Podcast: Download
רשימת תפוצה בדואר האלקטרוני | אפליקציית עושים היסטוריה (אנדרואיד) | פייסבוק | טוויטר
דף הבית של התכנית | iTunes | RSS Link
פרק 276: כופרות (Ransomware) – היסטוריה של סחיטה ממוחשבת, חלק ב'
בפרק הקודם סיפרתי לכם על שורשיה של תופעת ה-Ransomwares: תוכנות זדוניות שמונעות מהמשתמש לגשת אל הקבצים שלו על המחשב, ודורשות ממנו דמי כופר כדי לשחרר אותם. סיפרנו גם על שני האתגרים הגדולים ביישום סוג כזה של פשע ממוחשב. הראשון – אם אתה לא מומחה בקריפטוגרפיה, זה די קשה לכתוב תוכנת הצפנה טובה שתהיה Bulletproof: דהיינו, כופרה נטולת שגיאות שאי אפשר לפצח אותה בקלות. האתגר השני – העברת כספים דרך האינטרנט בדרך כלל מותירה אחריה שובל של ראיות, ולא קל למצוא דרך לקבל דמי כופר באופן שמותיר את העבריין אנונימי מחד, ומאידך לא מאפשר לקורבן לבטל את התשלום ולקבל את כספו בחזרה מאוחר יותר. שני האתגרים האלה הביאו לכך שבמשך שנים כופרות היו סוג נדיר וזניח יחסית של תוכנות זדוניות, למרות שכבר בשנות התשעים הראו שני חוקרים, מוטי יונג ואדם יאנג, כיצד ניתן ליישם בכופרות הצפנה חזקה שתהפוך אותן לכלי נשק מרשים בארסנל של עברייני המחשב.
כמעט עשרים שנה חלפו מאז פרסמו יונג ויאנג את מאמרם, ובספטמבר 2013 נתגלתה כופרה חדשה בשם קריפטלוקר (CryptoLocker). במובנים רבים, קריפטולוקר היתה דומה מאוד לכופרות שבאו לפניה. כמו כופרת ה AIDS משנות השמונים המאוחרות, גם קריפטולוקר הצפינה קבצים חשובים – למשל, מסמכים ותמונות – ואז הקפיצה על מסך המחשב הודעה מאיימת: שלם שלוש שלוש מאות דולרים או שכל הקבצים שלך יימחקו לתמיד – ושעון עצר בפינת המסך החל לספור לאחור שבעים ושתיים שעות. כאמור, עצם האיום שהציבה קריפטולוקר לא היה חדש: מה שכן היה חדש היה אחת מאפשרויות התשלום שהציגה הכופרה לקורבנותיה: ביטקוין (BitCoin).
ביטקוין
ביטקוין נוצר לראשונה ב-2009, על ידי אדם או קבוצת אנשים שהסתתרו מאחורי הכינוי האנונימי 'סאטושי נאקאמוטו'. מדובר במטבע וירטואלי – דהיינו, מטבע שקיים בעולם הממוחשב בלבד – אבל לא זו התכונה המייחדת אותו משאר המטבעות הותיקים יותר: אחרי הכל, אפשר לשלם באינטרנט גם בשקלים ובדולרים. התכונה החדשנית והחשובה באמת של ביטקוין – גם לענייננו שלנו – היא העובדה שכדי להשתמש בו, אין צורך במתווכים.
למה הכוונה? הנה ההסבר. נניח שקניתי בעלי אקספרס מברשת ניקיון לשירותים בצורת השערות של דונלד טראפ. אני לא ממציא – יש דבר כזה, בחיי. זה עולה בערך חמישה עשר דולרים ליחידה. איך אני מעביר את התשלום למוכר? אם ארצה לשלם באשראי – אני צריך את חברת האשראי כמתווך בעסקה. אם ארצה לשלם בהעברה בנקאית – הבנק הוא המתווך. למעשה, כשמדובר במטבעות רגילים, אין אפשרות לשלם דרך האינטרנט שלא באמצעות מתווך! מדוע? כיוון שאני והמוכר לא ממש סומכים אחד על השני. אני לא סומך על המוכר שישלח לי את המוצר שקניתי כי תכל'ס, איך אפשר לסמוך על מישהו שמוכר מברשת לשירותים בצורת דונלד טראמפ. המוכר, מצידו, המוכר לא סומך עלי שאעביר לו את הכסף, כי תכל'ס איך אפשר לסמוך על מישהו שקונה מברשת לשירותים בצורת דונלד טראמפ. תפקידם של המתווכים בעסקה, חברת האשראי ושל עלי אקספרס עצמה, הוא – אחד, לאפשר לי העברה של הכסף דרך האינטרנט, שניים – להבטיח למוכר שהכסף שאני שולח אינו מזויף, שלוש – להבטיח שאם התחייבתי להעביר כסף, אני לא יכול להתחרט, לפחות לא בקלות – וארבע, לאפשר לי לבצע עסקה עם מישהו שאני לא מכיר אישית, לפעמים מהצד השני של העולם.
ביטקוין מבטל את הצורך במתווכים, לפחות בכל מה שקשור לצד הפיננסי של העסקה. מדוע? לא אכנס כאן לשאלה איך בדיוק עובדת הטכנולוגיה שמאחורי ביטקוין – זהו נושא מרתק ורחב בפני עצמו שכנראה אקדיש לו פרק שלם בעתיד – אבל לצורך הדיון שלנו, חשוב להבין שלביטקוין יש ארבע תכונות עקרוניות. הראשונה – הוא דיגיטלי, ולכן אפשר להעביר אותו דרך האינטרנט. השניה – אי אפשר לזייף אותו. השלישית – פעם שהעברת למישהו ביטקוין, אי אפשר לבטל את ההעברה. והרביעית – שני הצדדים בעסקה נשארים אנונימיים לגמרי: מבחינתו של מישהו שמסתכל מבחוץ, כל מה שהוא רואה זה כתובת כלשהי באינטרנט מעבירה ביטקוין לכתובת אחרת – ואין דרך קלה לשייך את הכתובות הללו לאנשים בעולם האמיתי. השילוב של ארבעת התכונות מבטל, הלכה למעשה, את הצורך בחברת אשראי או בנק כמתווך. במילים אחרות, תשלום דמי כופר בביטקוין הוא המקבילה הממוחשבת של העברת מעטפה מלאה בשטרות בלתי מסומנים. אין פלא אם כן, שכמעט מיד לאחר שנוצר – הפך ביטקוין לחביבם של אנשי העולם התחתון ושימש כאמצעי תשלום לכל מיני עסקאות אפלות, מסחר בסמים ועד כלי נשק.
