האם ה-NSA עוקב אחר העברות כספים של בנקים ברחבי המזרח התיכון ?

ב-14 באפריל פורסמו ידיעות לפיהן קבוצת האקרים בשם TheShadowBrokers פרסמה מסמכים המצביעים על כך שעלה בידי ה-NSA לפרוץ לרשתות של בנקים במזרח התיכון, ככל הנראה לאחר פריצה למשרד בדובאי של חברת EastNets הפועלת בתחום השרותים הפיננסיים (בכלל זה קישור הלקוחות לרשת העולמית להעברת כספים, SWIFT) והמאבק בהלבנת כספים.

מהפרסומים השונים עולה כי נראה שעלה בידי ה-NSA אף לפרוץ למערכות SWIFT במשרדיה הראשיים בבלגיה. עם זאת נטען כי לא היה כל צורך בפריצה זו, הואיל והארגון השיג גישה ברשות למחשבים אלו במטרה להלחם בהעברות כספים למימון טרור:

1

קבוצת ההאקרים TheShadowBrokers, אשר הדליפה באוגוסט 2016 מספר כלי פריצה של ה-NSA, פרסמה כעת הודעה בשם "Lost in Translation" ובה הפניה לארבעה קבצים והסיסמא "Reeeeeeeeeeeeeee" לפתיחתם. שניים מהם נושאים את השם swift.tar.xz.gpg ו-windows.tar.xz.gpg: 

2

האחרון כולל 23 כלי תקיפה חדשים (הקבצים עצמם מצויים גם ב-GitHub).

3

למרות פרסום כלי תקיפה אלו של ה-NSA בעבר, זו הפעם הראשונה שיש עדות למטרות של אותה פריצה מתוחכמת למערכת העברת הכספים העולמית. מסתבר כי עלה בידי ה-NSA לחדור למערכות ה-SWIFT לא במטרה לגנוב כספים, אלא כדי לעקוב בחשאי אחר העברות הכספים במזרח התיכון לגורמים שונים ובכללם גורמי טרור.

ככלל אין בכך חדש הואיל וכבר בספטמבר 2013 נחשף כי עלה בידי ה-NSA לפרוץ לרשת ה-SWIFT העולמית. זאת כחלק ממסמכי ה-NSA שהדליף אדוארד סנואדן, אולם אלו מעולם לא נחשפו לציבור ונטען כי הם מתוארכים לשנת 2011. מאלו שהודלפו כעת עולה כי לפחות אחד מהם מתוארך ל-17 אוקטובר 2013, חודש לאחר הדיווח על פריצת ה-NSA לרשת זו.

מומחה אבטחת מידע טען כי בפריצה שפרטיה הודלפו כעת, נראה כי אלפי חשבונות ומחשבים ממשרדי EastNets נפרצו ושמוסדות פיננסיים בכווית, בחרין והרשות הפלסטינית היו נתונים לריגול. ידיעה באל-ג'זירה דיווחה כי "מהמסכים עולה שה-NSA חדר לשני משרדי שירות של SWIFT ובכלל זה של EastNets" ומוסיפה לרשימת המדינות בהן בנקים ומוסדות פיננסיים היו נתונים למעקב, גם את דובאי, ירדן, תימן וקטאר. (מקור אחר כלל גם את סוריה ואבו ד'אבי). 

בהודעה שפרסמה חברת EastNets באותו היום נמסר כי "אין אמת בטענה המקוונת לפריצה למידע של לקוחות EastNets במשרד שרותי ה-SWIFT שלה".

בהודעה עליה חתום מנכ"ל החברה נכתב כי "הדיווחים שלכאורה נפרצה הרשת של EastNets Service Bureau (ENSB) שגויים לחלוטין ובלתי מבוססים. יחידת האבטחה הפנימית של הרשת ביצעה בדיקה מלאה של שרתיה ולא מצאה כל פריצה או חולשות. ה-ENSB פועלת על רשת מאובטחת נפרדת בלתי נגישה מהרשתות הציבוריות. התמונות שהוצגו בטוויטר, ובהן טענה לדליפת מידע, הם עמודים בלתי מעודכנים ומיושנים, אשר נוצרו משרת פנימי ברמה נמוכה אשר אינו פעיל משנת 2013.

למרות שלא ניתן לוודא את המידע שפורסם, אנו יכולים לאשר שלא נפרץ כל מידע של לקוחות EastNets, בכל דרך שהיא, EastNets תמשיך להבטיח את הבטיחות המלאה והבטחון של נתוני לקוחותיה באמצעות הרמות הגבוהות ביותר של הגנה ממשרד שרותי ה-SWIFT שלה".

