תמונה: Fotolia
בזמן כתיבת שורות אלה מאות ״סוכני חרש״ מסתננים לפורומים סודיים ביותר במרחבי הרשת. הם חודרים למקומות אקסקלוסיביים שרק מספר אנשים מקושרים ואנונימיים הצליחו עד היום להיכנס אליהם. שם נסחרות, לפי הערכות, טכנולוגיות מסווגות שהאקרים המשתייכים לממשלות שונות גנבו מתאגידים מערביים. בין הקונים: נציגי מדינות העולם שבאים כדי להחליף מידע מסווג שיצא מרשתות ממשלתיות.
סוכני החרש האנונימיים האלה אינם מופעלים על ידי ארגוני ביון, אלא עובדים עבור חברות פרטיות מסביב לעולם. אחת הבולטות שבהן היא DBI (׳DarkNet BlackOps Intelligence׳), הפועלת מסן פרנסיסקו. צוות ״המסתערבים״ של החברה הצליח אחרי כמה שנים לחדור לפורומים האלה, ולאשש את ההערכות. ״אנחנו פועלים כסוכנים כפולים. אנחנו מסווים את עצמנו שם״, אומרת לנו סליה אלקנטרה, מנכ״לית החברה.
DBI הכשירה במשך השנים צוותים הפועלים כסוכנים סמויים שמתמחים באיסוף מודיעין אנושי, ריגול אחרי גורמים עוינים, חבלה בפעולותיהם ותפיסתם. לא מדובר בסוכנים בסגנון ג'יימס בונד, אלא ב״גיקים״ הפועלים בעולם הווירטואלי, במה שמכונה ״הרשת האפלה״ (הדארקנט).
בפורומים האלה רואים כיצד מסמנים כמטרה רשתות ממשלתיות ועסקיות, אילו מהן כבר נפרצו
״הרשת האפלה״ אינה קונספט חדש כמובן. מדובר למעשה ברשתות נסתרות הנמצאות על גבי תשתית האינטרנט, שאינן ניתנות לגישה מדפדפנים רגילים, ושומרות על האנונימיות של הגולשים בהן. המוכרת שברשתות האלה היא TOR, שיצר צבא ארה״ב באמצע שנות ה-90 כדי לאפשר למשתמשים על גבי רשת האינטרנט לגלוש באופן אנונימי לחלוטין, מבלי שניתן יהיה לפקח עליהם או לגלות אותם. למעשה כל אחד יכול להתחבר לרשת הזו. כל מה שצריך זה להוריד תוכנה מיוחדת, ולהתחיל לגלוש באתרים הנסתרים הנמצאים בתוך הרשת.
אם עד היום נמצאו על הרשת הלא מפוקחת בעיקר אתרים למסחר בסמים, למכירת נשק, לעידוד פדופיליה ואפילו להזמנת התנקשויות, לאחרונה מתגלים בפינות החשוכות של הרשת האפלה הזו גם פורומים סודיים שבהם מזמינים פריצה לרשתות ממשלתיות, סוחרים בטכנולוגיות שנגנבות מדי יום, בין היתר מחברות ישראליות, ויוצרים קשר עם האקרים ממשלתיים.
סוכן גיק
״בפורומים האלה רואים כיצד מסמנים כמטרה רשתות ממשלתיות ועסקיות, אילו מהן כבר נפרצו, ואיזה מידע מתוכן מוצע למכירה למי שיציע את המחיר הגבוה ביותר״, אומרת לנו בראיון אלקנטרה.
איך הצלחתם לחדור לשם?
״היינו צריכים לעבור דרך תהליך אישור ארוך של שלושה שלבים: בשלב הראשון אתה צריך להיות מוזמן לשם על ידי אחד הפעילים, ולקבל את אישור מנהל המערכת. בשלב השני צריכים להזמין אותך לפחות חמישה אנשים ידועים נוספים בדרג זהה. לבסוף, אתה חייב להוכיח שיש לך כוח קניה של לפחות 100 אלף דולר במטבע הדיגיטלי ביטקוין. לא רק כוח קניה זמני, אלא כוח קניה היסטורי. אתה חייב להוכיח שקנית בעבר לפחותב-100 אלף דולר.
"היינו צריכים לעבור דרך תהליך אישור ארוך של שלושה שלבים כדי לחדור לפורומים האלה" (אילוסטרציה) | תמונה: Fotolia
״כיוון שלסוכנים שלנו יש היסטוריה כזו, הארנק הדיגיטלי שלהם מראה שיש להם כוח קניה היסטורי. כך הם מצליחים להוכיח שהם ראויים״.
אחרי שהכניסה שלהם אושרה, הם יכולים פשוט להיות שם? או שהם צריכים לרכוש מדי פעם משהו?
״בשלב מסוים אתה חייב לרכוש משהו כדי להוכיח שאתה ראוי להמשיך להיות חלק מהפורום הזה. אתה לא יכול סתם להישאר שם, לשאול שאלות ולהתבונן במה שקורה״.
