המיתוס: הסוללה נגמרת? יש לכם רוגלה
"כדי להבין אם יש רוגלה, צריך קודם כל לשאול מה המטרה. בסוף, המטרה של רוגלה היא לגנוב מידע – קבצים, תמונות, שיחות. אבל צריך להסתכל על זה במדרג. יש רוגלות שהן למעשה כלי בקרה לגיטימיים, כמו Parental Control (בקרת הורים) או מערכות ניהול של מקומות עבודה (MDM).
כשאני מתקין תוכנה לגיטימית לבקרת הורים, אני רוצה לשלוט על מה הילד רואה, לחסום אפליקציות, לראות איפה הוא. הפעולות האלו נעשות 'ברעש'. אני רוצה שהמשתמש ידע שאני שם. התוכנות האלו אכן עשויות לגמור את הסוללה מהר יותר, כי הן צורכות משאבי מעבד וחשמל באופן גלוי. אבל כשמדברים על רוגלות זדוניות ברמה של APT (Advanced Persistent Threat) או תקיפות מדינתיות – הסיפור שונה לחלוטין. רוגלה כזו לא גומרת את הסוללה. היא מתוכננת לא להרגיש אותה. התוקף לא רוצה שתדעי שהוא שם. במקרים רבים, הרוגלה אפילו מוחקת את עצמה אחרי 30 יום אם היא לא מקבלת פקודות, כדי להעלים עקבות. המטרה היא לגנוב את המידע ולהיעלם, לא להישאר בטלפון ולחמם אותו. לכן, הסימנים כמו 'בטריה שנגמרת' רלוונטיים אולי לנוזקות פשוטות או כלים לגיטימיים, אבל לא לכלים המתוחכמים שעליהם מדברים בדוחות המודיעין".
המציאות: רכיב סודי ו-11,000 שורות קוד מוצפנות
"בואי נסתכל על מחקר שעשינו ב-2023, שם זיהינו פעילות רוגלה על מכשירים של בכירי קספרסקי עצמם. זה התחיל מזה שזיהינו תעבורת רשת חשודה. כשצללנו פנימה, גילינו משהו מדהים שממחיש את המורכבות. בטלפונים המדוברים (iOS), גילינו שיש רכיב חומרה (צ'יפ) על לוח האם (Motherboard) שאף אחד לא ידע למה הוא שם. אין לו תיעוד רשמי. ייתכן שזה רכיב שנועד לדיבאגינג (ניפוי שגיאות) על ידי המהנדסים בפס הייצור ונשאר שם, או שהוא מיועד למוצרים עתידיים. אבל בפועל, מבחינת מיפוי הזיכרון של המכשיר, הרכיב הזה היה שם כ"שטח מת".
הרוגלה ניצלה את קיומו של הרכיב הזה. אנחנו מדברים על קוד עצום – כ-11,000 שורות קוד! ולא סתם קוד, אלא קוד שעבר תהליך של XOR (סוג של הצפנה/ערבול), כך שהוא לא קריא ("Clear Text"). החוקרים שלנו היו צריכים להפוך אותו לקריא כדי להבין מה קורה שם.
זה לא נגמר שם. מדובר בשרשרת של ניצול חולשות (Vulnerabilities). במקרה הזה, זה היה Zero-Click (אפס הקלקות). הקורבן מקבל הודעה ב-iMessage, שהיא פונקציה לגיטימית של המכשיר, ומבלי שהוא לוחץ על כלום – המכשיר נדבק. הפגיעות הזו מנוצלת כדי להפעיל עוד פגיעות, ועוד אחת, עד שמגיעים לשליטה. ההבנה שבמשך שנים, על פני דורות של מכשירים, היה רכיב חומרה לא מתועד שנוצל בצורה כזו, דורשת משאבים אדירים. זה לא האקר בודד בחדר חשוך".
"בדיוק. הם ביצעו התאמות לאחור (Backwards Compatibility) לגרסאות ישנות מאוד של המכשירים, כי הם הבינו שהצ'יפ הזה קיים שם לאורך שנים. זו רמת תחכום שדורשת ידע אינטימי על תהליך הייצור והחומרה, הרבה מעבר לפיתוח תוכנה רגיל".
"בואי נתחיל מזה ש'רוגלה' זו משפחה גדולה מאוד של כלים, בעצם סט שלם (Set) שכל כלי בו מותאם למטרה ולרמה של היעד. רוגלות מהסוג המתוחכם שדיברנו עליו, אלו שמשתמשות בחולשות Zero-Day (חולשות שלא ידועות ליצרן ולכן אין להן תיקון עדיין), עולות הון תועפות. אנחנו מדברים על עלויות של 20, 30, 100 אלף דולר ואפילו 200 אלף דולר לניצול בודד (Exploit). אף אחד לא הולך להשקיע סכומים כאלה על האזרח הפשוט ברחוב כדי לראות את התמונות שלו. אין חיה כזו. ארגונים או מדינות משקיעים את המשאבים האלה רק כשהיעד מצדיק את זה – פוליטיקאים, בכירים, יעדים ביטחוניים".
"את הרוגלות הרציניות? לא, לא מזהים אותן בקלות, אם בכלל. כפי שאמרתי, הן בנויות כדי להיות שקופות. הסיבה שאנחנו בקספרסקי זיהינו את הרוגלה ("Operation Triangulation") הייתה כי הטלפונים של העובדים שלנו מנוטרים כחלק מהרשת הארגונית. זיהינו אנומליה בתעבורת הרשת – הטלפון יצר קשר עם כתובת לא מוכרת בשרתים חיצוניים. לא זיהינו את זה כי הסוללה התחממה, אלא כי הייתה יציאה חריגה של מידע. וזה המסר החשוב לארגונים: הטלפון הוא נקודת קצה (Endpoint) לכל דבר.
הוא מחובר ל-Wi-Fi הארגוני, למיילים, לנכסים רגישים. אבל לרוב הוא הכלי הכי "פריץ" והכי פחות מנוטר. אם ארגון רוצה להגן על עצמו, הוא חייב לנטר את הטלפונים באותה רמה שהוא מנטר מחשבים ושרתים. אי אפשר להסתמך על תחושות בטן או על סימנים פיזיים במכשיר. חייבים מערכות הגנה שמסתכלות על התנהגות הרשת והמערכת בזמן אמת. עבור האדם הפרטי, החדשות הטובות הן שרוב הסיכויים שאתה לא היעד של הכלים במיליוני דולרים. אבל עבור ארגונים? אם אתם מחזיקים מידע שווה ערך, אתם חייבים להבין שהטלפון הוא הדלת הראשית פנימה, והאויב לא תמיד דופק בדלת – לפעמים הוא פשוט משתמש במפתח שמישהו שכח מתחת לשטיח של לוח האם".
התרעות פיקוד העורף