מי הן יחידות הקומנדו הטובות בעולם?

בלי הפוזה הלוחמנית והרטובה של השייטת ובלי תמונות על ג'יפים מאובקים אי שם ■ אלו הן היחידות הטובות בעולם בפעילות במרחב הקיברנטי

לביא לזרוביץ
לביא לזרוביץ
אימון שערכו לוחמים בשבוע שעבר להשתלטות על יעד אסטרטגי
אימון שערכו לוחמים בשבוע שעבר להשתלטות על יעד אסטרטגיצילום: עמית אלקיים / דובר צה"ל
לביא לזרוביץ
לביא לזרוביץ

עד לא מזמן סקירה של יחידות הקומנדו הטובות בעולם היתה מלווה בתמונות של לוחמים עמוסי ציוד ונשק בפוזה לוחמנית. תמונה של לוחמים ברגע יציאתם ממים עמוקים המכוונים את נשקיהם ישירות למצלמה או תמונה של לוחמים לבושי שחורים וכיסויי ראש ברגע פריצת דלת, היו תמונות שגורמות לכל מלש"ב (מיועד לשירות ביטחון) להזיל ריר.

בשנים האחרונות התמונות הללו השתנו. יחידות הקומנדו החדשות, אלו שחודרות למתקנים הרגישים ומחזיקות בנשקים המתקדמים ביותר, הן יחידות עם לוחמים מסוג שונה הסוג הדיגיטלי.

הלוחמים הללו יושבים שעות מול המסך ומנהלים את המבצעים הרגישים ביותר במטרה לשים את היד על מידע אישי של גורמי ממשל ומערך המודיעין, על כסף או במקרים אחרים לגרום נזק לצנטריפוגות. אלו כמובן רק דוגמות קטנות מכמה מהמבצעים אותן ביצעו יחידות קומנדו מהבולטות בעולם הקיברנטי, ובהמשך תוכלו למצוא את הסיפור של כמה מהיחידות הללו.

Equation Group

הקבוצה הידועה בשם Equation Group היא בעצם לא אחרת מאשר היחידה למבצעים רשתיים מיוחדים (Tailored Access Operations – TAO) של ה-NSA בארה"ב. היחידה אמונה על איסוף מידע במרחב הקיברנטי והיא אחת הקבוצות החזקות ביותר בעולם בתחום.

היחידה היתה שותפה בפיתוח אחת התולעים המתוחכמות ביותר שפותחו, הידועה בשם Stuxnet, שבסופו של דבר גרמה נזק לכור הגרעיני האיראני בנתנז. בנוסף לכך, היחידה ככל הנראה לקחה חלק במבצע Operation Socialist, בו היחידה חברה לארגון הביון הבריטי (GCHQ) כדי לחדור לתשתית התקשורת של חברת תקשורת בלגית, Belgacom.

למה דווקא Belgacom? יש לכך שתי סיבות. האחת היא סיבה משפטית - גם ה-GCHQ וגם TAO מוגבלות מבחינה משפטית ואינן יכולות בעצם לנצל את עצם העובדה שגם בארה"ב וגם באנגליה יש תשתית תקשורת עשירה ונגישה לביצוע האזנות או שאיבת תקשורת אינטרנטית בין לאומית בכמויות אדירות. לכן, תקשורת של מדינה שלישית היא פתרון נוח שמאפשר לעקוף את המגבלות החוקיות. הסיבה השנייה היא נפח תקשורתBelgcaom היא אחת מחברות התקשורת הגדולות בעולם ויש לה מספר רב של שיתופי פעולה עם חברות תקשורת בעולם שמאפשרים למשתמשים שאינם אירופאים, "לנדוד" עם חבילת התקשורת שלהם היישר לתשתיות של Belgacom באירופה מושלם.

ב-2013 אדוארד סנודאן חשף מספר רב של תוכניות מעקב וריגול (בניהם גם תוכנית הפריצה ל-Belgacom) שחלקן הופעלו על ידי ה-NSA וחלקן על יד TAO. בנוסף, ב-2016, קבוצה הקוראת לעצמה Shadow Brokers, טענה שהצליחה לשים את היד על כלים שפותחו על ידי TAO ופירסמה חלק מהן (ניתן למצוא את הכלים במאגר הקוד הזה ב-GitHub). הכלים האלו מהווים הוכחה נוספת לעוצמה הטכנולוגית של TAO.

מאפיינים מרכזיים:

  • נגישות רחבה לתשתיות תקשורת בין לאומיות המאפשרת גישה למידע רב
  • שימוש בפרוטוקולי הצפנה מתקדמים להגנה על מאמצי ההתקפה
  • משאבי פיתוח ומחקר עצומים

Cozy Bear

קבוצת Cozy Bear היא ככל הנראה חלק ממערך הביון של הדב הרוסי ומטרתה בדומה ל-Equation Group, היא בין היתר, לאסוף מידע במרחב הקיברנטי. לקבוצה יש לא מעט אותות קרב ממספר לא קטן של מבצעים, כאשר הבולטים בהם כוללים הפלת תשתיות חשמל באוקראינה ופריצה לרשת המחשוב של המפלגה הדמוקרטית בארה"ב.

