מבוא
בתאריך ה-7 למרץ 2017, ארגון WikiLeaks חשף את קיומם של כלי תקיפה קיברנטיים מתקדמים, אשר משמשים לטענתו את ה-CIA. ככל הידוע, מדובר בהדלפה הנרחבת ביותר של מסמכים מסווגים מהסוכנות, כאשר בשלב זה אין מידע מהימן לגבי הגורם המדליף בפועל, למרות שבהתאם לפרסומים השונים כיוון החקירה מתמקד בקבלן של הסוכנות. WikiLeaks סיווג את קבצי ההדלפה תחת קוד 'Vault 7', והפרסום מה-7 למרץ 2017, לטענת WikiLeaks מהווה את הסנונית בראשונה בסדרת הפרסומים אשר זכתה לקוד 'Year Zero'. מלבד הסגרת עצם קיומם של כלי תקיפה אלו, ארגון WikiLeaks פרסם תיעוד נרחב של שיטות העבודה והפיתוח של הסוכנות, ואף את עצם קיומה של מפת דרכים המאפשרת לכאורה ללמוד לראשונה מהם היעדים וכיווני הפעולה העתידיים של הסוכנות במרחב הקיברנטי.
מעיון ראשוני באסופת המסמכים אשר פורסמו, ניתן כי ללמוד כי לכאורה היעדים המועדפים על הסוכנות כללו בין השאר מספר רב של מוצרים ופתרונות מסוג IoT, וכן ציוד תקשורת שכיח המשמש ארגונים לטובת ניהול תעבורת תקשורת פנים ארגונית. יחוד כלי התקיפה הקיברנטיים ניכר במספר מימדים. הראשון, יכולת ההסוואה הגבוהה, אשר מקשה על הצד המגן לאתר את פעילותם. לדוגמא, לטובת מיסוך תעבורת התקשורת מול שרת הפיקוד והבקרה נעשה שימוש נרחב בתבניות מידע ובפרוטוקולי תקשורת שכיחים, זאת במטרה להונות את צוות אבטחת המידע בצד המגן, אשר יראה את תעבורת התקשורת כלפיו, יעד התקיפה, כתעבורה תמימה המהווה חלק משטף התעבורה הרגיל. דוגמא אחרת הינה הסתרת פלט חיצוני של מערכת ההפעלה אשר כלי ניהול וניטור מקובלים מסתמכים עליו, לרבות כלים מובנים במערכת ההפעלה עצמה; קיומו של תהליך זדוני המשתמש בזיכרון גישה אקראית (RAM) ומשאבי המעבד. דוגמא אחרת הינה יכולת פעילות במצב חמקני (Stealth Mode), המבוסס על מחקר מקדים ואינטנסיבי של חולשות מובנות במוצרי הגנה, וביחוד מוצרי אנטי-וירוס. השלישי, ניצול המרחב הגלוי לשם איסוף מידע ערכי, בעוד הגורם האנושי מופעל לחשוב כי היעד למתקפה אינו פעיל כלל.
סוגיה נוספת, ומעניינת לא פחות הינה מיקומם הפיזי של היעדים, אשר כלי התקיפה תוכננו כנגדם. בהתאם לפרסומים השונים, ובאופן מפתיע ברמה מסוימת, במסמכים תועדו כ-10,000 יעדים המצויים בארה"ב, אירופה ודרום אמריקה.
השלכות אסטרטגיות אפשריות
בניגוד להצהרות גורמי ממשל בארה"ב, סביר להניח כי יכולת התקיפה הקיברנטית של ה-CIA לא נפגעה משמעותית. קביעה זו מתבססת על תוכן המסמכים אשר פורסמו, מהם ניתן להסיק כי מרבית כלי התקיפה אשר נסקרו אינם עדכניים, ובעולם הטכנולוגי של היום, סביר להניח כי חלק ניכר מיעדי התקיפה ביצעו שינויים טכנולוגיים מהותיים אשר פגעו באפקטיביות כלי תקיפה אלו. בהתאם לכך ניתן להניח כי כבר כיום ברשות הסוכנות מצויים כלי תקיפה מתקדמים יותר.
שנית, מועד פרסום ההדלפה אינו אקראי על פניו, ויתכן שקשור למשחק 'חתול ועכבר' ידוע. ג'וּלִיאַן אַסַאנְג', מייסד, הדובר והעורך הראשי של WikiLeaks, נמצא בעימות בן מספר שנים עם הממשל בארה"ב המעוניין להביאו לדין. יתכן כי הדלפה זו מהווה 'מסר מסווה' לממשל בארה"ב כי מעצרו של ג'וּלִיאַן אַסַאנְג' יגבה מחיר פוליטי ותקשורתי ניכר, ועדיף לממשל בארה"ב כי יגיע ל'הסכם פשרה' בין הצדדים.
