הקבוצה הזדונית שתקפה את קולוניאל פייפליין ממתגת עצמה מחדש – ומשגרת אזהרה לארה״ב
על פי חוקרי סייבר מובילים, קבוצת דארקסייד – שירדה מתחת לרדאר לאחר שה-FBI תפס את דמי הכופרה חזרה לפעילות בשינוי אדרת. ״אנו מאמינים במולדתנו ואוהבים את המשפחות שלנו״, אמר נציג הקבוצה בראיון
מנדי קוגוסובסקי
| 03/08/2021
BIGSTOCK: Copyright: AndreyPopov
היא ביצעה מתקפת כופרה מתוחכמת על צינור הדלק הראשי של ארה״ב, הנחשבת לקו פרשת המים שהוביל לחשיבה מחודשת של הממשל האמריקני בנוגע להגנת סייבר ואף לכינון שינויים רגולטוריים – ואז ירדה מתחת לרדאר, לאחר שה-FBI תפס למעלה ממחצית סכום הכופרה ששולם (כ-2.3 מיליון מתוך 4 מיליון דולר ששולמו בביטקוין) על ידי הקורבן, קולוניאל פייפליין. עכשיו, קצת יותר מחודשיים לאחר מכן, חזרה דארקסייד (DarkSide) לפעול תחת שם אחר.
על פי האתר המהימן Bleeping Computer, שפעמים רבות משמש כצינור בין פושעי סייבר לקורבנותיהם, הקבוצה חזרה לפעול בשבוע האחרון תחת השם בלאקמאטר (BlackMatter). כתבי האתר מציינים כי הם ״מודעים למספר קורבנות שכבר טורגטו על ידי בלאקמאטר, עם דרישות כופר שנעו בין שלושה לארבעה מיליון דולר״, ומוסיפים כי ״קורבן אחד כבר שילם כופר של ארבעה מיליון דולר כדי למחוק נתונים גנובים ולקבל את מפתחות ההצפנה של חלונות ו-Linux ESXi״.
חוקרי האתר בחנו את האלגוריתמים שנמצאו במפתחות ההצפנה, וכך הסיקו כי מדובר באותה קבוצה, שכן מדובר באותן שיטות הצפנה ייחודיות בהן השתמשה DarkSide. הם מסייגים אמנם מסייגים ואומרים כי לא ניתן לקבוע זאת בוודאות מוחלטת, אך גם טוענים שריבוי המאפיינים משאיר מעט מקום לספק. יצוין כי בפרסומים בפורומים של הרשת האפלה, כתבו חברי בלאקמאטר כי הם משלבים את התכונות של קבוצות אחרות כגון דארקסייד ו-REvil (שעומדת מאחורי התקיפות על Microsoft Exchange ועל Kaseya השנה). כל הקבוצות פועלות ברוסית.
קבוצת בלאקמאטר מעוררת עניין רב. אתמול (ב׳) התפרסם באתר The Record, השייך לחברת אבטחת הסייבר האמריקנית Recorded Future, ראיון עם אחד מחברי ראיון שנערך על ידי אחד ממומחי הסייבר של החברה, בשם דימיטרי סמיליאנטס, שמספק הצצה מרתקת לאופן הפעולה ולמניעי הקבוצה החדשה – בו הודף חבר הקבוצה את הטענות כי מדובר למעשה בדארקסייד. ״אנו מכירים את צוות דארקסייד מעבודה משותפת בעבר, אבל אנחנו לא הם – למרות שיש לנו היכרות מקרוב מאוד עם הרעיונות שלהם״.