קריפטולוקר הייתה הכופרה הראשונה – או אולי הכופרה המשמעותית הראשונה – שאימצה את ביטקוין כאמצעי תשלום, וההימור שלה על המטבע החדש השתלם – ובגדול. על פי הערכות שונות היא השתלטה על כרבע מיליון מחשבים בכל רחבי העולם, ולמרות שרק קצת פחות מאחוז וחצי מהקורבנות אכן שילמו את דמי הכופר – עדיין הזרימה הכופרה לכיסיהם של יוצריה מטבעות ביטקויין בשווי של כשלושה מיליוני דולרים. ההצלחה האדירה וכמעט חסרת התקדים הזו עוררה את תאבונם של עברייני סייבר בכל רחבי העולם, ויצרה מעין 'בהלה לזהב': מאז קריפטולוקר חלה עלייה דרמטית במספר הכופרות – עד כדי קפיצה של פי עשרה ופי אחד עשרה במספרן במהלך שנת 2016 לבדה. הנתח היחסי שתופסות כופרות מתוך כלל הנוזקות שמתגלות בעולם משתנה כל העת, אבל בחודש יוני של 2017, למשל, היוו הכופרות כשבעים אחוזים מכלל הנוזקות שנתגלו באותו החודש. העליה הדרמטית הזו בפופולריות של תוכנות כופרות הביאה את חברת אבטחת המידע סימנטק לפתוח את הדו"ח השנתי שלה ב-2015 במילים –
"מעולם בהיסטוריה האנושית לא היו כל כך הרבה אנשים בכל רחבי העולם נתונים לסחיטה בהיקפים כה מאסיביים כפי שהם היום."
מאפיינים יחודיים של כופרות
ההצלחה המרשימה הזו של קריפטולוקר מעלה שאלה מסקרנת. קריפטולוקר נתגלתה ב- 2013, ארבע שנים אחרי שהופיע ביטקוין לראשונה. ארבע שנים, במונחי עולם הטכנולוגיה, הם די הרבה זמן: מדוע לא אימץ יוצר או יוצרי הכופרות את המטבע החדש קודם לכן? אנחנו לא יודעים בוודאות, כמובן, אבל אפשר לשער שהסיבה היא שבשלב הזה, משתמשי המחשב ה'רגילים', אלה שאינם חובבי טכנולוגיה מושבעים – לא שמעו על ביטקוין מימיהם ולא היה להם שמץ של מושג איך משלמים איתו. עובדה זו הכריחה את היוצר של קריפטולוקר להוסיף לכופרה שלו, למשל, הסבר על מה זה בכלל ביטקוין, מה אפשר לעשות איתו ואפילו להוסיף קישורים לדפי עזרה והסבר באינטרנט. כופרות אחרות, בשנים מאוחרות יותר, הציגו סרטונים שמסבירים איך לשלם בביטקוין – ואפילו הפעילו 'מרכזי שירות ותמיכה' טלפוניים אליהם יכלו הקורבנות לפנות ולקבל עזרה בתשלום הכופר.
העניין הזה מוליך אותנו למסקנה מרתקת, והיא שכופרות הן 'חיה מיוחדת' בנוף הכללי של תוכנות זדוניות, מכיוון שהן מנהלות אינטראקציה עם ה"לקוחות" שלהן. למה הכוונה? וירוסי מחשב 'רגילים' הם חד כיווניים: הם בדרך כלל גונבים מידע או זורעים הרס במחשב שאליו הם מסתננים, אבל בכל מקרה – אין להם אינטראקציה עם המשתמש. אבל בכופרה, הפושע רוצה לגבות דמי כופר ולכן מטבע הדברים חייבת להיות לו אינטראקציה כלשהי עם המשתמש. וכפי שיודעים כל בוני האתרים ומפתחי האפליקציות, לאינטארקציה עם "הלקוח" יש השפעה גדולה מאוד על אופיה ותכונותיה של תוכנה, במספר מישורים.
למשל, תוכנה זדונית טיפוסית בדרך כלל תנסה להיות כמה שיותר 'בלתי נראית' מבחינת המשתמש, כי אם היא תתגלה – זה הסוף שלה. אצל כופרות המצב הפוך: כופרה צריכה להיות כמה שיותר בולטת, ולא סתם 'בולטת': היא צריכה להיות מפחידה. היא צריכה להכניס את הקורבן לפאניקה, כי אם למשתמש יהיה זמן לחשוב בהיגיון, להתייעץ עם חברים או לחפש בגוגל – יכול להיות שהוא יגלה שאפשר להיפטר מהכופרה בדרך אחרת כלשהי, או לשחזר את המידע מגיבוי כלשהו. לכן, יוצרי הכופרות הפכו עם הזמן למומחים בלוחמה פסיכולוגית. השימוש בשעון עצר שסופר אחורנית את השניות והדקות הוא דוגמה קלאסית לאלמנט 'מלחיץ' שכזה, והוא רק ההתחלה. ישנן כופרות שמשמיעות הודעה קולית מפחידה ומאיימת. כופרות אחרות מציגות על המסך גרפיקות מלחיצות כמו צלבי קרס או דמות מסתורית של האקר עטוי קפוצ'ון, או סמלים של רשויות חוק כמו ה FBI וה CIA.
