אתר אבטחת המידע של גוגל עוזר לפיתוח וירוסים
VirusTotal משמש ככלי עבור מפתחים ואנשי אבטחת מידע לזיהוי איומי סייבר, וירוסים ונוזקות. אולם גם האקרים למדו להשתמש בו על מנת לעקוף את תוכנות האבטחה
VirusTotal של גוגל משמש בימים כתיקונם לזיהוי וירוסים ונוזקות עבור מפתחים ואנשי אבטחת מידע. אולם חוקר מתחום הסייבר מצא כי האתר הפך גם לכלי עבודה שימושי מאוד עבור קבוצות האקרים בתהליך פיתוח הנוזקות. על פי דיווח של Wired, החוקר ברנדון דיקסון זיהה לפחות שלוש קבוצות האקרים גדולות שמשתמשות ב-VirusTotal על בסיס יומיומי.
- AVG רוכשת חברת אבטחת מידע לסלולר ב-220 מיליון דולר
- CYBERTINEL הישראלית חשפה רשת ריגול סייבר בינלאומית
- האקרים מרוסיה פרצו לג'יי.פי מורגן ולבנקים גדולים נוספים
האתר VirusTotal עלה לאוויר כבר ב-2004, ונקנה על ידי גוגל ב-2012. הוא משמש ככלי גישה לעשרות שירותי זיהוי נוזקות מקוונים של חברות כגון קספרסקי, סימנטק, F-Secure או AVG. החשד על השימוש בו בידי האקרים כבר הועלה לפני זמן רב, אך עד כה לא נמצאו לכך סימוכין. דיקסון טוען כי הצליח לזהות מספר קבוצות האקרים ידועות ואף התחקה בהצלחה אחר תהליך פיתוח נוזקה עד לשלב בו היא שימשה לתקיפה של מטרה.
"תהליך הזיהוי היה קשה מאוד. לא ידעתי איך מזהים תוקף", הסביר דיקסון בראיון. על מנת לזהות את התוקפים דיקסון פיתח כלי אנליזה למטא-דאטה, אותו מידע מוכמן שמסתתר מאחורי כל כל סוג של תקשורת ממוחשבת ושזמין למשתמשי השירותים המקצועיים של VirusTotal. לאחר הניתוח של המידע מצא דיקסון שקבוצות ההאקרים שמשתמשות ב-VirusTotal מגיעות אפילו מכאלה המזוהות עם פעילות סייבר של מדינות.
שניים סינים ואיראני
שתיים מהקבוצות שזיהה דיקסון היו סיניות. אחת מהן שמכונה בקרב אנשי מקצוע APT1, אף מזוהה כמקורבת לשלטונות סין ועל פי החשד הייתה אחראית לפריצות לחברות בינלאומיות כגון RSA, קוקה קולה ועוד מאות חברות מאז תחילת פעילותה ב-2006. לאחרונה החלה הקבוצה לתקוף מטרות תשתית כגון חברת Telvent המייצרת בקרים וציוד שליטה עבור תשתיות חשמל, מים ואנרגיה בארה"ב.
דיקסון גם הצליח להתחקות אחר קבוצה סינית שנייה המכונה NetTraveler. קבוצה זו מתמחה בתקיפת מטרות רשמיות, כגון: נציגויות דיפלומטיות, ארגונים ממשלתיים ואף מטרות צבאיות. בנוסף קבוצה זו ידועה בפעילות שהיא מנהלת כנגד מטרות בדלניות כגון משרד הדלאי לאמה ותומכי טיבט והמיעוט האויגורי המוסלמי. הקבוצה השלישת שדיקסון זיהה הייתה דווקא איראנית, אם כי לא ברור אם מדובר בהאקרים בשליחות ממשלתית או עבריינים.
ההתחקות אחר ההאקרים הניב לבסוף הצצה בזמן אמת לתהליך פיתוח נוזקה עד לרגע בו היא נשלחת ליעדה. כלי המעקב של דיקסון איפשר לו לזהות בכל פעם את הבדיקות שעשו ההאקרים לקוד שלהם, כולל הכוונון שאיפשר לנוזקה לחמוק ביעילות גוברת ממספר גדול יותר ויותר של מנועי זיהוי נוזקות. לבסוף, כאשר הנוזקה הצליחה לעבור מתחת לרדאר של כל המנועים, היא נעלמה וצצה לאחר מספר חודשים כאשר איש אבטחה של אחד מהקורבנות הריץ שאילתה לזיהויה ב-VirusTotal.