ארה"ב – CyBureau

ארה"ב: אזהרה מפני הונאות מקוונות המנצלות את ההוריקן Harvey

5 ספטמבר 2017/ב ארה"ב, הנדסה חברתית /על ידי Tal Pavel

ב-28 אוגוסט פרסם US-CERT אזהרה מפני פעילות קיברנטית זדונית המבקשת לנצל את העיסוק התקשורתי בהוריקן Harvey.

ההודעה מנחה את המשתמשים לנקוט במשנה זהירות בעת טיפול בהודעות דוא"ל שהתקבלו העוסקות בהוריקן זה, והכוללות קבצים או קישורים, גם אם נראה שמקורות הודעות אלו אמינים. תוך התייחסות לבקשות תרומה, לכאורה מצד ארגוני צדקה שונים, לטובת הנפגעים. ארועי הונאה המתרחשים לאחר אסונות טבע חמורים.

עוד מפרטת ההודעה מספר הנחיות להתנהגות מקוונת זהירה ובכלל זה אי פתיחת קישורים וקבצים בלתי מוכרים, עדכון תוכנות המחשב השונות, ובדיקת מהימנות כל הודעת דוא"ל שכזו באמצעות פניה ישירה, לדוגמא באמצעות מספר טלפון מוכר ואמין.

ארה"ב: כתב אישום נגד שני אזרחי איראן באשמת פשיעה קיברנטית

22 אוגוסט 2017/ב איראן, ארה"ב, פשיעה קיברנטית /על ידי Tal Pavel

ב-8 באוגוסט פרסם משרד המשפטים של ארה"ב כי הוגש כתב אישום נגד שני אזרחים איראניים, Arash Amiri Abedian בן 31 ו-Danial Jeloudar בן 27 באשמת גניבת זהות, הונאה מקוונת, קשירת קשר לביצוע פשע, גישה בלתי מורשית, גניבת מידע ממחשבים ואיום בגרימת נזק למחשבים.

בכתב האישום נטען כי השניים, המתגוררים באיראן, השיגו בין השנים 2011-2016 פרטי כרטיסי אשראי גנובים ומידע אישי נלווה באמצעות פריצה ושימוש בנוזקה, לשם פעולות סחיטה להשגת כסף, סחורות ושרותים מקורבנות תושבי ארה"ב וכן זרים. במסגרת זו שלח Abedian לשותפו Jeloudar ב-21 פברואר 2012 כ-30 אלף פרטי כרטיסי אשראי. כמו כן במהלך מרץ-אפריל 2012 הזמין Jeloudar וקיבל ציוד מגוון, שרתים ושרותי ארוח אתרי אינטרנט מספק בדרום קרולינה, תוך שימוש בפרטי אשראי וזהות גנובים. בינואר 2017 הוא איים על חברת סחר מקוון מקליפורניה כי יחשוף את פרטי האשראי של לקוחותיה ומידע נוסף שהשיג באמצעות פריצה לאתר החברה, אלא אם ישולם לו כופר במטבע ביטקויין. כמו כן הוא איים כי יחשוף בפני לקוחות החברה שפרטיהם האישיים נגנבו.

ארה"ב: פעילות של פושעים קיברנטיים איראניים אותרה במערכות שונות

18 אוגוסט 2017/ב איראן, ארה"ב, פשיעה קיברנטית /על ידי Tal Pavel

ב-25 יולי פרסם ה-FBI כי איתר פעילות של קבוצת האקרים אשר ככל הנראה עשתה שימוש ב-87 כתובות IP וב-136 שמות מתחם בארה"ב לשם תקיפה אפשרית של רשתות מחשבים של גורמי ממשל, עסקים ואקדמיה במזרח התיכון, אירופה וארה"ב, המוגדרים כאויבי ממשלת איראן.

הערכת הארגון היא כי "שחקנים קיברנטייים אלו כמעט בוודאות מעורבים בפעילות זו לכל הפחות מתחילת 2015", תוך התייחסות לכך כי לפחות שם מתחם זדוני אחד אשר זוהה, נרשם ככל הנראה על ידי בעל אזרחות איראנית המקושר לכתובת פיזית בטהראן. בנוסף נמסר כי התקיפה עשתה שימוש בתשתית בארה"ב על מנת להגיע לכתובות IP המצויות באיראן ובמדינות נוספות במזרח התיכון "הידיעות כאויבות מסורתיות של המשטר האיראני". ככל הנראה כחלק ממבצע קיברנטי רחב יותר הכולל ככל הנראה פעילות "הנדסה חברתית", "דיוג ממוקד" ואתרים זדוניים.

עוד כוללת ההודעה המלצות לצעדי תגובה להתמודדות עם מתקפה זו.

מסע חדש להתמודדות מקוונת עם תעמולת הגיוס של 'המדינה האסלאמית'

2 מאי 2017/ב איחוד האמירויות, ארה"ב, המדינה האסלאמית /על ידי Tal Pavel

ב-30 באפריל פורסם כי מרכז Sawab אשר הוקם במאי 2015 כיוזמה משותפת של איחוד האמירויות וארה"ב ללוחמה מקוונת בתעמולת 'המדינה האסלאמית' וארגונים קיצוניים אחרים ולקידום מסרים חלופיים וחיוביים, החל במסע בן ארבע ימים, בין ה-30 באפריל וה-3 במאי, אשר נועד לפנות לצעירים ולהלחם במסעות הגיוס המקוון של אלה לשורות הארגון.

במסגרת זו מתפרסמות הודעות באנגלית ובערבית ובהן מסרים, סרטונים וכרזות תחת התגיות; #DeludedFollowers ו-#أتباع_الضلال. אלו כוללים ראיונות קצרים עם חברים לשעבר בארגון וכן סיפורים אישיים על קורבנות מעשי טרור שביצעו אנשיו.

עוד נמסר כי זהו המסע ה-17 של המרכז ברשתות החברתיות, לאחר מסע מוצלח ביותר אשר עשה שימוש בתגית זו בינואר 2016, תוך שימת דגש בלוחמים הזרים. מסעות נוספים של מרכז זה התמקדו בין השאר בהרס שהותירו אחריו פעולות הארגון למשפחות, קהילות ותרבויות.

האם ה-NSA עוקב אחר העברות כספים של בנקים ברחבי המזרח התיכון ?

27 אפריל 2017/ב ארה"ב, בנקאות, מזרח תיכון, רוגלה /על ידי Tal Pavel

ב-14 באפריל פורסמו ידיעות לפיהן קבוצת האקרים בשם TheShadowBrokers פרסמה מסמכים המצביעים על כך שעלה בידי ה-NSA לפרוץ לרשתות של בנקים במזרח התיכון, ככל הנראה לאחר פריצה למשרד בדובאי של חברת EastNets הפועלת בתחום השרותים הפיננסיים (בכלל זה קישור הלקוחות לרשת העולמית להעברת כספים, SWIFT) והמאבק בהלבנת כספים.

מהפרסומים השונים עולה כי נראה שעלה בידי ה-NSA אף לפרוץ למערכות SWIFT במשרדיה הראשיים בבלגיה. עם זאת נטען כי לא היה כל צורך בפריצה זו, הואיל והארגון השיג גישה ברשות למחשבים אלו במטרה להלחם בהעברות כספים למימון טרור:

קבוצת ההאקרים TheShadowBrokers, אשר הדליפה באוגוסט 2016 מספר כלי פריצה של ה-NSA, פרסמה כעת הודעה בשם "Lost in Translation" ובה הפניה לארבעה קבצים והסיסמא "Reeeeeeeeeeeeeee" לפתיחתם. שניים מהם נושאים את השם swift.tar.xz.gpg ו-windows.tar.xz.gpg:

האחרון כולל 23 כלי תקיפה חדשים (הקבצים עצמם מצויים גם ב-GitHub).

למרות פרסום כלי תקיפה אלו של ה-NSA בעבר, זו הפעם הראשונה שיש עדות למטרות של אותה פריצה מתוחכמת למערכת העברת הכספים העולמית. מסתבר כי עלה בידי ה-NSA לחדור למערכות ה-SWIFT לא במטרה לגנוב כספים, אלא כדי לעקוב בחשאי אחר העברות הכספים במזרח התיכון לגורמים שונים ובכללם גורמי טרור.

ככלל אין בכך חדש הואיל וכבר בספטמבר 2013 נחשף כי עלה בידי ה-NSA לפרוץ לרשת ה-SWIFT העולמית. זאת כחלק ממסמכי ה-NSA שהדליף אדוארד סנואדן, אולם אלו מעולם לא נחשפו לציבור ונטען כי הם מתוארכים לשנת 2011. מאלו שהודלפו כעת עולה כי לפחות אחד מהם מתוארך ל-17 אוקטובר 2013, חודש לאחר הדיווח על פריצת ה-NSA לרשת זו.

מומחה אבטחת מידע טען כי בפריצה שפרטיה הודלפו כעת, נראה כי אלפי חשבונות ומחשבים ממשרדי EastNets נפרצו ושמוסדות פיננסיים בכווית, בחרין והרשות הפלסטינית היו נתונים לריגול. ידיעה באל-ג'זירה דיווחה כי "מהמסכים עולה שה-NSA חדר לשני משרדי שירות של SWIFT ובכלל זה של EastNets" ומוסיפה לרשימת המדינות בהן בנקים ומוסדות פיננסיים היו נתונים למעקב, גם את דובאי, ירדן, תימן וקטאר. (מקור אחר כלל גם את סוריה ואבו ד'אבי).

בהודעה שפרסמה חברת EastNets באותו היום נמסר כי "אין אמת בטענה המקוונת לפריצה למידע של לקוחות EastNets במשרד שרותי ה-SWIFT שלה".

בהודעה עליה חתום מנכ"ל החברה נכתב כי "הדיווחים שלכאורה נפרצה הרשת של EastNets Service Bureau (ENSB) שגויים לחלוטין ובלתי מבוססים. יחידת האבטחה הפנימית של הרשת ביצעה בדיקה מלאה של שרתיה ולא מצאה כל פריצה או חולשות. ה-ENSB פועלת על רשת מאובטחת נפרדת בלתי נגישה מהרשתות הציבוריות. התמונות שהוצגו בטוויטר, ובהן טענה לדליפת מידע, הם עמודים בלתי מעודכנים ומיושנים, אשר נוצרו משרת פנימי ברמה נמוכה אשר אינו פעיל משנת 2013.

למרות שלא ניתן לוודא את המידע שפורסם, אנו יכולים לאשר שלא נפרץ כל מידע של לקוחות EastNets, בכל דרך שהיא, EastNets תמשיך להבטיח את הבטיחות המלאה והבטחון של נתוני לקוחותיה באמצעות הרמות הגבוהות ביותר של הגנה ממשרד שרותי ה-SWIFT שלה".

חברת SWIFT מסרה "אנו מבינים כי יתכן והיתה בעבר גישה בלתי מורשית של צד שלישי לתקשורת בין משרד שרותים זה והלקוחות שלהם, יתכן וזו נפרצה" ומסרה כי אין עדות לכך שהרשת הפנימית שלה נפרצה.

מנגד מומחים אשר בחנו את הנתונים שדלפו (חלקם ניתוחים מעמיקים) מצאו קבצי סיסמאות וכן קבצי אקסל המפרטים את הארכיטקטורה הפנימית של שרת החברה, לצד למעלה מ-20 קודים זדוניים אשר חוקרים טוענים כי הם בני שלוש שנים ויותר, המנצלים חולשה בגרסאות ישנות (מלבד Windows 10) של מערכת ההפעלה Windows, עדות "לשחקן מתוחכם ודאגה אפשרית למאות מיליוני משתמשי Windows". חלק מהן מאפשרות לפורץ גישה מלאה להריץ את הקוד שלו על מחשב הקורבן, מבלי שיזוהו על ידי תוכנות אנטי וירוס שונות. חברת מחקר בדקה ומצאה כי הגרסאות הפגיעות מפעילות יותר מ-65% מהמחשבים שהשתמשו באינטרנט בחודש החולף.

מומחה האבטחה Matthew Hickey שבדק את התכולה כתב "אני לא חושב שאי פעם ראיתי בימי חיי כל כך הרבה exploits ו-Zero-day ששוחררו בבת אחת. ואני מעורב בפריצת מחשבים ואבטחה במשך 20 שנה". לדבריו "כלי תקיפה ברמה מדינתית מצויים כעת בידי כל אדם המעוניין להוריד אותם, אלו כלו נשק קיברנטיים, פשוטו כמשמעו, לשם פריצה למחשבים … אנשים ישתמשו בתקיפות אלו במשך שנים רבות".

מומחה אחר טען כי הקבצים מכילים הנחיה "כיצד להוריד את כל השאילתות של SWIFT ואת כל בסיס הנתונים אורקל של המשתמשים".

אחר הגדיר זאת כ"אסון מוחלט. הצלחתי לפרוץ כמעט לכל גרסה של Windows במעבדה שלי באמצעות הדליפה זו".

בהקשר זה צייץ אדוארד סנאודן במועד החשיפה כי "ה-NSA ידע ששיטות הפריצה שלהם נגנבו בשנה שעברה, אולם הם סרבו לספר למפתחי התוכנות כיצד לנעול אותן מפני גנבים. האם הם אחראים?" וכן טענה אחרת כי לארגון היו לפחות 96 ימים להזהיר את חברת Microsoft:

החברה פרסמה הודעה בו ביום ובה נמסר כי היא בוחנת את הדליפה והיא "תנקוט בצעדים הנדרשים להגן על הלקוחות", אך סרבה לפרט.

ארוע זה מלמד אותנו על זילותם בעידן המידע של מושגים דוגמת "פרטיות", "סודיות", "אבטחה". מחד גיסא יכול ארגון מודיעין לחדור, בין אם ברשות ובין אם באמצעות פריצה, ולנטר את העברות הכספים של בנקים ברחבי העולם. מאידך גיסא, גם פעילות מסווגת זו, אינה סודית עוד. היא נחשפה לעין כל ובכלל זה העדויות ומצבור כלי תקיפה רבי ערך אשר יכולים לשמש בעתיד כל אדם.

לגבי טענת חברת EastNets, נראה כי יש אמת חלקית בטענתה; אכן הפריצה היתה לשרת "אשר אינו פעיל משנת 2013", כפי שמעידים המסמכים שהודלפו. אמנם שרת ישן, אך הוא ככל הנראה אכן נפרץ.

נותר לראות מה תהיה תגובה מדינות האזור, בעיקר בעלות בריתה של ארה"ב, לטענות ולהוכחות כי בנקים בשטחן נפרצו ונוטרו לאורך זמן על ידי ה-NSA.

בנוסף, נראה כי בזה לא תמה מלאכת ההדלפות של הקבוצה או כמו שכתבה בהודעתה "Maybe if all suviving WWIII theshadowbrokers be seeing you next week. Who knows what we having next time?".

השלכות אסטרטגיות בעקבות דליפת 'Vault 7' ע"י WikiLeaks

9 אפריל 2017/ב ארה"ב, הדלפה /על ידי Yuval Sinay

מבוא

בתאריך ה-7 למרץ 2017, ארגון WikiLeaks חשף את קיומם של כלי תקיפה קיברנטיים מתקדמים, אשר משמשים לטענתו את ה-CIA. ככל הידוע, מדובר בהדלפה הנרחבת ביותר של מסמכים מסווגים מהסוכנות, כאשר בשלב זה אין מידע מהימן לגבי הגורם המדליף בפועל, למרות שבהתאם לפרסומים השונים כיוון החקירה מתמקד בקבלן של הסוכנות. WikiLeaks סיווג את קבצי ההדלפה תחת קוד 'Vault 7', והפרסום מה-7 למרץ 2017, לטענת WikiLeaks מהווה את הסנונית בראשונה בסדרת הפרסומים אשר זכתה לקוד 'Year Zero'. מלבד הסגרת עצם קיומם של כלי תקיפה אלו, ארגון WikiLeaks פרסם תיעוד נרחב של שיטות העבודה והפיתוח של הסוכנות, ואף את עצם קיומה של מפת דרכים המאפשרת לכאורה ללמוד לראשונה מהם היעדים וכיווני הפעולה העתידיים של הסוכנות במרחב הקיברנטי.

מעיון ראשוני באסופת המסמכים אשר פורסמו, ניתן כי ללמוד כי לכאורה היעדים המועדפים על הסוכנות כללו בין השאר מספר רב של מוצרים ופתרונות מסוג IoT, וכן ציוד תקשורת שכיח המשמש ארגונים לטובת ניהול תעבורת תקשורת פנים ארגונית. יחוד כלי התקיפה הקיברנטיים ניכר במספר מימדים. הראשון, יכולת ההסוואה הגבוהה, אשר מקשה על הצד המגן לאתר את פעילותם. לדוגמא, לטובת מיסוך תעבורת התקשורת מול שרת הפיקוד והבקרה נעשה שימוש נרחב בתבניות מידע ובפרוטוקולי תקשורת שכיחים, זאת במטרה להונות את צוות אבטחת המידע בצד המגן, אשר יראה את תעבורת התקשורת כלפיו, יעד התקיפה, כתעבורה תמימה המהווה חלק משטף התעבורה הרגיל. דוגמא אחרת הינה הסתרת פלט חיצוני של מערכת ההפעלה אשר כלי ניהול וניטור מקובלים מסתמכים עליו, לרבות כלים מובנים במערכת ההפעלה עצמה; קיומו של תהליך זדוני המשתמש בזיכרון גישה אקראית (RAM) ומשאבי המעבד. דוגמא אחרת הינה יכולת פעילות במצב חמקני (Stealth Mode), המבוסס על מחקר מקדים ואינטנסיבי של חולשות מובנות במוצרי הגנה, וביחוד מוצרי אנטי-וירוס. השלישי, ניצול המרחב הגלוי לשם איסוף מידע ערכי, בעוד הגורם האנושי מופעל לחשוב כי היעד למתקפה אינו פעיל כלל.

סוגיה נוספת, ומעניינת לא פחות הינה מיקומם הפיזי של היעדים, אשר כלי התקיפה תוכננו כנגדם. בהתאם לפרסומים השונים, ובאופן מפתיע ברמה מסוימת, במסמכים תועדו כ-10,000 יעדים המצויים בארה"ב, אירופה ודרום אמריקה.

השלכות אסטרטגיות אפשריות

בניגוד להצהרות גורמי ממשל בארה"ב, סביר להניח כי יכולת התקיפה הקיברנטית של ה-CIA לא נפגעה משמעותית. קביעה זו מתבססת על תוכן המסמכים אשר פורסמו, מהם ניתן להסיק כי מרבית כלי התקיפה אשר נסקרו אינם עדכניים, ובעולם הטכנולוגי של היום, סביר להניח כי חלק ניכר מיעדי התקיפה ביצעו שינויים טכנולוגיים מהותיים אשר פגעו באפקטיביות כלי תקיפה אלו. בהתאם לכך ניתן להניח כי כבר כיום ברשות הסוכנות מצויים כלי תקיפה מתקדמים יותר.

שנית, מועד פרסום ההדלפה אינו אקראי על פניו, ויתכן שקשור למשחק 'חתול ועכבר' ידוע. ג'וּלִיאַן אַסַאנְג', מייסד, הדובר והעורך הראשי של WikiLeaks, נמצא בעימות בן מספר שנים עם הממשל בארה"ב המעוניין להביאו לדין. יתכן כי הדלפה זו מהווה 'מסר מסווה' לממשל בארה"ב כי מעצרו של ג'וּלִיאַן אַסַאנְג' יגבה מחיר פוליטי ותקשורתי ניכר, ועדיף לממשל בארה"ב כי יגיע ל'הסכם פשרה' בין הצדדים.

שלישית, מזה שנים מתקיים ויכוח בין ארה"ב ומדיניות במערב, אשר מטרתו לבחון מהי מדיניות הפעולה אשר סוכנויות מודיעין צריכות לאמץ בעת גילוי פגיעויות אבטחה. כצפוי, מרבית גורמי המודיעין גורסים כי יש להעדיף את הביטחון הלאומי גם במחיר של פגיעה בזכויות הפרט והשארת מערכות מחשוב עם 'פגיעויות' ידועות במשך שנים ללא טיפול. עם זאת, ובניגוד לגישה הרווחת של גורמי המודיעין, חסידי זכויות הפרט והאזרח, ואף חברות המפתחות ומייצרות פתרונות בתחום המחשוב גורסים כי יש לצמצם את חופש הפעולה של גורמי המודיעין, ולחייב גורמים אלו לעדכן את היצרניות וקהל הצרכנים על קיומם של הפגיעויות זמן קצר לאחר הגילוי. סביר להניח שוויכוח זה ילווה את המערכת החברתית-פוליטית במדינות המערב בדורות הבאים, בדומה לוויכוחים מקבילים העוסקים בנושא אחזקה ושימוש בנשק להשמדה המונית.

רביעית, יתכן כי ההדלפה בוצעה ע"י הסוכנות עצמה, לשם הצגת יכולות התקיפה במרחב הקיברנטי וחיזוק 'מאזן האימה', תוך הדגשה כי היכולות אשר נחשפו בפרשות שונות, כדוגמת אדוארד סנודן משנת 2013, ופרשת 'Equation Group" משנת 2015, מהוות יכולות תקיפה פרימיטיביות ביחס ליכולות הקיימות כיום ברשות הממשל בארה"ב.

חמישית, לאור העובדה כי חלק ניכר מהחברות המפתחות ומייצרות פתרונות בתחום המחשוב כוללות בהסכם השימוש איסור לבצע פעולות תקיפה (לרבות 'הנדסה לאחור'), חברות אלו עשויות לפנות לבית המשפט הפדרלי בארה"ב בבקשה לסעד משפטי כזה או אחר. לחילופין, החברות עשויות לדרוש ביצוע של פעולות חקיקה מתקנות, וזאת כתנאי לאי העברת מרכז הפעילות מחוץ לתחומי ארה"ב. במאמר מוסגר, WikiLeaks טוענים כי כלי התקיפה הוגדרו סווגו כ"כבלתי מסווגים", וזאת על מנת לצמצם את האפשרות להעמדה לדין של מפעיליהם בגין הפרת 'דיני האינטרנט'. לאור זאת, ניתן להסיק כי מעבר להשקעה כלכלית נרחבת בצד הטכנולוגי, ה-CIA השקיע רבות בהתמודדות אפשרית עם הליכים משפטים. בשים לב לתאריכי פרסום Tallinn Manual 2.0, אשר מהווה מסגרת נורמטיבית מקובלת לדיון בסוגיות בנושא לוחמה קיברנטית.

שישית, אם אכן בוצעו פעולות תקיפה כנגד יעדים באירופה, יתכן כי הדבר יביא בשלב כזה או אחר לידי עימות במישור הבינלאומי, לפגיעה בהכנסות בחברות אמריקאיות המתבססות על השוק האירופאי, ולבידודה של ארה"ב ברמה מסוימת. יצויין כי יתכן שזאת אף התוצאה הרצויה עבור הממשל הנוכחי בארה"ב, אשר בכיריו הדגישו מספר פעמים בעבר את הצורך לאמץ 'גישה בדלנית'.

עדכון נכון ל-24.3.2017

בתאריך ה-23.3.2017, ארגון WikiLeaks פרסם את סדרת המסמכים השנייה בסדרת הפרסומים אשר זכתה לקוד 'Year Zero'. החשיפה השנייה, אשר זכתה לכינוי 'Dark Matter' חושפת לטענת WikiLeaks שורה של תקיפות המבוססות על ניצול לרעה של שרשרת האספקה (Supply Chain) ואיום פנימי (Insider Threat). כך לדוגמא, נטען כי מכשירים דיגיטליים מבית חברת Apple היוו יעד מועדף על הסוכנות, וזאת החל משנת 2008, דבר אשר כלל ניצול מספר חולשות מובנות (לרבות חולשות אשר מקורן בהטמנת רכיבים זדוניים) אשר אפשרו מעקף אלגנטי של מנגנוני הגנה מובנים (כדוגמת סיסמת הקושחה).

עדכון נכון ל-1.4.2017

בתאריך ה-31.3.2017, ארגון WikiLeaks פרסם מידע (לרבות קוד מקור) על Marble Framework, אשר מטרתה לצמצם את הזיקה בין כלי התקיפה לסוכנות, דבר אשר כולל בין השאר השתלת מאפייני שפה זרה בקוד כלי המקור של כלי התקיפה. כמו כן, נטען כי שימוש בטכניקות מיסוך מסוג אלו נועד ליצירת סכסוך בינלאומי בין הישות המותקפת, לישות אחרת, אשר תואשם על לא עוול בכפה בתקיפה.

עדכון נכון ל-8.4.2017

בתאריך ה-7.4.2017, ארגון WikiLeak-פרסם סדרה של מסמכים הקשורים ל-Grasshopper Framework. סדרת מסמכים זו, זכתה לקוד Grasshopper' והיא מהווה גל הדלפה נוסף בפרויקט 'Vault 7'. ה-Grasshopper Framework מציג את גישתה של הסוכנות ליצירת כלי תקיפה קיברנטיים מתקדמים, הכוללים יכולת למיקוד התקיפה כנגד יעד איכותי בעל מערכת הפעלה מסוג Linux, Windows ו-HP-UX, וזאת בהתאם לחתך קריטריונים מוגדר (כדוגמת ארכיטקטורת מעבד, גרסת ומהדורת מערכת הפעלה, אפליקציות קיימות ותנאים לוגיים נוספים). כמו כן, ניתן ללמוד כי נעשה שכתוב מחדש של קוד מקור ושיפור יכולות תקיפה אשר גורמי פשיעה משתמשים בהן באופן שכיח (כדוגמת ניצול קוד המקור של כלי תקיפה כנגד מערכות פיננסיות – Carberp).