הכופרה שהיא אולי הדוגמה המוצלחת ביותר למניפולציה הפסיכולוגית הזו היא כופרה בשם Jigsaw ('מסור'), משנת 2016. השם ג'יגסו לקוח משמו של סרט אימה מפורסם בשם 'המסור': והכופרה מציגה על המסך תמונה של בובה מפחידה מתוך הסרט, וציטוט של שורה מתוכו. ג'יגסו מציגה שעון עצר של שבעים ושתיים שעות – אבל בכל כמה שעות שבהן הקורבן לא משלם את דמי הכופר, הסכום של הכופר עולה בהדרגה -מעשרים דולר בביטקוין, ועד מאה וחמישים דולר. זאת ועוד, בכל שעה שחולפת הכופרה מוחקת קבצים: בהתחלה רק קובץ אחד בכל פעם, ואז עוד ועוד קבצים ככל שחולף הזמן. אם המשתמש 'מעיז' לכבות את המחשב – הכופרה מענישה אותו, ומוחקת אלף קבצים בפעם הבאה שיפתח את המחשב. אחת הגרסאות של ג'יגסו מאיימת על הקורבן שאם לא ישלם את הכופר, היא תשחרר את המידע האישי שלו ברחבי האינטרנט לעיני כל. כל הטקטיקות המאיימות והמלחיצות האלה באות לכסות על העובדה שההצפנה שהפעילה ג'יגסו על הקבצים לא הייתה חזקה במיוחד, ואפשר היה לפצח אותה בעזרת תוכנות מתאימות.
טקטיקות של הפחדה הן הנפוצות ביותר בכופרות, אבל פה ושם אפשר למצוא גם עבריינים יצירתיים יותר. למשל, יש כופרות שמציגות תמונות פורנוגרפיות על המסך, אולי כדי שהמשתמש יתבייש להראות את המחשב שלו לטכנאי מחשבים. כופרות אחרות מבטיחות לתרום חלק מדמי הכופר לצדקה! כתמיד, גם במקרה הזה אין גבול ליצירתיות האנושית.
דוגמה נוספת להשפעה של האינטראקציה עם הקורבן היא בבחירת סכום הכסף שהעבריין גובה מהקורבנות שלו. אם מסתכלים על תשלום דמי כופר כעסקה כלכלית טהורה, אז כמו בכל עסקה כלכלית – גם כאן ישנם מגוון של שיקולים שמשפיעים על ההחלטה של הקורבן האם לשלם את הכסף. למשל, דמי כופר בסך שלוש מאות דולר הם סכום סביר יחסית לאמריקני הממוצע – אבל הם הרבה כסף לרוסי או לסיני הממוצע. אם אני אמריקני, כנראה ש"שווה לי" לשלם שלוש מאות דולר כדי להציל את התמונות של הילדים, אבל אם אני סיני – כנראה שהתמונות של הילדים לא שוות לי כל כך הרבה כסף. בית עסק ישלם, מן הסתם, הרבה יותר כסף כדי להציל את המידע העסקי הקריטי שלו – ממידע של אדם פרטי. לכן, ישנן כופרות מתוחכמות שבמהלך ההשתלטות על המחשב בודקות היכן בעולם הן נמצאות, או אם המחשב המדובר שייך לאדם פרטי או לעסק – ומשנות את דרישת דמי הכופר בהתאם.
זאת ועוד, בדיוק כמו כל קונה בחנות אינטרנט מקוונת, יוצר הכופרה חייב לשכנע את הקורבן שלו שהוא אמין: שאפשר לסמוך עליו שאחרי שהקורבן ישלם את דמי הכופר, הוא באמת יקבל את הקבצים שלו בחזרה – אחרת הקורבן לא יהיה מוכן לשלם את הכסף. מכיוון שכך, יש כופרות שמאפשרות לקורבנות כמה 'פענוחים חינם' של קבצים מוצפנים רק כדי להדגים להם שהן רציניות ושאחרי התשלום יקבל הקורבן את התמורה המלאה לכספו. בקיצור, מי שרוצה ליצור כופרה מוצלחת, רצוי שיהיה לא רק מתכנת טוב – אלא גם קצת כלכלן וקצת פסיכולוג.
ועוד הערה מעניינת אחת לפני שאנחנו חוזרים אל סיפורה של קריפטולוקר. במבט לאחור, עושה רושם שכפי שהביטקוין עזר לכופרות להתרומם ולהפוך לכוח משמעותי בעולם התוכנות הזדוניות – כך סייעו הכופרות להצלחה של הביטקוין. לפני שבועות מספר שוחחתי עם חבר, בעל עסק עצמאי, שכופרה השתלטה על המחשב שלו ודרשה דמי כופר בביטקוין. עד אותו הרגע, החבר לא הכיר את ביטקוין – אבל עכשיו לא הייתה לו ברירה: הוא בדק, התייעץ, למד על ביטקוין ולסוף קנה ביטקוין ושילם את דמי הכופר. כמו החבר שלי, לא מעט אנשים ברחבי העולם חבים את עסקת הביטקוין הראשונה שלהם לכופרות – שהרי באותם הימים אף תוכנה אחרת, לגיטימית, לא הסכימה לקבל ביטקוין כאמצעי תשלום. אין דרך לדעת כמה מההצלחה של ביטקוין אפשר לזקוף לזכותן של הכופרות, אבל אין ספק שיש להן חלק בעניין.
אגב, אותו חבר קנה בזמנו ביטקוין בהיקף של כאלפיים וחמש מאות דולר. אמנם הכופרה דרשה "רק" ביטקוין בשווי אלפיים דולר, אבל אתם יודעים איך זה – עדיף לקנות קצת יותר מדי, מאשר להיתקע עם קצת פחות מדי. החבר שילם את הכופר ונשארו לו כמה ביטקוין ביד. מספר שנים אחר כך, כשהשווי של הביטקוין נסק לאלפי דולרים לביטקוין אחד – החבר מכר את הביטקוין שהיה ברשותו, והרוויח בעסקה הזו יותר כסף מאשר הפסיד לכופרה. אז אולי יש דבר כזה 'קארמה' בעולם.
