לא סוכות – פורים: האקרים רוסים "התחפשו" לאיראנים ותקפו בהצלחה

אף שבמישור הצבאי והמדיני רוסיה ואיראן פועלות ביניהן בתיאום – יחידת ריגול בסייבר רוסית פרצה להאקרים איראניים והשתמשה בכלי הפריצה שלהם על מנת להוביל שורת מתקפות סייבר ביותר מ-35 מדינות; כך חשפה חקירה משותפת של בריטניה וארה"ב.

מדובר במחקר בן שנתיים, אותו ערכו חוקרים של NCSC – המרכז הלאומי לאבטחת סייבר בבריטניה – בשיתוף פעולה עם אנשי ה-NSA מארה"ב. ה-NCSC הוא חלק ממטה התקשורת הממשלתית, ה-GCHQ – סוכנות ביון בריטית אשר אחראית לספק מודיעין ואבטחת מידע לממשלה ולצבא – באמצעות מודיעין אותות (סיגינט).

על פי התחקיר המשותף, קבוצת טורלה, הקשורה לביון הרוסי, חטפה את הכלים של Oilrig – קבוצה המקושרת באופן נרחב לממשל האיראני, ושמוכרת לחוקרים מערביים מאז מחצית העשור. הקבוצה האיראנית ידועה גם בשמות Crambus ו-APT34.

טורלה, או אורובורוס, מתייחס לשני דברים: האחד, חבילה של נוזקות מסוג סוס טרויאני. השני, קבוצת האקרים שמומחי אבטחת מידע וקציני מודיעין מערביים מעריכים שהיא פועלת בחסות הממשל הרוסי – שפיתחו ומפתחים את חבילת הנוזקות בעלת אותו שם. כינויים נוספים של הקבוצה הרוסית הם Waterbug ודב ארסי.

ההאקרים האיראנים לא היו מודעים

ככל הנראה, ההאקרים האיראנים לא היו מודעים לכך ששיטות הפריצה שלהם נפרצו ונפרסו על ידי צוות ריגול סייבר אחר, אמרו גורמי הביטחון המעורבים בחקירה. הקורבנות של המתקפות הרוסיות כללו צבאות, משרדי ממשלה, ארגונים מדעיים ואוניברסיטאות ברחבי העולם – בעיקר במזרח התיכון.

פול צ'יצ'סטר, מנהל התפעול ב-NCSC, אמר כי "פעילותה של טורלה משקפת שינוי אמיתי באופן הפעילות של שחקני הסייבר. זו הוסיפה לתחושת הבלבול שקבוצות סייבר שהן שלוחות-מדינה היו אחראיות למתקפות מוצלחות". לדבריו, "הסיבה לכך שאנחנו מפרסמים את התחקיר, נובעת מהמגוון ומהשוני של פעילויות הריגול בסייבר שבהן אנו רואים שטורלה משתמשת. אנו רוצים שגם אחרים יוכלו להבין את הפעילות הזו".

הוא הוסיף כי לאחר שקבוצת ההאקרים הרוסית פרצה לזו האיראנית, היא עברה שלב, והחלה לנצל את התוכנה ותשתית הפיקוד והשליטה של Oilrig לטובת ביצוע המתקפות שלה (של טורלה). כך, ארגונים בכעשרים מדינות נפרצו בהצלחה בדרך זו. צ'יצ'יסטר ציין כי ניצול הפעילות התפעולית של ההאקרים האיראניים על ידי עמיתיהם הרוסיים, איפשר להם לקבל גישה מהירה יותר לקורבנות, "זה עשה להם את החיים הרבה יותר קלים. מדובר בפעולה אופורטוניסטית שהעניקה לטורלה שפע של מידע וגישה שהם לא היו יכולים לקבל אחרת".

הקרמלין לא נענה לבקשת תגובה על פרסום ממצאי התחקיר.

דגל כוזב בסייבר

קבוצות ריגול סייבר מסתירות יותר ויותר את זהותן תחת פעולות שנקראות "דגל כוזב", false flag. המונח שאול מהדגלים אותן נושאות אוניות לצורכי זיהוי הלאום שלהן. במסגרת ההסתרה, קבוצות התקיפה בסייבר מנסות לחקות את פעילותן של קבוצות אחרות. בשנה שעברה דווח כי סוכנויות הביון האמריקאיות חשפו שהאקרים רוסים ניסו לשבש את אולימפיאדת החורף ב-פיונגצ'אנג, דרום קוריאה, באמצעות שימוש בשורות קוד הקשורות לקבוצת לזרוס הצפון קוריאנית.

החידוש, לדברי חוקרי ה-NCSC הבריטי, הוא בכך שאנשי טורלה הלכו רחוק יותר מחיקוי, ופרצו לאנשי  Oilrig. "מעולם לא ראינו את זה נעשה ברמת התחכום שאנו רואים כאן", אמר צ'יצ'סטר, "זה ייחודי במורכבות, במידת ההיקף והתחכום. קשה להתחפש ליישות אחרת".