בעבר, היה קל להבחין בין פשעי סייבר לבין פעילות זדונית בחסות מדינה. פושעי הסייבר פעלו מתוך מניע רווח בלבד, ואילו עמיתיהם הממשלתיים עסקו בעיקר בקמפיינים של ריגול סייבר, ובמתקפות הרסניות מדי פעם, כדי לקדם מטרות גיאופוליטיות של מעסיקיהם. עם זאת, בחודשים האחרונים, קו זה החל להיטשטש, במיוחד בכל הנוגע לכופרות - מגמה שצוינה גם בדוח האיומים האחרון של ESET.
למגמה זו עשויות להיות השלכות משמעותיות עבור תחום ה-IT והאבטחה - לא רק בהגדלת הסיכון להתקפה, אלא גם בשינוי אופן ההתמודדות והפחתת הסיכון.
הגבול בין פעולות בחסות מדינה לבין פשעי סייבר למטרות רווח מטשטש מאז ועד היום. כפי שהערנו בעבר, סוחרי דארקנט רבים מוכרים ניצול חולשות ותוכנות זדוניות לגורמים מדינתיים, בעוד שממשלות מסוימות שוכרות האקרים פרילנסרים כדי לסייע בפעולות שונות.
מגמות אלו נראות כמאיצות את עצמן. לאחרונה ESET וגופים נוספים הבחינו בכמה מניעים מרכזיים:
- שימוש בכופרות למימון קופת המדינה. האקרים ממשלתיים משתמשים בכופרות ככלי מכוון ליצירת רווחים עבור המדינה. דוגמה מובהקת לכך היא צפון קוריאה, שבה קבוצות איומים מתמקדות גם בחברות קריפטו ובבנקים בביצוע מעשי שוד מתוחכמים. למעשה, מעריכים שהם הרוויחו כ-3 מיליארד דולר מפעילות זו בין 2017 ל-2023. במאי 2024, מיקרוסופט הבחינה בקבוצת Moonstone Sleet המקושרת לפיונגיאנג, מפעילה כופרה מותאמת אישית בשם "FakePenny" ברשתות של מספר ארגונים בתחום התעופה והביטחון, לאחר שגנבה תחילה מידע רגיש. "התנהגות זו מצביעה על כך שלשחקן היו מטרות גם לאיסוף מודיעין וגם למוניטיזציה של הגישה," נאמר.
- הכנסה צדדית. מניע נוסף למעורבות מדינות במתקפות כופרה הוא מתן אפשרות להאקרים ממשלתיים להרוויח כסף כעבודה צדדית. דוגמה לכך היא קבוצת Pioneer Kitten האיראנית המכונה גם Fox Kitten, UNC757, ו- Parisiteשנצפתה על ידי ה- FBIכשהיא משתפת פעולה ישירות עם קבוצות כופרה לצורך ביצוע הצפנות בתמורה לאחוזים מתשלומי הכופר.
- טשטוש עקבות. קבוצות APT הקשורות למדינות משתמשות גם בכופרות כדי לטשטש את הכוונות האמיתיות של מתקפותיהן. כך עשתה, ככל הנראה, קבוצת ChamelGang הסינית המכונה גם CamoFei, בקמפיינים רבים שכוונו לארגוני תשתיות קריטיות במזרח אסיה ובהודו, כמו גם בארה"ב, רוסיה, טאיוואן ויפן.
האם יש חשיבות לזהות התוקף?
ברור מדוע קבוצות בחסות מדינה משתמשות בכופרות. לפחות, זה מספק להן כיסוי שימושי של הכחשה סבירה שמבלבלת חוקרים. במקרים רבים, השימוש בכופרות גם מגדיל את הכנסות המדינה ומעודד האקרים ממשלתיים, שלעיתים קרובות הם לא יותר מפקידי ציבור בשכר נמוך.
השאלה הגדולה היא האם באמת משנה מי עומד מאחורי ההתקפה. מיקרוסופט אף חשפה ראיות לכך שסוכנויות ממשלתיות מבצעות מיקור חוץ רחב היקף של העבודה שלהן - אם כי במקרה של Storm-2049 לא היה מעורב שימוש בכופרות.
שתי גישות לנושא
מצד אחד, העקרונות הבסיסיים של אבטחת מידע נשארים רלוונטיים, והם עשויים להיות דרך אפקטיבית להגביר עמידות ולהאיץ תגובה לאירועים - ללא תלות בזהות התוקף. למעשה, אם קבוצות APT הקשורות למדינות משתמשות בטקטיקות, טכניקות ופרוצדורות של פשעי סייבר, הדבר עשוי להועיל לצוותי האבטחה, שכן אלו נוטים להיות קלים יותר לזיהוי ולהגנה בהשוואה לכלים מותאמים אישית ומתוחכמים.
מצד שני, יש טענה שמדגישה את החשיבות של הבנת זהות היריב כאבן יסוד לניהול האיום שהוא מציב: אחד המרכיבים החיוניים בניתוח סיכוני סייבר הוא הגדרת מודל התוקף. מודל התוקף, או פרופיל התוקף, משפיע על תוצאות ניתוח הסיכון, ולבסוף על בחירת אמצעי ההגנה למערכת המידע.
עם זאת, גם אם זהות התוקף אינה ידועה, עדיין ניתן לצמצם את ההשפעה של מתקפות כופר.
10 צעדי פרקטיקה מומלצים מחברת אבטחת המידע ESET
- שיפור המודעות לאיומי הנדסה חברתית באמצעות הכשרות.
- הגנה על חשבונות באמצעות סיסמאות חזקות ואימות רב-שלבי.
- הפרדת רשתות לצמצום נזקי התקפות ולמניעת תנועה רוחבית.
- ניטור מתמשך לאיתור התנהגות חשודה EDR או MDR.
- בדיקות תקופתיות של אמצעי אבטחה, מדיניות ותהליכים לשיפור מתמיד.
- ניהול פרצות ופגיעויות בעזרת כלים מתקדמים.
- הגנה על נתונים רגישים באמצעות תוכנות אבטחה רב-שכבתיות למכשירים השונים.
- השקעה במודיעין איומים מגורם אמין.
- גיבויים תקופתיים בהתאם להנחיות המומחים.
- תכנון אסטרטגיית תגובה לאירועים ותרגולה באופן תקופתי.