סימטריה הישראלית חשפה מתקפת סייבר ענקית על גורמי ממשל וביטחון

חברת אבטחת המידע הישראלית סימטריה (Cymmetria) חשפה מתקפת ריגול סייבר מדינתית על עשרות אלפי ארגונים וגופי ממשל ברחבי העולם.

מתקפת הסייבר, מסוג APT Patchwork, צלחה ב-2,500 מקרים.

מקורה של מתקפת הריגול הוא ככל הנראה הודי. היעדים שהותקפו הם ארגונים גדולים וגופי ממשל ברחבי העולם, בדגש על גורמים במדינות באזור דרום מזרח אסיה. יעדי התקיפה המרכזיים היו מטרות מדיניות, והתוקפים פועלים מאז דצמבר 2015.

המתקפה זוהתה בארגון ממשלתי מערבי, והמטרות שהודבקו זוהו גם בארצות הברית, אירופה ובמזרח התיכון. לא ידוע על נפגעים ישראלים. על פי חוקרי החברה, "הרושם הוא שהיעדים נבחרו בשל עיסוקם במשימות צבאיות, או ביטחוניות, או פוליטיות. רבות מהמטרות היו ארגוני ממשל וארגונים הקשורים לממשלות".

אין ודאות לגבי המקור למתקפה

בראיון לאנשים ומחשבים אמר דין זיסמן, CTO וממייסדי סימטריה, כי "יש קושי לייחס את המתקפה למקור ולזהות אותו. במקרה הזה גילינו כי כל ההתכתבויות של התוקפים 'נופלות' על שעות עבודה של הודו. בכל מקרה, אין לנו ודאות על המקור, אלא רק השערה מושכלת".

הוא ציין כי "המטרה העיקרית היא בעיקר עובדי ממשל וביטחון בעלי יעדים גיאו-פוליטיים. מדובר במתקפת ריגול סייבר שנעשית בחסות מדינה ולא פשע סייבר מאורגן שמטרתו כספית-פלילית".

לדבריו, "בשל אופי המתקפה והיעדים הממשלתיים והביטחוניים שלה, לא ניתן לאמוד את היקף הנזק בשלב זה".

הצלחה רבה למרות רמה נמוכה של הכלים

"אין לנו תמונה מלאה על המתקפה, אלא יש תמונה חלקית", אמר זיסמן. "המידע היחיד אותו אנו יכולים לחלוק הוא לגבי היעדים שהותקפו – הקשורים לממשלות ולגופי ביטחון, אשר נמצאים בעיקר בדרום-מזרח אסיה, אבל גם באירופה. מקור התקיפה שאנחנו התחקינו אחריו הוא מאירופה".

הוא ציין כי "ממצאי החקירה שלנו העלו כי נעשה שימוש בכלים טכנולוגיים ברמה נמוכה. משמע, ההאקרים לקחו כלים ובנו מערך תקיפה המורכב מכמה כלים פומביים, או מוסתרים. בכל מקרה יש פרדוקס: התוקפים בנו מערך תקיפה ברמה נמוכה – אבל המתקפה הצליחה מאד. סיבת הפרדוקס היא שארגונים עדיין לא מיישמים את הדברים הבסיסיים הנדרשים להגנה".

דין זיסמן, CTO וממייסדי סימטריה

כך, אמר, "ההיקף הנרחב של קמפיין הריגול ומספר הקורבנות הגדול שהותקפו, אמורים היו לשקף יכולת טכנית משמעותית של התוקפים, שאפשרה להם 'להרים' מבצע רחב היקף, עם כ-2,500 מטרות שהודבקו. אלא שניתוח כלי התקיפה מגלה יכולת טכנולוגית נמוכה של התוקפים – יחסית להצלחה הנכבדת שלהם".

המייחד את החשיפה, אמר זיסמן, "הוא שזוהי הפעם הראשונה שמתקפת APT אותרה באמצעות פלטפורמת Cyber Deception. חלק נכבד מהחקירה התבצע באמצעות שימוש בכלי הונאה דינאמי (Cyber Deception) שלנו. זו טכנולוגיית סייבר חדשה, המתמקדת בפסיכולוגיה של התוקף עצמו – ולא בזיהוי תקיפות המשתנות תדיר".

