חושפים את מלוא יכולותיה ללקוחות רק בפגישות בלעדיות.

מצגת של DSIRF, שהחברה נתנה בלעדית ללקוחותיה – דלפה, וממנה עלתה חבילת השירותים המלאה שהחברה הציעה. במצגת צוינו שירותי לוחמת סייבר, זיהוי פנים ביומטרי וחשיפת טקטיקות לוחמת מידע. נציגי לקוחות שנפגשו עם אנשי החברה סיפרו כי בסופו של דבר, הוצגה בפניהם הרוגלה Subzero שלה – שהחברה טענה, במצגת וידיאו של שש דקות, שביכולתה להתחבר למצלמות מעקב שמותקנות בתחנות רכבת ושדות תעופה. עוד הם טענו שהרוגלה יכולה, לכאורה, להתחבר למסד נתונים שנשלט על ידיה, ואז לעבד דטה ממקורות שונים – צילומים, מידע ביומטרי, נתונים מהמדיה החברתית, רישומים פליליים ונתוני תשלום – לטובת העשרת המידע ואספקת תובנות בזמן אמת.

הקשר הרוסי

על פי חקירה של משרד האוצר האוסטרי, DSIRF נמצאת בבעלותו של פיטר דיטנברגר, אזרח גרמני שמתגורר לסירוגין באוסטריה ובשווייץ. דיטנברגר נחשב למומחה ביחסים בין המערב לרוסיה, והוא בעל קשרים לשלטון בקרמלין. כך, בוויזה שלו צוין שהוא אורח מיוחד של הממשל הרוסי.

מומחים ציינו שהוכח שיש לחברה קשרים עם הממשל הרוסי. עם זאת, לדבריהם, אין כל הוכחה לכך ש-DSIRF מפעילה היצע שירותים מקצועי אמיתי, כפי שהיא טוענת. חוקרי מיקרוסופט ציינו כי בחלק מהמקרים שהם בחנו לעומק, הרוגלה הייתה "ארוזה" במסמך PDF שנשלח לקורבן באמצעות מייל. למרות זאת, הם לא הצליחו להשיג נראות לתוך כלל שרשרת הניצול.

לפי אתר DSIRF, פעילותה נעשית ברובה באוסטריה, אבל יש לה גם משרד בליכטנשטיין. תוכן האתר מרמז להצעת שירותים במחקר מידע, זיהוי פלילי ומודיעין מונע נתונים. עוד נכתב שם שיש לה לקוחות רב לאומיים, ממגזרי הטכנולוגיה, הקמעונאות, האנרגיה והפיננסים.

דיווחים שקושרים את החברה לפעילות סייבר זדונית מתוארכים ל-2021 כאשר כמה חקירות, שנערכו על ידי כלי תקשורת בגרמניה, קשרו את החברה למכירת שירותי אבטחה התקפיים.