מומחי סופוס: הקשר בין הבוטנט Trickbot ופגיעה בבחירות בארה"ב – אינו סביר
שון גאלהר, חוקר איומים בכיר בסופוס: "למרות שראינו נוזקה הקשורה ל- Trickbotבמהלך המתקפות האחרונות, עדיין ראינו התבססות גדולה יותר על נוזקות וכלים אחרים כדי להוציא לפועל התקפות... מתקפות כופרה מהוות איום על כל הארגונים, והמפעילים של הכופרות מונעים לרוב מכסף - ולא מפוליטיקה.
חוקרי סופוס העלו תהיות לגבי החיבור, שנטען שקיים, בין מתקפות הסייבר של הבוטנט Trickbot לבין איומים על תקינות הבחירות בארה"ב. שון גאלהר, חוקר איומים בכיר בענקית האבטחה, טוען, כי כנופיות של עברייני סייבר בדרך כלל לא יתקפו ממשלות מקומיות לצורך יצירת הטיה פוליטית.
לפני ימים אחדים פורסם, כי זרוע הסייבר ההתקפית של הפנטגון, פיקוד הסייבר בצבא האמריקני, ביצעה פעולות שיבוש רחבות היקף נגד רשת הבוטים Trickbot. מדובר בבוטנט, שמאז שנת 2016 הדביק יותר ממיליון מחשבים ברחבי העולם. המניע לפעולות השיבוש הוא הרצון למנוע ממפעילי הרשת לתקוף מטרות אמריקניות, כך על פי גורם בממשל האמריקני. פיקוד הסייבר ערך פעולות שיבוש בעצמו, לצד שיתוף פעולה עם חברות IT. שתי הפעולות נועדו למנוע נזקים למערכות ממשל שונות, שלדברי גורמי ממשל עלולים להפעיל מתקפות כופרה נגד מערכות IT התומכות בתהליך ההצבעה לקראת יום הבחירות. התקפה כזו נגד מערכות רישום המצביעים, למשל, עלולה לגרום לבלבול, לעיכובים או לאי ודאויות אחרות לפני או במהלך ההצבעה.
לצד פעילות פיקוד הסייבר, מהלך השיבוש האזרחי נעשה בשיתוף פעולה של מיקרוסופט עם ESET. עוד היו שותפים למהלך השיבוש המרכז לשיתוף וניתוח מידע לשירותים פיננסיים, NTT, מעבדות Black Lotus של לומן וסימנטק. על פי הממשל, כתוצאה מהפעולה של מיקרוסופט, האנשים שעומדים מאחורי TrickBot – אוסף של מחשבי "זומבים" שנפגעו על ידי תוקפים דוברי רוסית – יהיו מוגבלים ביכולתם להדביק קורבנות חדשים ולהפעיל מתקפות כופרה. Trickbot ידוע בגניבת מידע ממחשבים שנפגעו, ובאחרונה נצפה בעיקר כמנגנון הפצה להתקפות מזיקות יותר, כגון כופרה. ההאקרים המפעילים את רשת הבוטים פועלים במתכונת "נוזקה כשירות", ומוכרים ל"לקוחות" – האקרים אחרים – גישה למחשבים הנגועים.
גאלגהר אמר, כי בחן כמה מתקפות כופר, ולדבריו, "גופי ממשל מקומי נפגעו כתוצאה ממתקפות פישינג שכוונו למשתמשים בודדים – על בסיס מידע גלוי, וניצלו בכך את ההזדמנות". בוושינגטון פוסט נטען, כי גורמים במשרד להגנת המולדת הביעו חשש, כי מתקפות כופרה על משרדים לרישום מצביעים ומערכות רישום – ברמה מקומית או ברמת מדינה – עלולות לשבש את ההכנות להצבעה ולגרום לבלבול, או לתורים ארוכים ביום ההצבעה. אולם גאלגהר, דמות ותיקה ומוערכת בעולם אבטחת הסייבר, לא משוכנע בכך: "בעוד Trickbot שיחק תפקיד משמעותי במתקפות סייבר רבות בעבר, תוקפים רבים – כולל Ryuk, התוקפים שאחראים לרוב מתקפות הכופרה על גופי ממשל מקומיים ולאומיים בשנה החולפת – עשו שינוי בדרך שבה מופצות ההתקפות. זאת בהתבסס על התקפות שחקרנו באחרונה".
"למרות שראינו נוזקה הקשורה ל-Trickbotבמהלך המתקפות האחרונות, עדיין ראינו התבססות גדולה יותר על נוזקות וכלים אחרים כדי להוציא לפועל התקפות, כולל גירסאות פיראטיות של כלים לגיטימיים ל'אבטחה התקפית', כגון Cobalt Strike", סיכם גאלהר, "מתקפות כופרה מהוות איום על כל הארגונים, והמפעילים של הכופרות מונעים לרוב מכסף – ולא מפוליטיקה. יש לשבח מהלכים כנגד התשתית של Trickbot לאור גודל הבוטים שנשלטים על ידי ההאקרים, אבל הטקטיקות של התוקפים משתנות כל הזמן, וקשה להניח שתהיה לכך השפעה גדולה על התוקפים. עסקים וממשלות צריכים להמשיך להיות זהירים".
תגובות
(0)