במאמרים קודמים, מרחב הסייבר יוצג לעתים קרובות כמערב הרחוק שבו מוגדרים סרטים מערביים קלאסיים, כלומר כמציאות נטולת כללים, בהם שודדים אכזריים וחסרי מצפון קוצרים קורבנות שאינם מסוגלים לחלוטין להגן על עצמם. בפרט, קבוצות של עברייני סייבר, בחסות פחות או יותר על ידי מדינות ריבוניות, משתוללות בממד הסייבר לרעת אזרחים מן השורה, כמו גם ממשלות או ארגונים פרטיים ותעשיות, ומעשירות את עצמן גם בשלל מרתק.
הפנורמה הסייברנטית הזו מסוג "כולם נגד כולם" אינה בורחת מהחוק ה"אמיתי "המאוד של החזקים, החל גם על הקבוצות הנ"ל של פושעי הסייבר, כפי שמוצג על ידי הסיפור הבא. סיפור כנראה לא פורסם, סמלי ככל שיהיה ברגע בו אנו חיים, מכיוון שהוא מראה עד כמה אנו יכולים לדחוף את המאבק על הדומיננטיות של המרחב הסיברנטי ומעל הכל את המאבק על פרסום המידע היקר ביותר שיש בו. מאבק, כפי שנראה, ללא רבעון וללא חוקים ...
ב- 21 באוקטובר, המרכז הלאומי לאבטחת סייבר הבריטי (NCSC), בשיתוף הסוכנות הלאומית לביטחון ארה"ב (NSA), פרסם עלון אבטחה בו שתי קבוצות האקרים התמחו איום מתמיד מתקדם (APT - מתקפות סייבר מתוחכמות מאוד, ממושכות לאורך זמן ומטרתן לאסוף מידע) האמינו כי קשורות לשתי מדינות.
באופן ספציפי, בהתחשב במה שהודגש במאמרים הקודמים על היכולת לייחס את מקורן של התקפות סייבר, מדובר בקבוצה המכונה Turla (או WhiteBear / WaterBug / Bear ארסי), שישרת איכשהו את ממשלת רוסיה ואת קבוצת APT 34 (הידועה גם בשם אסדת נפט o Crambus) שבמקום זה ישולם לשכר הרפובליקה האיסלאמית של איראן. לשתי הקבוצות יש מספיק ראיות המצביעות על כך שיש להם גישה למשאבים חומריים ואינטלקטואליים הזמינים בדרך כלל באופן בלעדי למדינות ריבוניות ופועלות ברחבי העולם, גם אם APT 34 מכוון יותר לביצוע פעולות במזרח התיכון.
בדיוק באזור זה, בימים האחרונים, ה- NCSC זיהה גל של התקפות סייבר מאוד מסוימות. לסיכום, Turla לכאורה השתלט על תשתית IT שנוצרה על ידי APT 34 לצורך ניהול פעילותה הבלתי חוקית, בעיקר מודיעין, לרעת ארגונים צבאיים וממשלתיים, תעשיות ובנקים, הפועלים באזור הנ"ל ומעניינים במיוחד את איראן. על פי הראיות שנאספו, באמצעות גישה לשרתים המשמשים את הקבוצה האיראנית, Turla הוא היה יכול לשלוט בכל רשת המחשבים, הסמארטפונים ומי יודע מה עוד, מתפשר בחודשים הקודמים על ידי APT 34.
זה כלל לפחות ארבע תוצאות ישירות:
פרימה. Turla היה משיג בצעד אחד את הגישה לכל נתוני המודיעין שנאספו על ידי APT 34, או למורשת שלא יסולא בפז, המתקבלים מאירן בזכות עסקה שנמשכה חודשים, אם לא שנים, ובהחלט דורשת השקעות שלא זניח. זריקה נחמדה!
ב. Turla היא הייתה משתמשת בתשתית הפיקוד והשליטה שנבנתה על ידי APT 34 במטרה להפעיל התקפות נוספות ולפשר על מכשירים אחרים, תוך שימוש בטכניקות ותוכנה משלה. ככל הנראה, ההתקפות היו מוצלחות והיו משפיעות על שלושים וחמש מדינות, שנמצאות בעיקר במזרח התיכון. תוצאה נהדרת נוספת.
ג. "המלך עירום", כלומר הטכניקות והפגיעויות הממוחשבות המנוצלות על ידי APT 34 כבר לא היו סודות עבור Turla ולמען המנהל שלה ומאוחר יותר הם יכלו להיות מועסקים בהתאמתם למטרות הקבוצה הרוסית ואלה יוכלו להגן על עצמם מכל נקמה על ידי APT 34. ברכות שוב.
יום רביעי. אי סדר. זה ידוע כי במיוחד בתקופה האחרונה המזרח התיכון, המושפע מפרשה זו, מהווה גם צומת של משברים בינלאומיים, אזוריים וגם פוטנציאליים. בהקשר עדין זה, לאחר פרסום עלון ה- NCSC, העיתונות המערבית מיהרה להפנות את האצבע לעבר ממשלת רוסיה, אשר בתורו הכחישה באופן מוחלט כל מעורבות, האשימה את המערב בקביעת תוכנית ערמומית של הטעיה, על מנת לערער את יחסי שיתוף הפעולה המצוינים שנוצרו בין הפדרציה הרוסית לאיראן, לפיתרון המשברים המתנהלים כיום באזור הנ"ל.
בקיצור, חידה נחמדה, שמדגימה שוב כיצד יכולות סייבר, כמו יכולות צבאיות "מסורתיות" אחרות, יכולות לשמש את הממשלות כדי להטיל סדר יום מדיניות חוץ שלהן.
מעבר לטכניקות בהן נעשה שימוש Turla ודיווחו בעלון ה- NCSC ובמחקר שנערך אחר כך, בהחלט מעניין מאוד עבור המומחים (ועובדים שם!), סיפור זה אמור לגרום לנו לחשוב, שוב, על המציאות שאנו חווים ועל איך להתמודד עם זה.
בהתחשב בכך שהסייבר הרחוק ממערב יישאר כך לעוד הרבה זמן, בהתחשב בכך שאף ארגון על-לאומי אינו מתכוון או מסוגל להטיל רגולציה רצינית, עלינו לשאול את עצמנו: האם עלינו להמשיך ולהגביל את עצמנו בהפיכת חוקים לחוקים "בעלות אפסית" ולשחק על ההגנה, או יותר נכון, האם עלינו להצטייד בכישורים התקפיים סייבר לאומיים קונקרטיים, כמו לפעול כהרתעה?
בעולם בו אפילו העכביש המיומן ביותר יכול לגמור ברשת שלו ולהיכנע, איך יכול "גמט" חסר הגנה לשרוד?
הישרדותה של אומתנו עומדת על כף המאזניים, לפחות כפי שאנו מכירים אותה כיום, אך הרושם הוא כי במדינתנו האהובה ישנם עדיין רבים שלא הבינו את הסכנה בה אנו פועלים, ואכן, רואים בשיחים הללו מדאיגה מדי. אנו מקווים שהם צודקים. יש לקוות.
מקורות עיקריים:
https://www.2-spyware.com/iranian-hacking-tools-hijacked-by-turla-group-...
https://attack.mitre.org/groups/G0010/
https://www.fireeye.com/current-threats/apt-groups.html#apt34
https://www.ncsc.gov.uk/news/turla-group-exploits-iran-apt-to-expand-cov...
https://nationalcybersecurity.com/hacking-russia-dismisses-hacking-repor...