סלביק
בחזרה לקריפטולוקר. קריפטולוקר היא דוגמה מוצלחת לא רק לשימוש חכם בביטקוין – אלא גם למהפך עקרוני נוסף שהתחולל בעולם התוכנות הזדוניות בעשר השנים האחרונות.
באופן טבעי, הצלחה הגדולה של קריפטולוקר והנזק הגדול שגרמה משכו את תשומת ליבן של חברות אבטחת המידע ורשויות החוק. הכופרה עצמה לא הכילה כל רמז לגבי זהותם של יוצריה, אבל החוקרים שבחנו אותה הבחינו מיד שמי שיצר את קריפטולוקר ידע מה הוא עושה. פרט לשימוש החדשני בביטקוין, גם אופן ההצפנה של הקבצים – שכפי שכבר ציינתי קודם, הוא לכשעצמו אתגר טכנולוגי לא פשוט – היה ללא דופי ובלתי ניתן לפיצוח. במילים אחרות, קריפטולוקר הייתה בברור עבודה של מקצוענים, ולא ילדים שהשתעשעו בנוזקות בזמנם הפנוי או נוכלים שחיפשו לעשות כסף קל. השאלה הייתה – מי היו אותם מקצוענים.
השם 'סלביק' (Slavik) מוכר לאנשי אבטחת המידע מאז שנת 2006 לפחות. סלביק הוא כינויו של מתכנת שיצר את אחת התוכנות הזדוניות הידועות ביותר לשמצה: זאוס (Zeus), תוכנה זדונית מתוחכמת וקשה ביותר לגילוי ששימשה בעיקר לפריצה של חשבונות בנקים. סלביק ומספר נוכלים ממוצא רוסי ואוקראיני ששיתפו עמו פעולה, פרצו לחשבונות הבנקים של עשרות חברות וארגונים וגנבו מיליוני דולרים. בשנת 2010 הצליח ה-FBI להניח את ידו על כמה משותפיו של סלביק ולבלום את הפעילות העבריינית של הכנופיה בארצות הברית – אך סלביק עצמו הצליח לחמוק.
סלביק ירד למחתרת. הוא הכריז בפורומים של העולם התחתון על 'פרישה' ואף מכר את קוד המקור של זאוס לפושע אחר. במשך מספר חודשים לא שמעו ממנו דבר – אבל ב-2011 נתגלתה תוכנה זדונית חדשה שהייתה גרסא משופרת ומתוחכמת עוד יותר של זאוס: השם שניתן לה היה "גיים אובר זאוס" (GameOver Zeus). טביעות האצבע הדיגיטליות של סלביק לא הותירו ספק: ה"פרישה" הייתה לא יותר מאשר פסק זמן להתארגנות, שאיפשר לסלביק לשכלל את דרכי פעילותו. גיים-אובר זאוס השתלטה על מיליוני מחשבים ברחבי העולם, וגל חדש של פריצות ממוחשבות בהיקף של עשרות מיליוני דולרים הכה בחברות גדולות וארגונים פיננסיים.
גיים-אובר-זאוס לכשעצמה לא הייתה כופרה, אלא תוכנת ריגול שאספה מידע כמו שמות משתמשים וסיסמאות לצורך פריצה לחשבונות בנקים, למשל. אבל ב-2013, כשהופיעה קריפטולוקר – גילו החוקרים שגיים-אובר-זאוס מפיצה את קריפטולוקר: דהיינו, כשגיים-אובר-זאוס משתלטת על מחשב חדש, היא מתקינה עליו קריפטולוקר. הפצה כזו מעידה על קשר הדוק בין שתי התוכנות הזדוניות. לצורך הדוגמה, אם יש לי רשת פודקאסטים היפוטתית לגמרי, ובפודקאסטים ההיפותטיים האלה אני משמיע פרסומת ליצרנית מזרנים היפוטתית לגמרי – אז ברור שאו שיש לי מפעל שמייצר מזרנים, או שאני וחברת המזרנים משתפים פעולה באופן כלשהו. באותו האופן, כיוון שגיים-אובר זאוס הייתה בשליטתו המלאה של סלביק, ברור שהוא אחראי גם לכופרה החדשה – או לכל הפחות עובד בתיאום מלא עם האנשים שמאחוריה. יתרה מכך, בחינה מדוקדקת של הקוד של שתי התוכנות הזדוניות – גיים אובר זאוס וקריפטולוקר – העלתה שבסבירות גבוהה, אותו מתכנת שכתב את האחת, כתב גם את השניה.
עובדה זו יצרה לרשויות החוק הזדמנות נדירה: אם יצליחו לחסל את גיים-אובר זאוס, יצליחו באותה ההזדמנות למוטט גם את קריפטולוקר. שתי ציפורים במכה אחת.
מבצע טובר
ה FBI האמריקני החל לתכנן את 'מבצע טובר' (Operation Tovar), מה שהפך לאחד המבצעים המורכבים ביותר בתולדות עולם אבטחת המידע. זרועותיו הארוכות של סלביק, באמצעות גיים-אובר זאוס וקריפטולוקר, פגעו במשתמשים וארגונים בכל רחבי העולם כמעט, ועובדה זו הכריחה את ה-FBI לשתף פעולה מגוון של רשויות חוק וחברות אבטחה כדוגמת ה-Europol, UK National Crime Agency, Dell, Microsoft, Symantec, The Australian Federal Police ועוד.
שמירה על סודיות וחשאיות, כשכל כך הרבה גורמים מכל כך הרבה מדינות מעורבים במבצע, הייתה אתגר כביר בפני עצמו – אבל בפני אנשי החוק ניצב גם אתגר טכנולוגי מורכב במיוחד.
