FBI וגוגל הפילו בוטנט בבעלות ישראלית שהשתלטה על מיליוני מכשירים

רשת 'נטנאט' - של חברת איסוף הנתונים הישראלית אלארום - שימשה את שחקני איומי הסייבר ● הבולשת חוקרת

הפילו בוטנט בשם NetNut. ה-FBI וגוגל.

במבצע בינלאומי נרחב ומתואם, ה-FBI וקבוצת מודיעין האיומים של גוגל (Google) השביתו את 'נטנאט' (NetNut) – אחת מרשתות הפרוקסי מבוססות הבוטים המסחריות הגדולות בעולם. הרשת – שניצלה ונוצלה – שייכת לחברה ישראלית.

הרשת, שחוקרי אבטחה עוקבים אחריה ומכונה גם 'פופה' (Popa), השתלטה על יותר משני מיליון מכשירים פרטיים ברחבי העולם, והפכה אותם לממסרי ניתוב תעבורה עבור פושעי סייבר וארגוני ריגול בסייבר הפועלים בחסות מדינה. לא צוינו זהות ולאום ההאקרים.

המבצע המשותף כוון לתשתית הדיגיטלית שהזינה את שירות הפרוקסי העצום, ותפס מאות דומיינים. עוד היו שותפים למבצע ההשבתה Lumen Technologies, קרן Shadowserver ומחלקת החקירות הפליליות של רשות המסים האמריקנית, ה-IRS.

בליבת הפעילות של שירות הפרוקסי של 'נטנאט' עמד הבוטנט 'פופה': זו שכבת תקשורת חמקנית מהונדסת. על ידי הטמעת ערכות פיתוח תוכנה – לכאורה – בטלוויזיות חכמות, זולות ולא ממותגות, מבוססות אנדרואיד (Android), 'נטנאט' השתלטו על קופסאות מדיה סטרימינג ואפליקציות לא רשמיות, ובדרך זו – על כלל האלקטרוניקה בבית הקורבנות.

כך, כאשר צרכנים חיברו את המכשירים הללו, חיבורי האינטרנט הביתיים שלהם "הושכרו" בשקט ושימשו כנקודות יציאה של הרשת הזדונית מבית הקורבן. באופן זה התעבורה הזדונית נותבה דרך כתובות IP מקומיות לגיטימיות, ועקפה אמצעים ומסנני אבטחה.

לפי גוגל, "לפחות 316 אשכולות איומים שונים השתמשו בצמתים של 'נטנאט' לביצוע קמפיינים של ריסוס סיסמאות, מילוי אישורים, הונאת פרסום וקצירת נתונים רגישים – וכל זה קרה רק בשבוע אחד ביוני השנה".

'נטנאט' שימשה פושעי סייבר כדי להסוות תעבורה זדונית

לפי חוקרי אבטחה, ביניהם בריאן קרבס – מהחוקרים המובילים בעולם בתחום ובעל אתר התחקירים KrebsOnSecurity – 'נטנאט' שימשה פושעי סייבר כדי להסוות תעבורה זדונית. 

מדובר ברשת של חברת איסוף הנתונים הישראלית אלארום (Alarum Technologies), הנסחרת בנאסד"ק (Nasdaq) וב-תל אביב. דווח כי חלק מהדומיינים שלה נתפסו בחקירת ה-FBI.

לפי כמה כלי תקשורת, ה-FBI חוקר האם 'נטנאט', שהיא חברת בת של אלארום ומשמשת רשת פרוקסי לאיסוף נתוני אינטרנט, הייתה מעורבת בחיבור מוצרי אלקטרוניקה ביתיים לאינטרנט – בלא הסכמת בעליהם.

בעקבות פרסום החקירה, אלארום מיהרה לדווח על תפיסת הדומיינים וציינה: "החברה מתייחסת לעניין ברצינות רבה ותשתף פעולה באופן מלא עם רשויות אכיפת החוק, על מנת להבטיח שכל שימוש לרעה בתשתיות ייחקר ביסודיות והאחראים יועמדו לדין".

עוד היא דיווחה כי "כתוצאה מהתפתחויות אלו, החברה חווה כעת שיבושים בחלק משירותיה… החברה מקדישה משאבים רבים לחקירת הנסיבות סביב אירועים אלה ופועלת במרץ להשגת מידע נוסף בנוגע לאופי והיקפו של האירוע… אלארום ו'נטנאט' לא יצרו קשר עם ה-FBI או כל רשות ממשל אחרת בקשר לעניינים אלה". בשל החקירה, החברה השעתה זמנית את תעבורת הנתונים דרך שירותי הרשת הרלוונטיים לכמה ימים, "כדי לחקור את האירוע, להעריך את התשתית שנפגעה, לקבוע האם התרחשה פעילות זדונית כלשהי".

מיהי אלארום?

אלארום מגדירה עצמה כ"ספקית גלובלית של פתרונות גישה לאינטרנט ואיסוף נתונים מקוונים". היא מסייעת ללקוחותיה לאסוף נתונים מהאינטרנט, תוך עקיפת המגבלות המוטלות על ידי אתרים מסוימים, בהתבסס על כתובת ה-IP של המשתמש, והנתונים השונים המוצגים לדפדפנים בהתאם לכתובת ה-IP בה הם משתמשים.

לפי מה שדווח, חקירת ה-FBI עוסקת במוצר הדגל של החברה, המאפשר לארגונים ולחברות לאסוף נתונים מהאינטרנט באמצעות רשתות פרוקסי. אלה מאפשרות לחברות לגשת לאתרי אינטרנט, כשהן נראות כאילו הן גולשות ממיקום אחר מזה שבו הן נמצאות. לפעילות שכזו יש שימושים לגיטימיים, כגון בדיקת מוצרים באזורים גיאוגרפיים שונים. אך היא גם שימשה פושעי סייבר, המנצלים אותה כדי להסוות תעבורה זדונית. לפי בלומברג, משך יותר משנה סוכני FBI עוקבים ובוחנים קשרים פוטנציאליים בין 'נטנאט' – המוכרת גישה לרשתות כאלה – לבין תוכנת פופה, המשתלטת על מכשירים.

אלארום קמה ב-2013 בשם Safe-T, עברה כמה תהפוכות עסקיות, הונפקה בתל אביב ב-2016, בלא הצלחה, וכעבור שנתיים ביצעה בהצלחה הנפקה קטנה בנאסד"ק. אז היא שינתה כיוון, וב-2019 קנתה את 'נטנאט', ששיפרה את הכנסותיה, ומאז החברה ממוקדת עסקית ברשת זו.

כדי למנוע מהרשת להיבנות מחדש בקלות, גוגל הפעילה אמצעים טכניים מידיים לצד פעולות משפטיות של ה-FBI. החברה השביתה את כל חשבונות גוגל ששימשו את 'נטנאט' לפקודות ושליטה בנוזקות, עדכנה את Google Play Protect להתרעות אוטומטיות למשתמשי אנדרואיד והשביתה אפליקציות המכילות את ערכות הפיתוח שנפרצו.

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים