ההאקרים לא ווידאו שהאתר שלהם מאובטח – רשויות החוק פרצו אליו והשביתו את פעולתו
קבוצת הסייבר הזדונית REvil, האחראית על כמה מהמתקפות החמורות ביותר של התקופה האחרונה, מוקמה גבוה ברשימת המטרות של רשויות האכיפה. מומחה אבטחה: ״הטקטיקה האהובה על הקבוצה הופעלה הפעם נגדה״
מנדי קוגוסובסקי
| 24/10/2021
REUTERS/Dado Ruvic/Illustration
כשההאקרים נמצאים בצד השני של המתרס: בסיומו של מבצע מוצלח שכלל שיתוף פעולה של מספר מדינות, הושבתה פעילותה של קבוצת הסייבר הזדונית REvil (סודינוקיבי). מדובר באחת הקבוצות המוכרות ביותר, שעומדת מאחורי המתקפות על ענקית הבשר העולמית JBS, יצרנית המחשבים קוונטה (Quanta) המספקת מחשבים לאפל, חברת קסייה, ועל עשרות ארגוני בריאות ברחבי ארה״ב – וכל זאת רק חלק קטן מפעילותה רק בשנה האחרונה, המוערכת במאות מתקפות (מוצלחות יותר או פחות) על ארגונים ממשלתיים ואזרחיים ברחבי העולם.
סוכנות הידיעות רויטרס, שחשפה את הסיפור, מסתמכת לדבריה על שלושה גורמים שונים המעורים בנושא. ״ה-FBI, בשיתוף עם פיקוד הסייבר, השירות החשאי, ומדינות לאום נוספות, נקטו בפעולות שיבוש נגד קבוצות תקיפה, ו-REvil הייתה בראש הרשימה״, אמר לסוכנות הידיעות טום קלרמן, ראש אסטרטגיית אבטחת סייבר ב-VMWARE, המשמש גם כיועץ חקירות סייבר לשירות החשאי.
קבוצת REvil מתנהלת בעיקר בשפה הרוסית, ועל פי הסברה הרווחת גם פועלת משטחה של רוסיה – ייתכן ובשיתוף פעולה עם ממשל פוטין, או לפחות תוך העלמת עין מצידו. גורם הקשור לקבוצה, המכנה עצמו neday_0, כתב באחד הפורומים ברשת האפלה כי שרת הקבוצה הותקף. אתר הקבוצה, הקרוי Happy Blog, שמשמש אותה לסחיטה ולהדלפת נתוני קורבנות, אינו זמין.
למרבה האירוניה, מסתמן שרשויות החוק יכלו להפיל את הקבוצה מזרת האימים פשוט כי היא עשתה טעות של חובבנים – ולא בדקה לעומק את הגיבוי שלה. לאחר מתקפת הענק על קסייה בחודש יולי האחרון, הפסיקה REvil את פעילותה למשך כחודשיים. בספטמבר האחרון, היא נצפתה שוב ברשת.
על פי המקורות של רויטרס, הקבוצה הסתמכה על קבצי גיבוי כדי להפעיל מחדש את המערכות שלה – ותוך כדי, גם הפעילה מספר מערכות פנימיות שכבר נשלטו על ידי רשויות חוק, ללא ידיעתה כמובן. ״הטקטיקה האהובה על הקבוצה, פריצה למערכות הגיבוי, הופעלה הפעם נגדה״, אמר לרויטרס אולג סקולקין, מחברת האבטחה הרוסית Group IB (שמייסדה נעצר בחודש שעבר בשל טענות לבגידה במולדת).
יוזכר כי ה-FBI ספג בחודש שעבר ביקורת ציבורת לא מעטה, לאחר שהוושינגטון פוסט חשף כי לאחר המתקפה על קסייה ביולי האחרון השיג את מפתח ההצפנה, אך נמנע מלשתפו עם החברה במשך כשלושה שבועות. ראש הארגון, כריסטופר ריי, נדרש לסוגייה במהלך דיון בוועדה לביטחון המולדת, וציין כי החקירה עודנה בעיצומה וכי ה-FBI לא פעל לבד, אך לא הרחיב.