כשהשתלטה גיים-אובר זאוס על מחשב כלשהו, היא צירפה אותו – ללא ידיעתו של בעלי המחשב, כמובן – לרשת שבה היו שותפים שאר המחשבים הנגועים. כל המחשבים הנגועים החברים ברשת כזו מכונים בעגה המקצועית 'בוטים' (Bots), מלשון 'רובוטים': זאת מכיוון שמי ששולט ברשת – סלביק, במקרה הזה – שולט בכל אחד מהם שליטה מלאה והם עושים כרצונו כמו רובוטים.
הבוטים בתוך הרשת מסוגלים להעביר מידע בינם לבין עצמם, כמו דבורים בכוורת או נמלים בקן – ועובדה זו הקשתה מאד על החוקרים להשתלט על הרשת. מדוע?
נניח שה- FBI הצליח, בדרך כלשהי, להשתלט על מחשב נגוע אחד. אני מזכיר שהמחשבים המדוברים מפוזרים ברחבי העולם כולו, אז כשאני אומר 'להשתלט' – אני מתכוון להשתלטות מרחוק: דהיינו, במקום שסלביק ישלוט מרחוק על המחשב הנגוע, עכשיו ה- FBI שולט עליו מרחוק. אבל סלביק ישים לב שמשהו לא בסדר: מחשב שעד עכשיו היה בשליטתו, פתאום הפסיק לבצע את פקודותיו. סלביק יחקור ויבדוק מה קרה, עד שיגלה איך בדיוק הצליחו אנשי ה FBI להשתלט על התוכנה הזדונית שלו. בשלב הבא, סלביק ישנה את גיים-אובר זאוס כדי לתקן את הפירצה הזו, ויוציא עדכון תוכנה. עדכון התוכנה הזה "יחלחל" בתוך הרשת, עובר ממחשב אחד לשני כמו שמועה עסיסית בווטאסאפ – ועד שאנשי ה FBI יתפנו כדי לנסות להשתלט על מחשב נוסף ברשת – הם יגלו שהפרצה שלהם כבר נחסמה.
למעשה, זה בדיוק מה שקרה כשניסו מספר חוקרי אבטחה אמריקנים וגרמנים להשתלט על הרשת של גיים-אובר זאוס עוד בראשית שנת 2013: הם הצליחו לקחת את הפיקוד על 99% מהמחשבים ברשת הבוטים – אך השליטה על 1% הנותרים הספיקה לסלביק כדי לסכל את תוכניתם של החוקרים ולחטוף בחזרה את השליטה על הרשת כולה!
על כן לאנשי ה-FBI הייתה רק אפשרות אחת: עליהם להשתלט על כל המחשבים ברשת בבת אחת, בכל העולם. זה אומר שכל חברות אבטחת המידע וכל ארגוני החוק שהיו חלק ממבצע טובר צריכים להיות מסונכרנים, ולהכנס לפעולה ברגע אחד מסוים, יחד. אם מישהו לא יעשה את העבודה כמו שצריך וחלק מהרשת של סלביק לא יפול – אפילו חלק קטן יחסית – המבצע ייכשל. לכישלון כזה עשוי להיות מחיר יקר מאד, כי היה סיכוי סביר שאם סלביק יחוש שהשליטה על רשת הבוטים נשמטת מידיו, הוא עלול לשגר לכל המחשבים שבשליטתו פקודת השמדה עצמית שתמחק את כל המידע על המחשבים הנגועים כדי לנסות ולטשטש את עקבותיו. אי אפשר אפילו להעריך את מידת הנזק שתיגרם למאות אלפי משתמשים וארגונים ברחבי העולם במקרה כזה.
'מועדון העסקים'
ה- FBI החל לתכנן את פרטי המבצע, ובינתיים ניצלו החוקרים את הזמן כדי לגלות עוד ועוד מידע על סלביק וארגון הפשיעה שלו. פריצת הדרך הראשונה התרחשה בשלהי שנת 2013, כשחברה הולנדית בשם Fox IT הצליחה להניח את ידה על אחד השרתים ששימשו את סלביק ואנשיו כדי לשלוט על רשת הבוטים שלהם. השרת הזה הכיל לא רק פאנל שליטה על גיים-אובר זאוס, אלא גם את כל ההתכתבויות והצ'אטים בין חברי הכנופיה. המידע יקר הערך הזה העניק לחוקרים הצצה נדירה לתוככי אימפרית הפשע שהקים הנוכל החמקמק.
סלביק קיבץ סביבו כחמישים פושעי סייבר ותיקים ומנוסים, שחלקם כבר היו פעילים בתחום כעשור. מקובל לכנות התארגנות שכזו 'כנופיית פשע' – אבל האמת היא שמדובר בהרבה יותר מכנופיה. הארגון שבנה סלביק כינה את עצמו The Business Club, ואכן התנהל כארגון עסקי לכל דבר ועניין – לא שונה בהרבה מכל חברת הייטק טיפוסית. סלביק היה ה-CTO (Chief Technology Officer( של הארגון, וניהל את כל הצדדים המעשיים של הפעלת התוכנות הזדוניות, פריצה לחשבונות הבנקים וסחיטת דמי הכופר. לצידו של סלביק היה אדם נוסף, שהיה המנהל העסקי והיה אחראי על העברת הכספים והתשלומים לשאר חברי ה'מועדון'. כל אחד משאר אנשי החבורה התמחה באספקט ספציפי של "המקצוע", אם אפשר לכנות זאת כך, בין אם פריצה לחשבונות בנקים, הפצה של התוכנות הזדוניות, הלבנת כספים וכדומה. חלק חברי הארגון עבדו יחד כבר למעלה מחמש שנים.