עדכון נכון ל-11.4.2017

בתאריך ה-10.4.2017 פרסמה חברת Symantec מאמר אשר טוען לקיומו של קשר בין הכלים השונים אשר פורסמו במסגרת 'Vault 7' לקבוצת ריגול בשם Longhorn. יעדי התקיפה של קבוצת הריגול כללו בין השאר חברות וארגונים המתמחים בתחומים מגוונים, כדוגמת אנרגיה, טלקום, ממשל, פיננסים, תעופה, חלל, חינוך ומדע. המיקוד הגיאוגרפי של התקיפות הינו המזרח התיכון, אירופה, אסיה, ואפריקה.

להלן הפנייה לפרסום הרשמי של חברת Symantec.

עדכון נכון ל-14.4.2017

בתאריך ה-14.4.2017, ארגון WikiLeak פרסם סדרה של מסמכים הקשורים לפרויקט בשם 'Hive'. בהתאם לפרסום, הפרויקט כלל הקמה והפעלה של תשתית תקיפה במודל Malware & C&C Server. לשם מיסוך פעילות, שרתי ה-C&C הוטמעו בסביבה לגיטימית של ספק שירותים ו/או חברה קיימת, וזאת תוך מיסוך פרטי ה-DNS Domain, וזאת במטרה להקשות על ההתחקות אחר הגורם אשר רשום כבעל הדומיין. כמו כן, תשתית התקיפה כללה שימוש בפרוטוקול HTTPS, וזאת תוך מימוש פרוטוקול הצפנה ייחודי, דבר אשר צמצם את היכולת של היעד המותקף וספקי שירותי הגנה בסייבר לפענח את התעבורה בין שרת ה-C&C ל-Malware אשר הוטמע ביעד המותקף.

עדכון נכון ל-22.4.2017

בתאריך ה-21.4.2017, ארגון WikiLeak פרסם את מדריך השימוש בכלי Weeping Angel. בהתאם לפרסום, הכלי פותח במקור ע"י MI5/BTSS, ולאחר מכן שופר ע"י הסוכנות. הכלי מאפשר הדלפה של מידע וזאת באמצעות ניצול המיקרופונים המובנים בטלוויזיות החכמות של סמסונג מסדרה F. כמו כן, הכלי ניתן להתקנה ביעד באמצעות ממשק USB, והוא ניתן להסרה בדרך זהה, או לחילופין, למחיקה עצמית לאחר זמן מוגדר.

עדכון נכון ל-29.4.2017

בתאריך ה-28.4.2017, ארגון WikiLeak פרסם את סדרה של מסמכים הקשורים לכלי Scribbles. בהתאם לפרסום, הכלי מאפשר הטמעת אובייקט מוסתר במסמכי אופיס. מטרת האובייקט המוסתר היא לאפשר זיהוי דלף מידע של מסמכים מסווגים, וזאת על-ידי דיווח על השימוש במסמך לשרתי ניטור.

עדכון נכון ל-6.5.2017

בתאריך ה-5.5.2017, ארגון WikiLeak פרסם את סדרה של מסמכים הקשורים לכלי Archimedes. בהתאם לפרסום, הכלי מאפשר מימוש תקיפת MiTM ברשת המקומית, וככל הנראה הוא מהווה וריאציה חדשה של כלי התקיפה מבוסס קוד פתוח – Ettercap.

סוף דבר

ההדלפה של WikiLeaks אומנם לא הציגה עד כה "חידושים ייחודיים", אך עם זאת היא מהווה אתגר לגורמי ממשל וחברות המפתחות ומייצרות פתרונות בתחום המחשוב, אשר ידרשו להתמודד עם השלכות ההדלפה בשנים הבאות. סביר להניח כי ההדלפה רק תאיץ את מרוץ החימוש במרחב הקיברנטי.

איחוד האמירויות: מעצר כנופיה שפרצה לתיבות דוא"ל בבית הלבן

6 אפריל 2017/ב איחוד האמירויות, ארה"ב, ממשל, פריצה /על ידי Tal Pavel

ב-3 באפריל פורסם כי משטרת דובאי עצרה כנופיית האקרים אשר נטען כי פרצה לחמש תיבות דוא"ל של פקידים בבית הלבן.

מפקד מחלקת מידע ופיתוח ביחידה לפשיעה קיברנטית, אמר כי התקבל מידע מהרשויות בבית הלבן לפיו הפורצים, אשר מקורם ככל הנראה באיחוד האמירויות, שלחו הודעות סחיטה וכי השיגו מידע סודי.

לדבריו, קבוצת מומחים מהמחלקה עקבה תוך שעתיים אחר כתובת ה-IP לדירה בה נעצרו על ידי גורמי הבטחון שלושה אנשים. מחקירתם עלה כי היו אלו האקרים מומחים אשר מכרו את המידע שגנבו לכל המרבה במחיר.

מדיניותו של טראמפ בתחום האבטחה הקיברנטית

4 אוקטובר 2016/ב ארה"ב, מדיניות /על ידי Tal Pavel

ב-3 באוקטובר חשף דונלד טראמפ, במהלך נאום שנשא, את מדיניותו בתחום האבטחה הקיברנטית וקרא לארה"ב להשתמש בכלי נשק קיברנטיים התקפיים נגד מדינות וארגוני טרור במטרה לשתקם.