בדצמבר 2015 הקבוצה פעלה בחזית הרוסית-אוקראינית במטרה להשתלט ולהפיל את תשתית החשמל באוקראינה. הקבוצה הצליחה לחדור לרשת המחשבים של מספר תחנות כח על ידי שליחת phishing email לעובדי תחנות הכח.

הדוא"ל שנשלח לעובדים כלל קובץ עם הנחיות לפעולה בזמן תרגילים צבאיים, שהתרחשו בתדירות די גבוהה לאור המתיחות. הקובץ כלל כמובן גם קטע קוד עוין (מבוסס macro) שרץ ברגע שהעובד פתח את הקובץ וכך בעצם איפשר לתוקפים אחיזה ראשונית ברשת. לאחר מספר שבועות בהם הקבוצה השתלטה על הרשת כולה וחדרה למערכת השליטה בתחנות הכח, הקבוצה פשוט הורידה את השאלטר.

במקביל, כדי למנוע מהמהנדסים בתחנות הכח להחזיר את החשמל, התוקפים הפעילו קוד המכונה wiper שמפרמט את המערכת והופך את המחשבים ויחידות הבקרה לקופסות מתכת לא שמישות. על כן, האוקראינים נאלצו לעבור למצב פעולה ידני, שמאפשר הפעלה או כיבוי של המערכות על ידי פעולה מכנית ידנית. בסופו של דבר החשמל חזר לאחר 5 שעות זמן ארוך בהתחשב בעובדה שהטמפרטורות נעות בין 4- ל-10- מעלות צלזיוס בחודש דצמבר באזור זה.

כאמור מבצע נוסף של הקבוצה שם על הכוונת את המפלגה הדמוקרטית של ארה"ב. ב-2016 הקבוצה חדרה לרשת של המפלגה וחשפה כ-20 אלף תכתובות דוא"ל שפורסמו לאחר מכן ב-WikiLeaks. ההדלפה, שהגיעה מספר חודשים לפני הבחירות לנשיאות, הביכה את המפלגה הדמוקרטית וככל הנראה נועדה כדי לקדם את המועמד הרפובליקני, שהיום מכהן כנשיא ארה"ב, דונאלד טראמפ.

מאפיינים מרכזיים:

  • פעילות המתרכזת בעיקר לצרכי ריגול וקידום אינטרסיים רוסיים, לעיתים בעלת פרופיל גבוה החושפת את הפעילות (למשל: הפלת תשתיות חשמל)
  • שימוש ברשתות חברתיות לשליחת פקודות לנכסים או רשתות נגועות כדי להסתיר את מקור הפעילות

Deep Panda

קבוצת Deep Panda מהווה חלק ממערך הסייבר של המעצמה הסינית העולה. הקבוצה הזו ככל הנראה היא הקבוצה הגדולה ביותר מבחינת כמות אנשים והיקף הפעילות שלה בשנים האחרונות הוא בלתי נתפס.

יחד עם המאמצים וההשקעה של סין במחקר ופיתוח שנועדו להדביק את הפערים הטכנולוגיים בינה לבין המערב, Deep Panda פועלת לצמצם אותם על ידי ריגול תעשייתי ומדיני. הקבוצה היתה אחראית על מספר פריצות לרשתות המחשבים ומסדי הנתונים של הממשל בארה"ב משרד הפנים (DOI), חברות ביטוח - Anthem, חברות טכנולוגיות - Google וחברות המפתחות טכנולוגיות צבאיות Lockheed Martin, המחזיקות בכמויות מידע עצומות ורגישות במיוחד.

אחד המבצעים הבולטים של הקבוצה הסתיים בגניבה של כ-20 מיליון פרטים מזהים של עובדי ממשל בארה"ב וכ-5 מיליון טביעות אצבע, לאחר שמסד הנתונים של משרד הפנים האמריקאי נפרץ (מסדי הנתונים הכילו טפסי סיווג בטחוני, שכמו שרובנו מכירים, מפורטים וארוכים כאורך הגלות). כתוצאה מהתקיפה, האמריקאים נאלצו להחזיר לארצם רבים מן הנכסים המודיעיניים שלהם, בין השאר גם סוכנים שפעלו בחשאי, לאור המידע שעלול היה לחשוף אותם ואת הפעילות שלהם ביעדם.