התמחות ושיתוף פעולה כזה מעידים על תהליך ה"התבגרות" שעבר עולם הפשיעה המקוונת בשני העשורים האחרונים. רוב כותבי הוירוסים ועברייני הרשת בשנות השמונים והתשעים של המאה הקודמת פעלו לבד, וכל אחד עשה לביתו ופעל לפי האינטרסים הצרים שלו. אבל הכסף הגדול שהחל לזרום לכיסיהם של העבריינים, יחד עם המורכבות הטכנולוגית ההולכת וגדלה של הפעלה של רשתות בוטים חובקות עולם, סחיטת דמי כופר בהיקפים חסרי תקדים ופריצות לארגונים בעלי מערך אבטחת סייבר – דחפו את הפושעים להשתכלל ולהתייעל, ממש כמו בכל שוק עסקי בעולם הנורמטיבי.
"מועדון העסקים' של סלביק לקח את הרעיון הזה אפילו צעד אחד קדימה. סלביק ואנשיו לא רק הפעילו את גיים-אובר זאוס לתועלת הפרטית שלהם: הם העניקו שירותים לפושעים אחרים, פחות מתוחכמים. עבריינים אחרים שרצו גם הם להפעיל כופרות או לפרוץ לחשבונות בנקים של ארגונים, אבל לא היו להם את המשאבים או הידע כדי להפעיל רשת בוטים מתוחכמת או להפיץ כופרות בצורה יעילה – שכרו ממועדון העסקים את שירותיהם של גיים-אובר זאוס וקריפטולוקר. כשפרצו החוקרים של Fox IT לשרת הניהול של סלביק, הם גילו בו לא אחת כי אם עשרים ושבע רשתות בוטים שונות שסלביק ניהל והפעיל עבור עבריינים אחרים – תמורת תשלום, כמובן – במעין מודל 'כופרה כשירות' (Ransomware As A Service).
והחוקרים גילו עוד משהו מעניין, ומאד לא צפוי. שרת הניהול של סלביק הכיל פאנל הפעלה נוסף, חבוי ונסתר: רק לסלביק הייתה גישה אליו, והוא הסתיר את דבר קיומו משאר חברי מועדון העסקים. פאנל ההפעלה הזה שלט על רשת בוטים נוספת, אבל רשת הבוטים הזו לא נועדה כדי לפרוץ לחשבונות בנקים או לשתול כופרות במחשבים נגועים, אלא כדי לאסוף מידע מודיעיני צבאי. סלביק שתל את גיים-אובר זאוס במחשביהם של אנשי ממשל וצבא באוקראינה, גאורגיה וטורקיה, ושם תר אחר מסמכים שהכילו מילות חיפוש כגון 'שכירי חרב בסוריה' ומידע מסווג נוסף. לכולם היה ברור לאיזו מדינה יש אינטרנס לעקוב אחר הנעשה באוקראינה, גאורגיה, טורקיה וסוריה: סלביק, במקביל לפעילותו העבריינית, עבד בחשאי גם עבור שירותי הביון הרוסים – ללא ידיעתם של חבריו.
וההשתלטות על שרת הניהול הניבה לחוקרים עוד פרט חשוב: כתובת אי-מייל ששימשה את סלביק. סלביק היה אולי פושע סייבר מתוחכם, אבל מדי פעם גם הוא – כמו רבים מאיתנו – עשה את הטעות המקובלת ולא הפריד בין חיי העבודה שלו והחיים הפרטיים באינטרנט. אותה כתובת מייל שבה השתמש סלביק כדי לנהל את פעילותו של 'מועדון העסקים' שימשה אותו גם כדי לעשות Log In לפייסבוק. חוקריה של Fox IT סרקו את הרשת החברתית עד שמצאו את הפרופיל שהיה משוייך לאותה כתובת מייל.
סלביק, מסתבר, הוא יבגני מיכאלוביץ' בוגצ'ב (Bogachev): גבר בשנות השלושים לחייו המתגורר ב Anapa, עיירת נופש רוסית לחופי הים השחור. מהתמונות ששיתף בוגצ'ב ברשתות החברתיות עושה רושם שהפשע בהחלט השתלם עבורו: ברבות מהתמונות אפשר לראות אותו עומד לצד מכוניות יוקרה או מפליג ביאכטות מרשימות. עושה רושם שהוא גם מאוד אוהב חתולים, אבל את זה אי אפשר לזקוף לחובתו. לאיש לא היה ספק שכוחות הביטחון של רוסיה לא ישתפו פעולה עם עמיתיהם במערב ולא יעצרו את סלביק, הסוכן הכפול שלהם בעולם הפשע.
המבצע יוצא לדרך
ביוני 2014, אחרי חודשים רבים של עבודת הכנה חשאית ומאומצת, היו כל הכוחות מוכנים לפעולה. ואז – תקלה: מקאפי, אחת מחברות אבטחת המידע שלקחו חלק במבצע, העלתה בטעות לבלוג שלה פוסט ובו הודעה לתקשורת אודות המבצע נגד גיים-אובר זאוס – פוסט שהיה אמור לעלות רק למחרת. אם יבגני בוגצ'ב עוקב אחר הבלוג של מקאפי, הוא יבין במה מדובר וזה יהיה סוף הסיפור. הפוסט נמחק מהאתר במהירות, אבל עכשיו כבר לא הייתה כל ברירה: זה היה עכשיו או לעולם לא. אנשי אבטחת המידע פרצו לרשתות הבוטים של מועדון העסקים והשתלטו עליהן, בזמן שבכל רחבי העולם פרצו שוטרים ובלשים למשרדי חברות אחסון שרתים והחרימו את המחשבים שהיו בשירותה של הכנופיה.
