משחר ההיסטוריה של מתקפות הסייבר: התקפה בת 20 שנה עדיין פעילה היום
מאת: מערכת Telecom News, 3.4.17, 19:25

התקפות ריגול הסייבר של Moonlight Maze היכו גלים בארה"ב בסוף שנות ה-90. שני עשורים מאוחר יותר, חוקרים חשפו את כלי ההתקפה המקוריים ומצאו שהם עדיין מסוכנים.

חוקרי מעבדת קספרסקי וקינגס קולג' בלונדון, שחיפשו קשר בין שחקני איום מודרניים לבין התקפות של Moonlight Maze על גופי הביטחון ה אמריקאים - הפנטגון, נאס"א ואחרים בסוף שנות ה-90, חשפו דוגמיות, לוגים וממצאים, ששופכים אור על ה-APT העתיק. הממצאים הראו, שדלת אחורית, ששימשה ב-Moonlight Maze ב-1998 כדי לתעל מידע אל מחוץ לרשתות של קורבנות, קשורה לדלת אחורית, שנמצאה ב-Turla  ב-2011 וייתכן שאף ב-2017.  הקשר בין Turla ו-Moonlight הוכח, והוא מעמיד את הגורם שמאחוריהם כשחקן הוותיק ביותר בשוק, לצד קבוצת Equation , ששרתי הפיקוד והשליטה של האחרונה מתוארכים ל-1996.

דו"חות עדכניים על Moonlight Maze מראים כיצד, החל מ-1996, רשתות ממשלתיות ורשתות של צבא ארה"ב וכן של אוניברסיטאות, מכוני מחקר ואפילו מחלקת האנרגיה האמריקאית, זיהו פריצות במערכות שלהם. ב-1998 פתחו ה-FBI ומחלקת ההגנה האמריקאית בחקירה מקיפה. הסיפור הפך לציבורי ב-1999, אבל עדויות רבות נותרו חסויות, מה שהותיר את הפרטים אודות Moonlight Maze אפופים במסתורין.

במהלך השנים, החוקרים המקוריים של הפרשה ב-3 מדינות שונות ציינו, ש- Moonlight Maze התפתחה והפכה ל-Turla - שחקן איום דובר רוסית המוכר גם כ- Snake, Uroburos, Venomous, Bear ו- Krypton. הסברה הנפוצה היא, ש-Turla פעילה מאז 2007.

דוגמיות CupBoard

ב- 2016, במהלך מחקר עבור הספר שלו  "עליית המכונות" (Rise of the Machines), איתר תומס ריד מקינגס קולג' בלונדון מנהל מערכת לשעבר, ששרת בארגון שלו נחטף כדי לשמש כפרוקסי עבור תוקפי Moonlight Maze. השרת, HRTest, שימש לצורך הוצאת התקפות על ארה"ב. איש ה-IT, שנמצא כעת בגמלאות, שמר על השרת המקורי ועל עותקים של כל דבר הקשור להתקפות, ומסר אותם לקינגס קולג' ולמעבדת קספרסקי לצורך ניתוח נוסף.

חוקרי מעבדת קספרסקי, חואן אנדרס גוארו-סעד וקוסטין ריאו, יחד עם תומס ריד ודני מור מקינגס קולג', בילו 9 חודשים בניתוח טכני עמוק של דוגמיות אלו. הם שחזרו את הפעילות, הכלים והטכניקות של התוקפים, וערכו חקירה מקבילה כדי לראות אם הם יכולים להוכיח את הטענה לגבי הקשר עם Turla.

Moonlight Maze הייתה התקפה מבוססת יוניקס בקוד פתוח נגד מערכות סולאריס, והממצאים מראים, שהיא עשתה שימוש בדלת אחורית המבוססת על LOKI2 (תוכנה, שפורסמה ב-1996 ומאפשרת למשתמשים לחלץ נתונים דרך ערוצים סמויים). הדבר הוביל את החוקרים לבצע בחינה נוספת של חלק מהדוגמיות הנדירות, ששימשו את ,Turla שנחשפה ע"י מעבדת קספרסקי ב-2014. נמצא, שתחת השם Penquin Turla, גם דוגמיות אלו התבססו על LOKI2. יותר מכך, הניתוח החוזר מראה, שכולן עשו שימוש בקוד, שנוצר בין 1999 ל-2004.

באופן יוצא דופן, קוד זה עדיין משמש בהתקפות. הוא זוהה פעיל בשטח ב-2011 במסגרת התקפה על Ruag, קבלן של מערכת הביטחון בשוויץ, ויוחס לקבוצת  Turla. לאחר מכן, במרץ 2017, חוקרי החברה חשפו דוגמיות חדשה של Penquin Turla, שהגיעה ממערכת בגרמניה. אפשרי, ש-Turla משתמשת בקוד ישן לצורך התקפות על ישויות מאובטחות מאוד, שקשה לחדור אליהן באמצעות כלים סטנדרטיים יותר של חלונות.

הקבצים של Moonlight Maze, שנחשפו לאחרונה, מגלים פרטים מרתקים לגבי הדרך בה ההתקפות נערכו באמצעות רשת מורכבת של פרוקסים, ועל בסיס רמה גבוהה של יכולות וכלים, שהיו ברשתו התוקפים.
 
חואן אנדרס גוארו-סעד, חוקר אבטחה בכיר, צוות מחקר וניתוח בינלאומי, מעבדת קספרסקי: "בשנות ה-90 המאוחרות, אף אחד לא צפה את ההיקף והעוצמה של מתקפות ריגול סייבר מתואמות. אנו צריכים לשאול את עצמנו מדוע התוקפים עדיין מסוגלים למנף בהצלחה קוד עתיק שכזה בהתקפות מודרניות. האנליזה של דוגמיות Moonlight Mazeאינה רק מחקר ארכיאולוגי מרתק, היא גם תזכורת, שיריבים עם אינם הולכים לשום מקום, ועלינו מוטלת המשימה להגן על מערכות עם אותה רמה של כישורים".
 
מידע נוסף על רצף ההתקפה והטיפולוגיה שלה ניתן למצוא בוידיאו - כאן.

מסמך בסיס המחקר - כאן