האקרים מנצלים את כלי הפריצה של Hacking Team

בשל פריצה ולאחריה דליפה של Hacking Team, ספקית קוד זדוני לרשויות אכיפת החוק וממשלות ברחבי  העולם, החלו כמה קבוצות ריגול סייבר להשתמש בכלי הפריצה אותם החברה סיפקה ללקוחותיה.

חוקרי קספרסקי (Kaspersky) הם אלה שגילו את השימוש של ההאקרים בכלי הפריצה של החברה שנפרצה. מדובר בכמה כלי ניצול פרצות בנגן הפלאש של אדובי (Adobe) ובמערכת ההפעלה חלונות (windows). לפחות אחד מהם זכה ל"ייעוד" מחודש, על ידי צוות ריגול הסייבר Darkhotel.

Darkhotel הוא צוות עלית לריגול סייבר, אשר נחשף על ידי מומחי קספרסקי בשנת 2014 בעקבות פריצה לרשתות Wi-Fi במלונות יוקרה בעולם – כדי לפגוע בבכירים מארגונים שונים.

כעת, קובעים חוקרי ענקית האבטחה הרוסית, החל מה-5 ביולי השנה (מועד פרסום הפריצה ל-Hacking Team), הקבוצה עשתה שימוש בפרצות יום אפס מהאוסף של Hacking Team. לא ברור אם Darkhotel היתה לקוחה של החברה, אבל נראה שהיא אספה את הקבצים כאשר הם הפכו לזמינים בשטח.

זו אינה פרצת יום אפס היחידה של הקבוצה. החוקרים מעריכים כי במהלך השנים האחרונות, הקבוצה עשתה שימוש בלפחות חצי תריסר פרצות יום אפס המכוונות לנגן הפלאש, כנראה תוך השקעה כספית משמעותית בהרחבת הארסנל שלה. ב-2015, הרחיבה קבוצת Darkhotel את טווח הפעולה הגיאוגרפי שלה ברחבי העולם, תוך שהיא ממשיכה בתקיפות ממוקדות בצפון ודרום קוריאה, רוסיה, יפן, בנגלדש, תאילנד, הודו, מוזמביק, וגרמניה.

חוקרי קסרפסקי זיהו טכניקות ופעילויות חדשות מצד Darkhotel, שהוא שחקן APT (מתקפות מתמשכות וממוקדות) מוכר, הפעיל כבר כמעט שמונה שנים. בהתקפות שנעשו ב-2014 ואף קודם לכן, הקבוצה עשתה שימוש בלתי הוגן בתעודות גנובות לחתימת קוד, והפעילה שיטות ייחודיות, כגון פריצה לרשתות Wi-Fi של בתי מלון, כדי להשתיל כלי ריגול על מערכות המטרה.

ב-2015, רבות מטכניקות ופעולות אלה המשיכו, אך החוקרים חשפו גם סוג חדש של קבצי הפעלה זדוניים, שימוש מתמשך בתעודות גנובות, פעילות הסוואה רציפה עם טכניקות הנדסה חברתית, והפעלה של פרצות יום אפס של Hacking Team.

האויבים העסקיים של האינטרנט במגזר הפרטי

לדברי קורט באומגרטנר, חוקר אבטחה ראשי במעבדת קספרסקי, "Darkhotel חזרה עם פרצה נוספת של נגן פלאש של אדובי המתארחת על אתר פגוע, והפעם נראה כי היא מבוססת על הדליפה של Hacking Team. הקבוצה סיפקה בעבר פרצה שונה לפלאש על אותו האתר, דבר שדיווחנו עליו כפירצת יום אפס באדובי בינואר 2014. נראה כי Darkhotel שרפה ערימה של פרצות יום אפס במהלך השנים האחרונות. ייתכן והיא אספה אפילו יותר פרצות כדי לבצע התקפות ממוקדות על בכירים ברמה הבינלאומית". החוקר הוסיף כי "מהתקפות קודמות אנו יודעים כי Darkhotel מרגלת אחר מנכ"לים, סגני נשיא בכירים, מנהלי מכירות ושיווק, וצוותי מחקר ופיתוח מובילים".

"מאז שנה שעברה", סיכם באומגרטנר, "הקבוצה עבדה קשה כדי לקדם את טכניקות ההגנה שלה, לדוגמא באמצעות הרחבת רשימת הטכנולוגיות שלה נגד זיהוי. גרסת 2015 של מוריד הקוד הזדוני של Darkhotel נועדה לזהות טכנולוגיות אנטי וירוס מ-27 ספקים שונים, במטרה לעקוף אותם".

Hacking Team ממילאנו שבאיטליה מציגה את עצמה כמי שמספקת תוכנת ציתות חוקית לגורמי אכיפה וביון, אך פעילים למען זכויות אדם טוענים כי התוכנות של החברה משמשות משטרים טוטליטריים לחדירה לפרטיותם של מתנגדים למשטר.

כמה ימים לאחר היוודע דבר הפריצה אוהדי זכויות אדם ניתחו את מסמכי הנפרצת והעלו את הניתוח לאתר ויקיליקס (Wikileaks). כך עלה שבין לקוחותיה של הנפרצת יש לא רק מדינות אפלות, כי אם גם הבולשת הפדרלית של ארצות הברית. בנוסף, למרבה הצער, לפעילות של החברה הנפרצת יש גם היבט כחול לבן: נייס (Nice) הישראלית היא אחת המפיצות של מוצרי Hacking Team. מהמסמכים שדלפו עולה כי נייס סגרה מספר גדול של עסקות עבור Hacking Team ברחבי העולם, ביניהם חוזים באזרבייג'אן ותאילנד. כמו כן, היא ניהלה עבורה משא ומתן בברזיל, קולומביה, גואטמלה, הונדורס, ישראל, כוויית, פינלנד, גיאורגיה, יוון, הודו, טורקמניסטן, אוזבקיסטן, קירגיסטן, ומקומות אחרים.

ניתוח ההתכתבויות של החברה הנפרצת עצמה, שנעשה על ידי פעילי זכויות אדם, מעלה כי לצד פעילות עסקית לגיטימית בארצות הברית, אוסטרליה, ומדינות מערביות נוספות, היא פעלה במדינות עליהן נמתחה ביקורת בשל הפרת זכויות אדם, כגון לוב, מצרים, אתיופיה, קזחסטן, מרוקו, ניגריה, ערב הסעודית וסודאן.

זאת ועוד, Hacking Team דורגה במקום החמישי בדירוג "האויבים העסקיים של האינטרנט במגזר הפרטי" – דו"ח שנעשה על ידי ארגון עיתונאים ללא גבולות ב-2012.