״המוצר שלנו נמצא בפיתוח בחצי השנה האחרונה, מה שהציבור רואה זה רק קצה הקרחון״, אמר נציג הקבוצה הזדונית בראיון (שהתנהל ברוסית ותורגם לאנגלית), והוסיף כי כל עוד המשא ומתן עם החברות המותקפות מוצלח, הם אינם מפרסמים דבר בבלוג הפומבי. עוד אמר, כי הקבוצה למדה בפירוט רב מוצרי קבוצות התקיפה המובילות האחרות. ״שילבנו את הרעיונות של Revil, LockBit, וחלק מהרעיונות של דארקסייד. פעולת הרשת שלנו משלבת את הגישה הטכנית של דארקסייד, כיוון שאנו מחשיבים אותה לנכונה ביותר מבחינה מבנית״.
״אנו עוקבים אחרי המצב הפוליטי, וכן מקבלים מידע ממקורות אחרים״, השיב נציג הקבוצה לשאלה בנוגע לפעילות המשמעותית של ארה״ב בזירת הסייבר. ״בעת תכנון התשתית שלנו לקחנו בחשבון את כל הגורמים הללו, ואנחנו יכולים לומר כי באפשרותנו לעמוד ביכולות הסייבר הפוגעניות של ארה״ב. לכמה זמן? Time will tell, אבל אנחנו פועלים לטווח ארוך״, שיגר אזהרה יותר ממרומזת. ביידן, לתשומת לבך.
עוד ציין הנציג כי הקבוצה מעוניינת להתמקד בחברות גדולות להן הכנסות שנתיות של למעלה מ-100 מיליון דולר, אך כי ישנם גבולות: מחוץ לתחום יישארו שירותי בריאות, תשתיות קריטיות, נפט וגז (ובכך כבר בידול מדארקסייד), ביטחון, עמותות וארגונים ממשלתיים. ״אנו ממתנים את המטרות שלנו ולא נאפשר שימוש בפרויקט שלנו להצפנת תשתיות קריטיות, מה שימשוך אלינו תשומת לב בלתי רצויה״. עוד ציין, כי ״העסק שלנו לא פוגע באנשים פרטיים ומכוון רק לחברות, ולחברה תמיד יש את היכולת לשלם״. ולסיכום: ״אין לנו סודות. אנו מאמינים במולדת, אוהבים את המשפחות שלנו, ומרוויחים כסף עבור הילדים שלנו״.
על פי חוקרי סייבר מובילים, קבוצת דארקסייד – שירדה מתחת לרדאר לאחר שה-FBI תפס את דמי הכופרה חזרה לפעילות בשינוי אדרת. ״אנו מאמינים במולדתנו ואוהבים את המשפחות שלנו״, אמר נציג הקבוצה בראיון
BIGSTOCK: Copyright: AndreyPopov
היא ביצעה מתקפת כופרה מתוחכמת על צינור הדלק הראשי של ארה״ב, הנחשבת לקו פרשת המים שהוביל לחשיבה מחודשת של הממשל האמריקני בנוגע להגנת סייבר ואף לכינון שינויים רגולטוריים – ואז ירדה מתחת לרדאר, לאחר שה-FBI תפס למעלה ממחצית סכום הכופרה ששולם (כ-2.3 מיליון מתוך 4 מיליון דולר ששולמו בביטקוין) על ידי הקורבן, קולוניאל פייפליין. עכשיו, קצת יותר מחודשיים לאחר מכן, חזרה דארקסייד (DarkSide) לפעול תחת שם אחר.
על פי האתר המהימן Bleeping Computer, שפעמים רבות משמש כצינור בין פושעי סייבר לקורבנותיהם, הקבוצה חזרה לפעול בשבוע האחרון תחת השם בלאקמאטר (BlackMatter). כתבי האתר מציינים כי הם ״מודעים למספר קורבנות שכבר טורגטו על ידי בלאקמאטר, עם דרישות כופר שנעו בין שלושה לארבעה מיליון דולר״, ומוסיפים כי ״קורבן אחד כבר שילם כופר של ארבעה מיליון דולר כדי למחוק נתונים גנובים ולקבל את מפתחות ההצפנה של חלונות ו-Linux ESXi״.