שלישית, מזה שנים מתקיים ויכוח בין ארה"ב ומדיניות במערב, אשר מטרתו לבחון מהי מדיניות הפעולה אשר סוכנויות מודיעין צריכות לאמץ בעת גילוי פגיעויות אבטחה. כצפוי, מרבית גורמי המודיעין גורסים כי יש להעדיף את הביטחון הלאומי גם במחיר של פגיעה בזכויות הפרט והשארת מערכות מחשוב עם 'פגיעויות' ידועות במשך שנים ללא טיפול. עם זאת, ובניגוד לגישה הרווחת של גורמי המודיעין, חסידי זכויות הפרט והאזרח, ואף חברות המפתחות ומייצרות פתרונות בתחום המחשוב גורסים כי יש לצמצם את חופש הפעולה של גורמי המודיעין, ולחייב גורמים אלו לעדכן את היצרניות וקהל הצרכנים על קיומם של הפגיעויות זמן קצר לאחר הגילוי. סביר להניח שוויכוח זה ילווה את המערכת החברתית-פוליטית במדינות המערב בדורות הבאים, בדומה לוויכוחים מקבילים העוסקים בנושא אחזקה ושימוש בנשק להשמדה המונית.
רביעית, יתכן כי ההדלפה בוצעה ע"י הסוכנות עצמה, לשם הצגת יכולות התקיפה במרחב הקיברנטי וחיזוק 'מאזן האימה', תוך הדגשה כי היכולות אשר נחשפו בפרשות שונות, כדוגמת אדוארד סנודן משנת 2013, ופרשת 'Equation Group" משנת 2015, מהוות יכולות תקיפה פרימיטיביות ביחס ליכולות הקיימות כיום ברשות הממשל בארה"ב.
חמישית, לאור העובדה כי חלק ניכר מהחברות המפתחות ומייצרות פתרונות בתחום המחשוב כוללות בהסכם השימוש איסור לבצע פעולות תקיפה (לרבות 'הנדסה לאחור'), חברות אלו עשויות לפנות לבית המשפט הפדרלי בארה"ב בבקשה לסעד משפטי כזה או אחר. לחילופין, החברות עשויות לדרוש ביצוע של פעולות חקיקה מתקנות, וזאת כתנאי לאי העברת מרכז הפעילות מחוץ לתחומי ארה"ב. במאמר מוסגר, WikiLeaks טוענים כי כלי התקיפה הוגדרו סווגו כ"כבלתי מסווגים", וזאת על מנת לצמצם את האפשרות להעמדה לדין של מפעיליהם בגין הפרת 'דיני האינטרנט'. לאור זאת, ניתן להסיק כי מעבר להשקעה כלכלית נרחבת בצד הטכנולוגי, ה-CIA השקיע רבות בהתמודדות אפשרית עם הליכים משפטים. בשים לב לתאריכי פרסום Tallinn Manual 2.0, אשר מהווה מסגרת נורמטיבית מקובלת לדיון בסוגיות בנושא לוחמה קיברנטית.
שישית, אם אכן בוצעו פעולות תקיפה כנגד יעדים באירופה, יתכן כי הדבר יביא בשלב כזה או אחר לידי עימות במישור הבינלאומי, לפגיעה בהכנסות בחברות אמריקאיות המתבססות על השוק האירופאי, ולבידודה של ארה"ב ברמה מסוימת. יצויין כי יתכן שזאת אף התוצאה הרצויה עבור הממשל הנוכחי בארה"ב, אשר בכיריו הדגישו מספר פעמים בעבר את הצורך לאמץ 'גישה בדלנית'.
עדכון נכון ל-24.3.2017
בתאריך ה-23.3.2017, ארגון WikiLeaks פרסם את סדרת המסמכים השנייה בסדרת הפרסומים אשר זכתה לקוד 'Year Zero'. החשיפה השנייה, אשר זכתה לכינוי 'Dark Matter' חושפת לטענת WikiLeaks שורה של תקיפות המבוססות על ניצול לרעה של שרשרת האספקה (Supply Chain) ואיום פנימי (Insider Threat). כך לדוגמא, נטען כי מכשירים דיגיטליים מבית חברת Apple היוו יעד מועדף על הסוכנות, וזאת החל משנת 2008, דבר אשר כלל ניצול מספר חולשות מובנות (לרבות חולשות אשר מקורן בהטמנת רכיבים זדוניים) אשר אפשרו מעקף אלגנטי של מנגנוני הגנה מובנים (כדוגמת סיסמת הקושחה).
עדכון נכון ל-1.4.2017
בתאריך ה-31.3.2017, ארגון WikiLeaks פרסם מידע (לרבות קוד מקור) על Marble Framework, אשר מטרתה לצמצם את הזיקה בין כלי התקיפה לסוכנות, דבר אשר כולל בין השאר השתלת מאפייני שפה זרה בקוד כלי המקור של כלי התקיפה. כמו כן, נטען כי שימוש בטכניקות מיסוך מסוג אלו נועד ליצירת סכסוך בינלאומי בין הישות המותקפת, לישות אחרת, אשר תואשם על לא עוול בכפה בתקיפה.