להחרים את כלי התקיפה

"כך, באמצעות טכנולוגיות וירטואליזציה, כשתוקף נכנס לרשת ומחפש מידע שעל בסיסו יוכל להתפשט למחשבים נוספים ולמצוא את יעדו – הוא מובל למלכודות הרחק מהמידע הרגיש שחיפש, אל סביבה מנוטרת ונשלטת. זה מאפשר להחרים את כלי התקיפה בהם הוא השתמש ולסכל את ההתקפה. בעיני התוקף, הסביבה המנוטרת היא האמיתית".

לדברי גדי עברון, מנכ"ל וממייסדי סימטריה, "באמצעות הפלטפורמה שלנו למדנו את התוקף, וגרמנו לו ליפול בפח ולהראות לנו מה הוא עושה ומהם הכלים וטכניקות העבודה שבהם הוא משתמש. התוקף עקב אחר פרטי המידע שהשארנו לו, התחבר למערכת המלכודות שבנינו וכך איפשר לנו לזהות את כלי התקיפה – 'נוזקות השלב השני' – שהוא נזהר לא להשתמש בהן עד שלב מאוחר יותר, שבו הוא כבר מבוסס ברשת ורוצה להחזיק בה את ראש הגשר לאורך זמן".

וקטור ההתקפה, ציינו החוקרים, היה מתקפת פישינג שבמסגרתה נשלחו למטרות מיילים עם מצגת PowerPoint נגועה. עוד עולה מהחקירה כי התוקפים פנו ככל הנראה לפורומים, אתרים כמו GitHub, וה-Dark Web, והעתיקו קטעי קוד, כדי לבנות את הסוס הטרויאני שלהם.

מעשה זה מצטרף לשורה של עדויות, המראות כי ניתן כיום להרים התקפות מסובכות ברמה מדינתית באמצעות יכולות טכנולוגיות פשוטות. עבודת הטלאים שעשו התוקפים היא הסיבה לשם שניתן למתקפה – APT Patchwork.

זיהוי אופן הפעולה של ההאקרים והטעייה שלהם

סימטריה פיתחה טכנולוגיה לאיתור מתקפות, המתבססת על זיהוי אופן הפעולה של ההאקרים והטעייה שלהם – Cyber Deception. היא הוקמה ב-2014 על ידי עברון, מי שהיה ממקימי מערך האבטחה של תהיל"ה בממשלת ישראל.

בעברו שימש עברון, כיום מנכ"ל סימטריה, גם בתפקידים בכירים בקספרסקי (Kaspersky Lab) וב-PwC. עברון ייסד את IL-CERT, צוות תגובה התנדבותי למתקפות סייבר, שפועל בישראל ומונה כמה מהמומחים הגדולים ביותר בתחום בארץ.

לצד עברון, זיסמן – איש 8200 בעברו, משמש כסמנכ"ל טכנולוגיה, אמרי גולדברג, סגן נשיא לפיתוח, ואיירין אבזגאוז, סגן נשיא למוצרים – יוצאי 8200 ומומחי אבטחת מידע.

החברה גייסה יותר מ-10 מיליון דולר ממשקיעים, ובאחרונה נבחרה על ידי גרטנר (Gartner) לרשימת ה-Cool Vendors לשנת 2016. בין לקוחות החברה בנקים גדולים, ארגונים בינלאומיים ועוד.

בנובמבר 2015 סימטריה גייסה לשורותיה את ג'ים קריסטי, מומחה סייבר ובכיר פדרלי. קריסטי מונה לסגן נשיא בחברה האחראי על חקירות פשעי מחשב. בתפקידו האחרון בממשל שימש קריסטי כמנהל FX, יחידת החקירות העתידיות ב-DC3, המרכז לחקר פשעי סייבר במשרד ההגנה.