ממקום מושבו לחופי הים השחור ניסה בוגצ'ב להיאבק בחוקרים ולשמר את שליטתו ברשת הבוטים – אך בתוך שעות ספורות הבין שאין לו סיכוי. מבצע טובר, על שלל שיתופי הפעולה הבינלאומיים והמשאבים הגדולים שהושקעו בו, היו גדולים על מידותיו. בצר לו, ניסה לפחות להגן על הנכס החשוב ביותר שנותר לו: מפתחות ההצפנה של כל המחשבים שהיו נגועים בקריפטולוקר. המפתחות האלה, כפי שהסברתי בפרק הקודם, הם הדרך היחידה לפתוח את הקבצים שהצפינה קריפטולוקר, ואם יצליח בוגצ'ב לשמור עליהם הוא יוכל להמשיך ולסחוט דמי כופר מקורבנותיו גם ללא רשת הבוטים הענפה שלו. לרוע מזלו ולמזלם של המשתמשים, הצליחו חוקרי אבטחת המידע למנוע ממנו 'לשלוף' את מפתחות ההצפנה מהשרת שלו ממש ברגע האחרון.
גיים-אובר זאוס וקריפטולוקר הובסו. מועדון העסקים של בוגצ'ב ספג מכה קשה וחבריו נפוצו לכל עבר. נכון לכתיבת שורות אלה, יבגני בוגצ'ב עדיין מסתובב חופשי ברוסיה: ה FBI החליט, בצעד חריג, להעמיד פרס של שלושה מיליוני דולרים לכל מי שימסור מידע שיביא ללכידתו של הפושע החמקמק – הפרס הגדול ביותר שהוטל על עבריין סייבר עד אז. חוקרי אבטחת המידע הקימו אתר מיוחד בו פרסמו את מפתחות ההצפנה שתפסו, לטובת קורבנותיה של קריפטולוקר.
מבט אל העתיד
מבצע טובר היה הצלחה מסחררת, אבל קריפטולוקר ומועדון העסקים של סלביק מסמנים לנו מגמה ברורה ומטרידה מאד בעולם הפשע הממוחשב. שבועות ספורים בלבד אחרי המבצע, כבר הופיעה כופרה חדשה בשם CryptoWall, שהיתה מתוחכמת ומסוכנת לא פחות מקריפטולוקר. הפופולריות של הכופרות ביחס לסוגים אחרים של תוכנות זדוניות משתנה ותלויה בכל מיני גורמים חיצוניים – למשל, כששער הביטקוין חווה התרסקות כואבת לפני שנתיים, גם הפופולריות של הכופרות דעכה לתקופה מסויימת. אבל למרות זאת הכופרות הם איום מוחשי ומסוכן מאד בעולם אבטחת המידע – במיוחד עבור ארגונים ועסקים. ב-2018, למשל, שישה מכל עשרה עסקים בארצות הברית נפגעו מכופרה. חמישה אחוזים מהקורבנות בחרו לשלם את דמי הכופר, שעמדו בממוצע על בין חמישים למאה אלף דולר. עם מספרים כאלה, קל להבין מדוע מתמקדים הפושעים בארגונים דווקא, בניגוד לסחיטה של משתמשים פרטיים שמהם אפשר להוציא כמה מאות דולרים במקרה הטוב. בתי חולים, בפרט, הם המטרות המועדפות על הנוכלים: רשתות המחשוב בבתי חולים הם בדרך כלל מיושנות ולא מעודכנות – רבים מהמחשבים בארגונים כאלה עדיין משתמשים במערכות הפעלה כמו חלונות XP מלפני חמש עשרה שנים – והמידע הרפואי הוא יקר ערך במיוחד: כשחיי אדם נמצאים על הכף, קל לשכנע את בית החולים לשלם את דמי הכופר. עוד ועוד ארגונים נופלים קורבן למתקפות מכוונות, שבהם הנוכל חוקר ולומד לעומק את נקודות החולשה של הארגון ותוקף אותו פעם אחר פעם – עד שהוא מצליח. הכסף הגדול שמתלווה לנוכלויות האלה מאפשר לארגוני פשיעה כמו 'מועדון העסקים' של בוגצ'ב לגייס לשירותיהם מהנדסי תוכנה מעולים, לאו דווקא כאלה שבאים מעולם הפשע הקלאסי. במדינות כמו רוסיה וסין, למשל, ישנו היצע גדול מאד של מפתחים ומהנדסים מצויינים שיוצאים מהאקדמיה או משתחררים מהצבא – אבל עולם ההייטק המקומי לא מספיק מפותח כדי להציע לכל אנשי המקצוע האלה עבודה בשכר טוב. ארגוני הפשיעה יכולים להציע לאנשים האלה שכר שהוא במקרים רבים גבוה בהרבה מהשכר שיקבלו בעולם המסחרי.
אם כן, עושה רושם שאיום הכופרות לא רק שלא הולך להיעלם – הוא אפילו עשוי להתחזק ולהשתכלל בעתיד הנראה לעין. אל המגמות שכבר ציינתי אפשר להוסיף את העובדה שככל שהעולם שלנו הולך ונעשה מחובר ומקוון יותר, וכל מכשיר אלקטרוני מתחבר לאינטרנט ולמכשירים אחרים – "בנק המטרות הפוטנציאליות" של פושעי הסייבר רק הולך ומתרחב. למשל, עד היום התמקדו הכופרות בקבצים חשובים כמו תמונות או מסמכים – אבל קבצים אפשר לגבות, ואם יש לך עותק של התמונה במקום אחר, אז הכופרה היא לא איום כזה נורא. אבל יותר ויותר מהמכשירים הפיזיים שלנו מחוברים היום לאינטרנט: טלוויזיות, מקררים, מכוניות ומה לא. דמיינו לעצמכם שאתם מדליקים את הטלוויזיה, ובמקום ערוץ הספורט אתם רואים על המסך שעון עצר: שלם בתוך שבעים ושתיים שעות, או שתגיד שלום לטלוויזיה. או מתיישבים בכסא הנהג באוטו, וזו ההודעה שמופיעה על הדשבורד. טלוויזיה ומכונית אי אפשר לשחזר מגיבוי, אתם יודעים.
