איתור תשתיות ריגול במחשבי חברה גרמנית במשך עשור

איתור תשתיות ריגול במחשבי חברה גרמנית במשך עשור

אילוסטרציה

This post is also available in: enEnglish (אנגלית)

אילוסטרציה
אילוסטרציה

תשתית ריגול שנשתלה במחשביהם של למעלה מ-300 מוסדות, חברות וגופים ממשלתיים בגרמניה, אוסטריה ושוויץ במשך למעלה מעשר שנים נחשפה על ידי חברת אבטחת מידע ישראלית. בראיון בלעדי ל-i-HLS עם מנכ"ל החברה נחשפים הפרטים לראשונה.

התקפות סייבר על ארגונים קטנים כגדולים אינן תופעה יוצאת דופן, אך עומק תשתיות הריגול שנשתלו במחשבי חברה גרמנית גדולה, ששמה טרם הותר לפרסום, הפתיע אפילו את הוותיקים בתחום.

מחקירת האירוע עולה כי בעקבות התקנה שגרתית של מערכת אבטחת המידע הישראלית על מספר מחשבים של חברה גרמנית המחזיקה במידע אסטרטגי לממשל הגרמני ובעיקר על מחשבו של אחד הבכירים בה, זוהו שני סוסים טרויאנים (סוסט"ר) שנחשדו מייד כשייכים לאותו תוקף.

בהמשך הבדיקות שנעשו על שאר שרתי החברה, נמצא כי היקף החדירה למחשבי הארגון הוא עצום ומתנהל במשך למעלה מעשור. מתברר כי כבר בשנת 2002, הוקמו בבריטניה למעלה מ-800 חברות קש שרכשו דומיינים ורשיונות SSL לצורך הסוואת התקיפות באמצעות התחזות לשירותי אינטרנט לגיטימיים בעלי בעלי כתובות IP בגרמניה, שבעזרתם ובשמם התבצעו התקיפות, אשר נראו תמימות למראה עקב אמינות הנתונים שלכאורה ייצגו. קושי נוסף לאתר את מקור התקיפה ועצם ביצועה היה שימוש בסוסט"רים בעלי חתימה שונה, המכונים "פולימורפיים".

התוקפים הצליחו לזהות אנשי מפתח מרכזיים בתוך החברה, להסתנן לתוך הרשתות הפנימיות ואף למחשבים האישיים שלהם. כך הושגה שליטה מוחלטת במאגרי המידע הרגישים ביותר ונשאב מהם מידע ללא הפרעה במשך כ-12 שנים. עקבות של המתקפה המרכזית נמצאו בחברות רבות נוספות באירופה, כך ייתכן שאף הן היו קורבן של אותה מתקפה.

iHLS Israel Homeland Security

מר קובי בן נעים, מנכ"ל חברת CYBERTINEL, סירב להתייחס לזהות התוקפים, בין אם מדובר בארגון פשיעה אדיר מימדים או מדינה זרה שביצעו את התקיפה.

לשאלת מערכת i-HLS  לגבי תצורת העבודה של המערכת הסביר מנכ"ל CYBERTINEL: "מדובר ב-'סוכנים' יחודיים ויעודיים (פיסות תוכנה המשמשות כמלכודות או מוניטורים, ד.ל, מערכת i-HLS) המותקנים על ידנו, או אוטומטית על ידי המערכת בכל נקודות הקצה, בכל המחשבים האישיים, השרתים, בסיסי הנתונים או שרתי הדואר. 'סוכנים' אלו מדווחים כל הזמן לשרת הייעודי של CYBERTINEL על תופעות או אירועים ידועים מראש הקורים ברשת ומנותחים במהירות על בסיס אלגוריתמים מתמטיים. המערכת יודעת "לקלף" הצפנה ולבדוק את תוכן המידע ובכך מושגת שליטה טובה יותר על תוכנות זדוניות המנסות להיכנס לרשת המחשוב הארגונית".

התבססות כה עמוקה ומשמעותית בתוך מערך המחשוב של החברה הנתקפת אפשרה לתוקפים לבסס מתקפות נוספות על חברות או ארגונים ממשלתיים אליהם היתה החברה מחוברת. זאת, במסווה לגיטימי ונוח. כך ניתן למעשה להשתלט על מספר כמעט אין סופי של מערכי מחשוב בעולם.

באופן מעשי, הערכת ההוצאות של תוקפי החברה הגרמנית עומדת על מיליוני אירו. פעילותם נמשכה על פני יותר מעשור ללא הפרעה, אף לא מצד שלטונות בריטניה שכשלו בזיהוי שמונה מאות חברות הקש שנפתחו ונסגרו כאיום היכול לשרת גם מדינת אוייב או ארגון טרור.