עדכון נכון ל-8.4.2017
בתאריך ה-7.4.2017, ארגון WikiLeak-פרסם סדרה של מסמכים הקשורים ל-Grasshopper Framework. סדרת מסמכים זו, זכתה לקוד Grasshopper' והיא מהווה גל הדלפה נוסף בפרויקט 'Vault 7'. ה-Grasshopper Framework מציג את גישתה של הסוכנות ליצירת כלי תקיפה קיברנטיים מתקדמים, הכוללים יכולת למיקוד התקיפה כנגד יעד איכותי בעל מערכת הפעלה מסוג Linux, Windows ו-HP-UX, וזאת בהתאם לחתך קריטריונים מוגדר (כדוגמת ארכיטקטורת מעבד, גרסת ומהדורת מערכת הפעלה, אפליקציות קיימות ותנאים לוגיים נוספים). כמו כן, ניתן ללמוד כי נעשה שכתוב מחדש של קוד מקור ושיפור יכולות תקיפה אשר גורמי פשיעה משתמשים בהן באופן שכיח (כדוגמת ניצול קוד המקור של כלי תקיפה כנגד מערכות פיננסיות – Carberp).
עדכון נכון ל-11.4.2017
בתאריך ה-10.4.2017 פרסמה חברת Symantec מאמר אשר טוען לקיומו של קשר בין הכלים השונים אשר פורסמו במסגרת 'Vault 7' לקבוצת ריגול בשם Longhorn. יעדי התקיפה של קבוצת הריגול כללו בין השאר חברות וארגונים המתמחים בתחומים מגוונים, כדוגמת אנרגיה, טלקום, ממשל, פיננסים, תעופה, חלל, חינוך ומדע. המיקוד הגיאוגרפי של התקיפות הינו המזרח התיכון, אירופה, אסיה, ואפריקה.
להלן הפנייה לפרסום הרשמי של חברת Symantec.
עדכון נכון ל-14.4.2017
בתאריך ה-14.4.2017, ארגון WikiLeak פרסם סדרה של מסמכים הקשורים לפרויקט בשם 'Hive'. בהתאם לפרסום, הפרויקט כלל הקמה והפעלה של תשתית תקיפה במודל Malware & C&C Server. לשם מיסוך פעילות, שרתי ה-C&C הוטמעו בסביבה לגיטימית של ספק שירותים ו/או חברה קיימת, וזאת תוך מיסוך פרטי ה-DNS Domain, וזאת במטרה להקשות על ההתחקות אחר הגורם אשר רשום כבעל הדומיין. כמו כן, תשתית התקיפה כללה שימוש בפרוטוקול HTTPS, וזאת תוך מימוש פרוטוקול הצפנה ייחודי, דבר אשר צמצם את היכולת של היעד המותקף וספקי שירותי הגנה בסייבר לפענח את התעבורה בין שרת ה-C&C ל-Malware אשר הוטמע ביעד המותקף.
עדכון נכון ל-22.4.2017
בתאריך ה-21.4.2017, ארגון WikiLeak פרסם את מדריך השימוש בכלי Weeping Angel. בהתאם לפרסום, הכלי פותח במקור ע"י MI5/BTSS, ולאחר מכן שופר ע"י הסוכנות. הכלי מאפשר הדלפה של מידע וזאת באמצעות ניצול המיקרופונים המובנים בטלוויזיות החכמות של סמסונג מסדרה F. כמו כן, הכלי ניתן להתקנה ביעד באמצעות ממשק USB, והוא ניתן להסרה בדרך זהה, או לחילופין, למחיקה עצמית לאחר זמן מוגדר.
עדכון נכון ל-29.4.2017
בתאריך ה-28.4.2017, ארגון WikiLeak פרסם את סדרה של מסמכים הקשורים לכלי Scribbles. בהתאם לפרסום, הכלי מאפשר הטמעת אובייקט מוסתר במסמכי אופיס. מטרת האובייקט המוסתר היא לאפשר זיהוי דלף מידע של מסמכים מסווגים, וזאת על-ידי דיווח על השימוש במסמך לשרתי ניטור.
עדכון נכון ל-6.5.2017
בתאריך ה-5.5.2017, ארגון WikiLeak פרסם את סדרה של מסמכים הקשורים לכלי Archimedes. בהתאם לפרסום, הכלי מאפשר מימוש תקיפת MiTM ברשת המקומית, וככל הנראה הוא מהווה וריאציה חדשה של כלי התקיפה מבוסס קוד פתוח – Ettercap.
סוף דבר
ההדלפה של WikiLeaks אומנם לא הציגה עד כה "חידושים ייחודיים", אך עם זאת היא מהווה אתגר לגורמי ממשל וחברות המפתחות ומייצרות פתרונות בתחום המחשוב, אשר ידרשו להתמודד עם השלכות ההדלפה בשנים הבאות. סביר להניח כי ההדלפה רק תאיץ את מרוץ החימוש במרחב הקיברנטי.