חוקרי האתר בחנו את האלגוריתמים שנמצאו במפתחות ההצפנה, וכך הסיקו כי מדובר באותה קבוצה, שכן מדובר באותן שיטות הצפנה ייחודיות בהן השתמשה DarkSide. הם מסייגים אמנם מסייגים ואומרים כי לא ניתן לקבוע זאת בוודאות מוחלטת, אך גם טוענים שריבוי המאפיינים משאיר מעט מקום לספק. יצוין כי בפרסומים בפורומים של הרשת האפלה, כתבו חברי בלאקמאטר כי הם משלבים את התכונות של קבוצות אחרות כגון דארקסייד ו-REvil (שעומדת מאחורי התקיפות על Microsoft Exchange ועל Kaseya השנה). כל הקבוצות פועלות ברוסית.
קבוצת בלאקמאטר מעוררת עניין רב. אתמול (ב׳) התפרסם באתר The Record, השייך לחברת אבטחת הסייבר האמריקנית Recorded Future, ראיון עם אחד מחברי ראיון שנערך על ידי אחד ממומחי הסייבר של החברה, בשם דימיטרי סמיליאנטס, שמספק הצצה מרתקת לאופן הפעולה ולמניעי הקבוצה החדשה – בו הודף חבר הקבוצה את הטענות כי מדובר למעשה בדארקסייד. ״אנו מכירים את צוות דארקסייד מעבודה משותפת בעבר, אבל אנחנו לא הם – למרות שיש לנו היכרות מקרוב מאוד עם הרעיונות שלהם״.
״המוצר שלנו נמצא בפיתוח בחצי השנה האחרונה, מה שהציבור רואה זה רק קצה הקרחון״, אמר נציג הקבוצה הזדונית בראיון (שהתנהל ברוסית ותורגם לאנגלית), והוסיף כי כל עוד המשא ומתן עם החברות המותקפות מוצלח, הם אינם מפרסמים דבר בבלוג הפומבי. עוד אמר, כי הקבוצה למדה בפירוט רב מוצרי קבוצות התקיפה המובילות האחרות. ״שילבנו את הרעיונות של Revil, LockBit, וחלק מהרעיונות של דארקסייד. פעולת הרשת שלנו משלבת את הגישה הטכנית של דארקסייד, כיוון שאנו מחשיבים אותה לנכונה ביותר מבחינה מבנית״.
״אנו עוקבים אחרי המצב הפוליטי, וכן מקבלים מידע ממקורות אחרים״, השיב נציג הקבוצה לשאלה בנוגע לפעילות המשמעותית של ארה״ב בזירת הסייבר. ״בעת תכנון התשתית שלנו לקחנו בחשבון את כל הגורמים הללו, ואנחנו יכולים לומר כי באפשרותנו לעמוד ביכולות הסייבר הפוגעניות של ארה״ב. לכמה זמן? Time will tell, אבל אנחנו פועלים לטווח ארוך״, שיגר אזהרה יותר ממרומזת. ביידן, לתשומת לבך.
עוד ציין הנציג כי הקבוצה מעוניינת להתמקד בחברות גדולות להן הכנסות שנתיות של למעלה מ-100 מיליון דולר, אך כי ישנם גבולות: מחוץ לתחום יישארו שירותי בריאות, תשתיות קריטיות, נפט וגז (ובכך כבר בידול מדארקסייד), ביטחון, עמותות וארגונים ממשלתיים. ״אנו ממתנים את המטרות שלנו ולא נאפשר שימוש בפרויקט שלנו להצפנת תשתיות קריטיות, מה שימשוך אלינו תשומת לב בלתי רצויה״. עוד ציין, כי ״העסק שלנו לא פוגע באנשים פרטיים ומכוון רק לחברות, ולחברה תמיד יש את היכולת לשלם״. ולסיכום: ״אין לנו סודות. אנו מאמינים במולדת, אוהבים את המשפחות שלנו, ומרוויחים כסף עבור הילדים שלנו״.