מאפיינים מרכזיים:

  • פעילות אינטנסיבית המתרכזת בעיקר בריגול מדיני ותעשייתי
  • שימוש בשיטות וכלי תקיפה פומביים ופשוטים (ביחס לקבוצות המקבילות)

Lazarus Group

פעילות התקפית במרחב הקיברנטי, בדומה ללוחמת גרילה, מאפשרת לחימה א-סימטרית בין יריבים שאינם שווי כוחות מבחינת עוצמה צבאית וכלכלית. את העובדה הזו הדיקטטורה הצפון קוריאנית הפנימה ומימשה באמצעות יחידת הסייבר של הממשל, Lazarus group.

מצעד צבאי
מצעד צבאי בצפון קוריאהצילום: Wong Maye-E/אי־פי

לאור העובדה שהדיקטטורה היתה עד לא מזמן מבודדת ובמצב כלכלי רעוע, חלק מפעילות הקבוצה הוקדש לפריצות למוסדות פיננסים לצורך העברת סכומי כסף גדולים לחשבונות המנוהלים על ידי צפון קוריאה. ב-2016, הקבוצה ככל הנראה היתה מעורבת בפריצה לבנק בבנגלדש שמטרתה היתה העברת כמיליארד דולר לחשבונות הנשלטים על ידי הקבוצה. התקיפה בסופו של דבר הסתיימה בהעברתם של 81 מיליון דולר "בלבד", לאחר שזוהתה שגיאת כתיב באחת הדרישות להעברת הכספים שנעשו בשם הבנק שנפרץ וכמובן שלא בידיעת אף גורם בבנק.

קבוצת Lazarus היתה גם ככל הנראה מעורבת בתקיפה עלSony Pictures Entertainment שמימנה והפיקה את הסרט The Interview בכיכובו של סת' רוגן. מבלי לעשות ספוילר לאלה מכם שמתכננים לראות את הסרט (בנימה אישית לא מומלץ), העלילה מספרת את סיפורם של שני כתבים שצפויים להיפגש עם המנהיג הצפון קוריאני, קים ג'ונג און, ומגויסים על ידי ה-CIA להתנקש בדיקטטור.

הדיקטטור ככל הנראה לא אהב את הרעיון וקבוצת Lazarus קיבלה משימה לפגוע ב-Sony Pictures. הקבוצה הצליחה לחדור לרשת ולשים את היד על חומרי הסרט ועל חומרי סרטים אחרים שטרם שוחררו. בנוסף, הקבוצה השיגה תכתובות דוא"ל של בכירים ב-Sony. פרסום ההתכתבויות, שהכילו גם פרטים צהובים על משכורות שחקנים ורכילות "עסיסית", הביאו בסופו של דבר לפרסום מוקדם של הסרט ולהתפטרותו של מנכ"ל Sony Picture.

הסרט שהרגיז את הדיקטטור הצפון קוריאני

מאפייני פעילות:

  • בשונה מהקבוצות המקבילות, הקבוצה פועלת לעיתים ממניעים פיננסיים פריצה לבנקים או הפצת תוכנות כופרה.
  • שימוש בשיטות וכלי תקיפה פומביים ומוכרים

הקבוצות המתוארות מעלה ואחרות, כולל הקבוצות הישראליות שלא תוארו כאן וכמובן נחשבות כקבוצות מובילות עם לא מעט הישגים, הן יחידות הקומנדו המשמעותיות והעוצמתיות בעולם. על אף שהלוחמים אל מול המסכים נראים הרבה פחות לוחמניים מאלו היוצאים עם הנשק מהמים, המבצעים של הקבוצות הללו מסתיימים לעיתים בהיעלמות סכומי עתק, בגניבת מידע רגיש כמו תוכניות מטוס F-35 או בהטיית תוצאות בחירות.

אם הייתי צריך לבחור קבוצה אחת שלדעתי תוביל את רשימת הקבוצות מבחינת פיתוח יכולות טכנולוגיות והצלחות בשטח, הייתי הולך עם Deep Panda. לקבוצה יש עוצמה טכנולוגית שתאפשר להם לצמצם פערים עם קבוצות עתירות משאבים ובנוסף, הממשל בסין יאפשר לקבוצה גמישות פעולה וגישה לתשתיות שלא יהיו זמינים לקבוצות מערביות לאור הגבלות משפטיות או בקיצור דמוקרטיה. זה ההימור שלי.

לביא לזרוביץ | |קופסה שחורה

קופסה שחורה - בלוג על אבטחת מידע, פרטיות ברשת וקריפטוגרפיה.

לביא לזרוביץ עומד בראש קבוצת מחקר העוסקת בחקר אבטחת מידע התקפי והגנתי במעבדות של סייברארק. בעברו שירת לזרוביץ כ-12 שנה כקצין מודיעין וכטייס בחיל האוויר.

לביא קורא, לומד, חוקר וכותב על אבטחת מידע - ובזמנו הפנוי הוא גם אבא של כפיר וארבל ונשוי לנטלי.

תגובות

הזינו שם שיוצג כמחבר התגובה
בשליחת תגובה זו הנני מצהיר שהינני מסכים/ה עם תנאי השימוש של אתר הארץ