קבוצת הסייבר הזדונית REvil, האחראית על כמה מהמתקפות החמורות ביותר של התקופה האחרונה, מוקמה גבוה ברשימת המטרות של רשויות האכיפה. מומחה אבטחה: ״הטקטיקה האהובה על הקבוצה הופעלה הפעם נגדה״
REUTERS/Dado Ruvic/Illustration
כשההאקרים נמצאים בצד השני של המתרס: בסיומו של מבצע מוצלח שכלל שיתוף פעולה של מספר מדינות, הושבתה פעילותה של קבוצת הסייבר הזדונית REvil (סודינוקיבי). מדובר באחת הקבוצות המוכרות ביותר, שעומדת מאחורי המתקפות על ענקית הבשר העולמית JBS, יצרנית המחשבים קוונטה (Quanta) המספקת מחשבים לאפל, חברת קסייה, ועל עשרות ארגוני בריאות ברחבי ארה״ב – וכל זאת רק חלק קטן מפעילותה רק בשנה האחרונה, המוערכת במאות מתקפות (מוצלחות יותר או פחות) על ארגונים ממשלתיים ואזרחיים ברחבי העולם.
סוכנות הידיעות רויטרס, שחשפה את הסיפור, מסתמכת לדבריה על שלושה גורמים שונים המעורים בנושא. ״ה-FBI, בשיתוף עם פיקוד הסייבר, השירות החשאי, ומדינות לאום נוספות, נקטו בפעולות שיבוש נגד קבוצות תקיפה, ו-REvil הייתה בראש הרשימה״, אמר לסוכנות הידיעות טום קלרמן, ראש אסטרטגיית אבטחת סייבר ב-VMWARE, המשמש גם כיועץ חקירות סייבר לשירות החשאי.
קבוצת REvil מתנהלת בעיקר בשפה הרוסית, ועל פי הסברה הרווחת גם פועלת משטחה של רוסיה – ייתכן ובשיתוף פעולה עם ממשל פוטין, או לפחות תוך העלמת עין מצידו. גורם הקשור לקבוצה, המכנה עצמו neday_0, כתב באחד הפורומים ברשת האפלה כי שרת הקבוצה הותקף. אתר הקבוצה, הקרוי Happy Blog, שמשמש אותה לסחיטה ולהדלפת נתוני קורבנות, אינו זמין.
למרבה האירוניה, מסתמן שרשויות החוק יכלו להפיל את הקבוצה מזרת האימים פשוט כי היא עשתה טעות של חובבנים – ולא בדקה לעומק את הגיבוי שלה. לאחר מתקפת הענק על קסייה בחודש יולי האחרון, הפסיקה REvil את פעילותה למשך כחודשיים. בספטמבר האחרון, היא נצפתה שוב ברשת.
על פי המקורות של רויטרס, הקבוצה הסתמכה על קבצי גיבוי כדי להפעיל מחדש את המערכות שלה – ותוך כדי, גם הפעילה מספר מערכות פנימיות שכבר נשלטו על ידי רשויות חוק, ללא ידיעתה כמובן. ״הטקטיקה האהובה על הקבוצה, פריצה למערכות הגיבוי, הופעלה הפעם נגדה״, אמר לרויטרס אולג סקולקין, מחברת האבטחה הרוסית Group IB (שמייסדה נעצר בחודש שעבר בשל טענות לבגידה במולדת).
יוזכר כי ה-FBI ספג בחודש שעבר ביקורת ציבורת לא מעטה, לאחר שהוושינגטון פוסט חשף כי לאחר המתקפה על קסייה ביולי האחרון השיג את מפתח ההצפנה, אך נמנע מלשתפו עם החברה במשך כשלושה שבועות. ראש הארגון, כריסטופר ריי, נדרש לסוגייה במהלך דיון בוועדה לביטחון המולדת, וציין כי החקירה עודנה בעיצומה וכי ה-FBI לא פעל לבד, אך לא הרחיב.