לדבריו "ממשלת ארה"ב צריכה להיות מוכנה להשתמש בכלי הנשק הקיברנטיים ההתקפיים שברשותה במענה למתקפות ממדינות אחרות וכן כדי לתקוף טרוריסטים". במהלך נאומו אמר כי "לארה"ב יש יכולות קיברנטיות התקפיות משמעותיות, אולם היא מתביישת להשתמש בהם, זוהי לוחמת העתיד" והוסיף כי "הנשיא ברק אובמה נכשל בהגנה על האבטחה הקיברנטית של האומה ויש צורך במיקוד חדש".

לדבריו הוא יצור כוח משימה בינלאומי בתחום האבטחה הקיברנטית על מנת להאבק בהאקרים וייוועץ במפקדי הצבא בדבר הדרכים לשיפור ההגנה הקיברנטית של האומה. קבוצה נוספת של מומחים תבחן לדבריו, את כל מערכות האבטחה הקיברנטית של הממשל אשר יאובטחו "כפי שהטכנולוגיה המודרנית מאפשרת. צוות זה יהיה מעודכן באופן קבוע בשיטות חדשות ומתפתחות של תקיפה וינסה לחזות אותן ולפתח הגנה ככל שניתן לפני הפריצה".

הוא קרא לסוכנויות בארה"ב לפעול לפי הפרקטיקות "הטובות והחזקות ביותר" בתחום האבטחה וליצור תוכניות הכשרה חדשות בתחום זה לכל העובדים, וכן לאסטרטגיה התקפית הקוראת לחיזוק פיקוד הסייבר בהתאם להמלצת המטות המשולבים. אולם הוא לא ציין את מקור המימון לתוכנית זו אשר נמסר כי יכולה להסתכם בעשרות מיליארדי דולר. עוד נמסר כי ככלל הוא נמנע מלהתייחס לסוגיות טכנולוגיות בקמפיין שלו.

כמו כן, במהלך נאומו הוא תקף את התנהלותה של הילרי קלינטון בפרשת שימושה בכתובת הדוא"ל הפרטית בעת שכיהנה כמזכירת המדינה בממשל אובמה.

ארה"ב: 20 שנות מאסר להאקר שגנב מידע על 1,351 גורמי צבא וממשל עבור 'המדינה האסלאמית'

25 ספטמבר 2016/ב ארה"ב, המדינה האסלאמית /על ידי Tal Pavel

ב-23 בספטמבר פורסם כי אזרח קוסובו בן 20 בשם Ardit Ferizi, המכונה Th3Dir3ctorY, נידון בארה"ב ל-20 שנות מאסר לאחר שהודה כי פרץ ב-13 ביוני 2015 למערכות מחשב ומסר פרטיהם של 1,351 אנשי ממשל וצבא בארה"ב לידי Junaid Hussain, אשר כונה Abu Hussain al-Britani, איש ארגון 'המדינה האסלאמית', אשר פרסם את המידע ב-11 באוגוסט 2015.

Ferizi נעצר על ידי שלטונות מלאזיה ב-6 באוקטובר 2015 לבקשת ארה"ב ולאחר הסגרתו הודה באשמה ב-15 ביוני 2016.

פעילות BDS בתחומי התרבות, כלכלה וצבא

17 ספטמבר 2016/ב ארה"ב, בריטניה, דה-לגיטימציה, כווית, קנדה /על ידי Tal Pavel

תרבות

מכון Simone de Beauvoir (SdBI) שבאוניברסיטת Concordia קנדה, פרסם ב-13 באפריל הצהרה בדבר תמיכה של הסטודנטים והסגל פה אחד בהחלטה התומכת בקריאה הפלסטינית ל–BDS.
ב-25 באפריל התקיימה הפגנה מול משרדי English PEN בקריאה לארגון לכבד את הקריאה הפלסטינית לחרם תרבותי על ישראל ולהרחיק עצמו מהארגון PEN America אשר שיתף פעולה עם שגרירות ישראל בפסטיבל ספרותי, לצד קריאה לתמוך בסופרים ועיתונאים פלסטיניים "הנרדפים על ידי ישראל".
ב-5 ביולי פרסם ארגון PACBI מכתב ארוך ומפורט ובו קריאה לבמאי פדרו אלמודובר לא להציג את סרטו "חולייטה" בפסטיבל הסרטים בירושלים שהתקיים בתאריכים 7-17 ביולי.
ב-17 ביולי פורסם סרטון וידאו על ידי ארגון International Solidarity Movement (ISM) הקורא לאמן קרלוס סנטנה לבטל את הופעתו הקרובה בישראל.

כלכלה

ב-22 ביוני פרסמה התקשורת בכווית על משיכת השקעות המוסד הציבורי לביטוח חברתי (PIFSS) מחברת האבטחה הבינלאומית G4S בשל "לחץ BDS מתמשך".
ב-15 ביולי התקיימה הפגנה ב– Syracuseשבניו יורק נגד מעורבותה של חברת Remax ב"מכירת בתים בהתנחלויות הבלתי חוקיות".
עצומה של הארגון הבריטי Friends of Al-Aqsa הקוראת לחברת קוקה קולה "לסגת מיידית מההתנחלויות הבלתי חוקיות בגדה המערבית" הואיל ובשל פעילותה בעטרות ובשדמות מחולה היא מפרה את החוק הבינלאומי.