חברת SWIFT מסרה "אנו מבינים כי יתכן והיתה בעבר גישה בלתי מורשית של צד שלישי לתקשורת בין משרד שרותים זה והלקוחות שלהם, יתכן וזו נפרצה" ומסרה כי אין עדות לכך שהרשת הפנימית שלה נפרצה.

מנגד מומחים אשר בחנו את הנתונים שדלפו (חלקם ניתוחים מעמיקים) מצאו קבצי סיסמאות וכן קבצי אקסל המפרטים את הארכיטקטורה הפנימית של שרת החברה, לצד למעלה מ-20 קודים זדוניים אשר חוקרים טוענים כי הם בני שלוש שנים ויותר, המנצלים חולשה בגרסאות ישנות (מלבד Windows 10) של מערכת ההפעלה Windows, עדות "לשחקן מתוחכם ודאגה אפשרית למאות מיליוני משתמשי Windows". חלק מהן מאפשרות לפורץ גישה מלאה להריץ את הקוד שלו על מחשב הקורבן, מבלי שיזוהו על ידי תוכנות אנטי וירוס שונות. חברת מחקר בדקה ומצאה כי הגרסאות הפגיעות מפעילות יותר מ-65% מהמחשבים שהשתמשו באינטרנט בחודש החולף.

מומחה האבטחה Matthew Hickey שבדק את התכולה כתב "אני לא חושב שאי פעם ראיתי בימי חיי כל כך הרבה exploits ו-Zero-day ששוחררו בבת אחת. ואני מעורב בפריצת מחשבים ואבטחה במשך 20 שנה". לדבריו "כלי תקיפה ברמה מדינתית מצויים כעת בידי כל אדם המעוניין להוריד אותם, אלו כלו נשק קיברנטיים, פשוטו כמשמעו, לשם פריצה למחשבים … אנשים ישתמשו בתקיפות אלו במשך שנים רבות".

מומחה אחר טען כי הקבצים מכילים הנחיה "כיצד להוריד את כל השאילתות של SWIFT ואת כל בסיס הנתונים אורקל של המשתמשים".

4

אחר הגדיר זאת כ"אסון מוחלט. הצלחתי לפרוץ כמעט לכל גרסה של Windows במעבדה שלי באמצעות הדליפה זו".

בהקשר זה צייץ אדוארד סנאודן במועד החשיפה כי "ה-NSA ידע ששיטות הפריצה שלהם נגנבו בשנה שעברה, אולם הם סרבו לספר למפתחי התוכנות כיצד לנעול אותן מפני גנבים. האם הם אחראים?" וכן טענה אחרת כי לארגון היו לפחות 96 ימים להזהיר את חברת Microsoft:

 5

החברה פרסמה הודעה בו ביום ובה נמסר כי היא בוחנת את הדליפה והיא "תנקוט בצעדים הנדרשים להגן על הלקוחות", אך סרבה לפרט.

 

ארוע זה מלמד אותנו על זילותם בעידן המידע של מושגים דוגמת "פרטיות", "סודיות", "אבטחה". מחד גיסא יכול ארגון מודיעין לחדור, בין אם ברשות ובין אם באמצעות פריצה, ולנטר את העברות הכספים של בנקים ברחבי העולם. מאידך גיסא, גם פעילות מסווגת זו, אינה סודית עוד. היא נחשפה לעין כל ובכלל זה העדויות ומצבור כלי תקיפה רבי ערך אשר יכולים לשמש בעתיד כל אדם.

לגבי טענת חברת EastNets, נראה כי יש אמת חלקית בטענתה; אכן הפריצה היתה לשרת "אשר אינו פעיל משנת 2013", כפי שמעידים המסמכים שהודלפו. אמנם שרת ישן, אך הוא ככל הנראה אכן נפרץ.

נותר לראות מה תהיה תגובה מדינות האזור, בעיקר בעלות בריתה של ארה"ב, לטענות ולהוכחות כי בנקים בשטחן נפרצו ונוטרו לאורך זמן על ידי ה-NSA.

בנוסף, נראה כי בזה לא תמה מלאכת ההדלפות של הקבוצה או כמו שכתבה בהודעתה "Maybe if all suviving WWIII theshadowbrokers be seeing you next week. Who knows what we having next time?".