ואם אנחנו מדברים על תרחישים מדאיגים ומכוניות, מה יקרה כשהמכוניות שלנו יהיו אוטונומיות לחלוטין? האם אתם יכולים לדמיין לעצמכם מצב שבו הרכב ששלחתם כדי לאסוף את הילד מהחבר שלו שולח לכם הודעה – 'שלם עכשיו, או ש…' תרחישים כאלה, שפעם אפשר היה לדמיין אותם רק בסרטי מדע בדיוני, כבר לא כל כך בדיוניים.
מה אפשר לעשות נגד האיום הזה? על פי כל הסימנים, לא הרבה: אין תרופת פלא או שינוי מעשי כלשהו בטכנולוגיה הקיימת שיוכלו לפטור אותנו מאימתן של הכופרות. נקודת האור היחידה בסיפור הזה היא שלא רק הפושעים הם אלה שמשתכללים, אלא גם המהנדסים שיוצרים את הטכנולוגיות שלנו. לפעמים זה לוקח הרבה זמן ודורש כמה מכות מכאיבות כדי להעביר את המסר, אבל כל מוצר חדש וכל תוכנה חדשה שיוצאים לשוק הם קצת יותר מוגנים וקצת יותר עמידים בפני מתקפות כאלה מהדור שקדם להן. אחרי הכל, אבולוציה ו"ברירת המתאימים" היא לא רק נחלתם של היצורים הביולוגיים.
ואולי יותר משמעותי – גם אנחנו, משתמשי הטכנולוגיה, הולכים ומשתכללים: בימינו, גם ילדים קטנים כבר לומדים בבית הספר על "הגיינה" בעולם הדיגיטלי – ממה להזהר, מה מותר ומה אסור לחשוף ברשת, ואיך לזהות איומים שונים. אני חושב שההיסטוריה מלמדת אותנו שבטווח הארוך, אם נעשה את הצעדים הנכונים, נוכל להגיע למעין 'שיווי משקל' עדין עם הטפילים והמזיקים הדיגיטליים שמקיפים אותנו בעולם הוירטואלי, כמו שיווי המשקל אליו הגענו עם החיידקים והוירוסים הביולוגים. נחיה ונראה.
ביבליוגרפיה ומקורות:
https://securelist.com/analysis/publications/77544/a-look-into-the-russian-speaking-ransomware-ecosystem/
https://medium.com/un-hackable/the-bizarre-pre-internet-history-of-ransomware-bb480a652b4b
http://blog.checkpoint.com/2016/04/15/kovter-ransomware-the-evolution-from-police-scareware-to-click-frauds-and-then-to-ransomware/
https://krebsonsecurity.com/2015/08/inside-the-100m-business-club-crime-gang/
https://krebsonsecurity.com/2015/02/fbi-3m-bounty-for-zeus-trojan-author/
https://www.secureworks.com/research/cryptolocker-ransomware
http://blog.trendmicro.com/cryptolocker-evolves-new-monetization-schemes/
http://www.bbc.com/news/technology-28661463
https://www.justice.gov/opa/pr/us-leads-multi-national-action-against-gameover-zeus-botnet-and-cryptolocker-ransomware
https://www.wired.com/2017/03/russian-hacker-spy-botnet/
https://www.bromium.com/sites/default/files/bromium-report-ransomware.pdf
http://news.bbc.co.uk/2/hi/technology/5038330.stm
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/the-evolution-of-ransomware.pdf
http://www.villagevoice.com/news/dr-popp-the-first-computer-virus-and-the-purpose-of-human-life-studies-in-crap-gapes-at-popular-evolution-6659397
http://www.casilli.fr/2009/12/07/the-aids-trojan-horse-disk-20-years-later-a-sociological-exploratio/
https://www.symantec.com/connect/blogs/international-takedown-wounds-gameover-zeus-cybercrime-network
http://krebsonsecurity.com/2014/07/crooks-seek-rivival-of-gameover-zeus-botnet/
http://www.slate.com/articles/technology/technology/2014/06/evgeniy_bogachev_gameover_zeus_cryptolocker_how_the_fbi_shut_down_two_viruses.html
https://www.justice.gov/sites/default/files/opa/legacy/2014/05/30/appendix-A.pdf
https://www.fbi.gov/news/stories/gameover-zeus-botnet-disrupted
https://krebsonsecurity.com/2015/02/fbi-3m-bounty-for-zeus-trojan-author/
http://garwarner.blogspot.co.il/2012/03/microsoftdcu-fs-isac-and-nacha-vs-zeus.html
https://www.slideshare.net/Cyburbian/aids-pccyborg-trojan-original-diskette-info
https://www.theregister.co.uk/2016/04/20/jigsaw_ransomware/
https://www.tcdi.com/the-psychology-behind-infamous-ransomware/
https://heimdalsecurity.com/blog/security-alert-new-ransomware-donate-earnings-charity/
https://www.sentinelone.com/blog/exploring-psychological-mechanisms-used-ransomware-splash-screens/
https://www.fireeye.com/blog/threat-research/2017/05/wannacry-malware-profile.html
https://www.comparitech.com/antivirus/ransomware-statistics/
https://www.csoonline.com/article/3153707/top-cybersecurity-facts-figures-and-statistics.html
תודה.
פרק מעולה כתמיד.
אם אפשר את הפרק על ביטקוין כמה שיותר מהר…
זה בין הפרקים [זה וקודמו] הכי יפים ששמעתי אני מתכנת וככזה זה הנושא הכי אהוב עלי וזה היה ממש קולח מעניין ומרשים
אגב רציתי לשאול האם היה פרק סיכום על הסקר ופיספסתי אותו? כי לא זכור לי בכלל ששמעתי כזה פרק ופעם קודמת היה.
תודה רבה! שמח שאהבת 🙂 לגבי הסקר – עדיין לא היה פרק סיכום: אני בהחלט מתכוון לעשות כזה,
רן