צבא

ב-19 ביוני פורסמה סקירה על פעילותה של חברת אלביט בציוד הגבול בין ארה"ב ומקסיקו בטכנולוגיה המתאימה, לאור פעילותה זו בגבול עם רצועת עזה, בגדה המערבית וברמת הגולן.
בהקשר זה פרסם ארגון (PSNA) The Palestine Support Network Australia Inc. ב-3 ביולי קריאה נגד חברת אלביט ועצומה, עליה חתמו 342 מתוך 500 החתימות המבוקשות, במחאה על שיתוף הפעולה של הארגון האוסטרלי Royal Flying Doctor Service עם חברת אלביט, במהלכו נרכש מדמה טיסה אזרחי.

פעילות לחרם אקדמי, תרבותי וספורטיבי על ישראל

24 אוגוסט 2016/ב ארה"ב, דה-לגיטימציה /על ידי Tal Pavel

קריאה לזמר Pharrell Williams לבטל את הופעתו המתוכננת בישראל ב-21 ביולי (למרות שבהודעה נכתב שהופעתו בחודש ספטמבר).
עמוד פייסבוק הנושא את השם " Carlos Santana, Now That You Know it's Apartheid, Don't Play Israel" הקורא לזמר לבטל את הופעתו המתוכננת בישראל ב–30 ביולי, לצד פניה של ארגון PACBI אשר פורסמה ב–2 במאי.
ב–7 ביוני פורסם כי האגודה האנתרופולוגית האמריקאית (AAA) דנה בסוגיית ההצטרפות לחרם האקדמי על ישראל. הצעה זו נפלה בהפרש זעום של 39 קולות: 50.4% למול 49.6%. זאת לצד חתימת 1,300 אנתרופולוגים על עצומה הקוראת להחרים מוסדות אקדמיים ישראליים.
ב–29 במאי פורסמה קריאה של ארגון PACBI לשליח המיוחד של האו"ם למניעת השמדת עם, Adama Dieng, להמנע מלהשתתף בועידה של (International Network of Genocide Scholars (INoGS אשר תתקיים בירושלים ב–26-29 ביוני.
ארגון US Campaign for the Academic and Cultural Boycott of Israel (USACBI) פרסם כי זוכה פרס פוליצר לשנת 2016, Viet Thanh Nguyen, מאמץ את החרם האקדמי והתרבותי על ישראל.
ב–22 במאי פורסמה סקירה על אודות חרם ספורטיבי על ישראל, תוך התייחסות לפעילות זו בתחום הכדורגל.

סנטורים בארה"ב "העברת ניהול שמות המתחם משטח ארה"ב, תפגע בזכויות האדם באיראן ובסין"

13 יולי 2016/ב איראן, ארה"ב, זכויות דיגיטליות, סין, תשתיות /על ידי Tal Pavel

ב–19 במאי פורסם כי סנטורים בארה"ב מזהירים שכוונת ממשל אובאמה למסור את השליטה על הסוכנות האחראית על ניהול פעילויות חיוניות באינטרנט, עשויה להוביל להפרת זכויות אדם באיראן ובסין.

בחודש מרץ התקיימה פגישת ICANN במרוקו (ICANN55) בה הוחלט לסיים את תוכנית ההעברה, כאשר השלב הבא הוא שפקידי מחלקת המסחר של ארה"ב יאשרו את התוכנית, תהליך אשר צפוי להסתיים במהלך החודש הקרוב. אכן, הממשל פועל מזה מספר שנים למסור את השליטה בגופים דוגמת ICANN המנהל את שמות המתחם באינטרנט ואשר מקום מושבו בקליפורניה, ומקווה לסיים זאת לפני תום כהונת הנשיא אובאמה.

אולם צעד זה זוכה להתנגדות בקונגרס, בין השאר במכתב ששלחו הסנטורים טד קרוז (Ted Cruz), ג'יימס לנקפורד (James Lankford) ומייק לי (Mike Lee) למזכירת המסחר פני פריצקר (Penny Pritzker) ובו נכתב כי "ההצעה תגדיל משמעותית את עוצמת ממשלות זרות באינטרנט, תרחיב את משימת הליבה ההסטורית של ICANN באמצעות יצירת גישה לפיקוח על תכנים, ועידוד הנהלתו לפעול ללא דין וחשבון אמיתי".

אלו ציינו כי איראן, בתמיכת נציגי ארגנטינה וברזיל, כבר הביעה תמיכתה בהעברת מתקנים רגולטוריים מחוץ לשטח ארה"ב, ברגע שההסכם יחתם, והוסיפו, "חשפנו כי המשרד בסין של ICANN ממוקם למעשה באותו הבניין של מנהל המרחב הקיברנטי של סין, אשר היא הסוכנות המרכזית במשטר הצנזורה של ממשל סין". לדבריהם מספר חברות אמריקניות המעורבות בתהליך ההעברה כבר "הראו נכונות להשלים" עם הדרישה הסינית לסייע בחסימת תכנים במדינה, "גם אם הדבר אינו בלתי חוקי, הוא מעלה חששות משמעותיים בדבר הגדלת ההשפעה של ממשלות".