אז הסוכנים שלך קונים דברים מסוימים בפורום הזה בשלב כלשהו. מה הם עושים עם הטכנולוגיה או המידע שהם רוכשים?
״כל מה שאנחנו רוכשים, נרכש באישור רשויות אכיפת החוק. אנחנו לא יכולים, כארגון, לרכוש דברים ברשת האפלה ולשמור את זה לעצמנו מבלי לקבל לכך אישור חוקי. אחרת אנחנו פושעים״.
מאחורי עסקאות רבות עומדים האקרים שמופעלים על ידי ממשלת סין שמוכרים את המידע שגנבו מחברות מערביות
אלקנטרה מספרת שהסוכנים שלה מבחינים שמאחורי עסקאות רבות בפורומים האלה עומדים האקרים שמופעלים על ידי ממשלת סין. אחרי שגנבו מידע מחברות מערביות, בהוראת השלטון הסיני, הם כעת מוכרים אותו או את חלקו. ״הם עובדים קודם כל עבור ממשלת סין, ואחר כך עבור עצמם״, היא אומרת.
איך גיליתם שאלה האקרים סינים שעובדים עבור ממשלת סין?
״הם מודים בזה. במקרים רבים אנחנו מצליחים לפתח קשרים אישיים עם האנשים האלה. בגלל החשאיות של הרשת הזו, שלא מאפשרת לגלות את כתובת ה-IP האמיתי של המחשב שלך או מי אתה, איפה אתה וכו', אנשים מוכנים לשוחח בצורה חופשית יותר. ובמסחר בפורומים האלה, הדבר החשוב ביותר הוא יצירת קשרים אישיים. לא מדובר שם בעסקה חד-פעמית, אלא בקשרים ארוכי טווח. אתה מחליף מול האנשים האלה הרבה מסמכים, שוב ושוב. לפעמים אנחנו גם מוצאים מישהו שרוצה לקנות, ומישהו שיכול למכור לו, ומפתחים ביניהם מערכת יחסים. בהדרגה המגננות יורדות ומתפתחת כנות.
״ואז כשהם נשאלים אם הם עובדים עבור סוכנות או ממשלה כלשהי, הם אומרים 'כן, ולא אכפת לי שאתה יודע את זה, כי אתה לא יכול למצוא אותי. אני פשוט רוצה שתשיג לי את הכסף. לא אכפת לי מי יחזיק במסמכים [שגנבתי]. אם אתה רוצה את זה, אתה תקבל'. זה דומה לאופן שבו עובד עולם הפשע. התוצאה לא חשובה, רק הרווח המיידי״.
תמונה: Aaron P. Bernstein/Getty Images
תני דוגמה לטכנולוגיה או מידע שנגנב והוצע למכירה שם.
״בטח שמעתם על הפריצה למחשבי חברת Anthem, אחת מחברות ביטוח הבריאות הגדולות בארה״ב. בתחילת 2015 נפרצו מחשבי החברה ונגנב מידע אישי של 80 מיליון לקוחות (היסטוריה רפואית, כתובות מגורים, פרטים מזהים, מידע על נכסים שיש למבוטחים, ועוד, א״ל, ב״ק).
״בדיקה שנערכה קישרה את המתקפה למשטר הסיני. אחרי הפריצה, הציעו לנו שני שחקנים שונים בפורומים האלה ברשת האפלה, את כל הרשומות שנגנבו – מידע אישי על 80 מיליון איש, מידע מסווג.
״יצרנו קשר עם Anthem, אבל החברה סירבה להכיר בכך שהמידע הזה נמצא ברשת האפלה, וסירבה להכיר בכך שהיא נפרצה. אם היא הייתה מסכימה, היינו יכולים לקנות בחזרה את כל החומרים מההאקרים הסינים האלה, עבור 300 אלף דולר, ושום דבר מהאינפורמציה הזו לא היה משוחרר למכירה״.
אבל ככל הנראה ההאקרים כבר העבירו את המידע הגנוב למשטר הסיני ששלח אותם לבצע את הפריצה.
״בהחלט, כנראה שזה מה שקרה. אין לנו שליטה בזה. ההאקרים הסינים פורצים בעבודה שלהם לרשתות עבור המשטר הסיני, וכעסק צדדי הם מוכרים דברים ברשת האפלה. הם למשל מוצאים מידע נוסף שלא העבירו למשטר הסיני, ומוכרים אותו שם״.
מידע גנוב מחברות רגילות עולה בד"כ עד 75 אלף דולר. גישה למחשבי חברות ממשלתיות עולה כבר כ-100 אלף דולר
ואיך את יודעת שהם לא מוכרים את המידע לצדדים נוספים, אחרי שהם מוכרים אותו לך?
״אחרי יותר משמונה שנים ברשת האפלה, אנחנו יודעים שיש 'כבוד בין גנבים'. אם אני קונה מהם את הרשומות האלה תמורת מאות אלפי דולרים, והם מוכרים אותן שוב, אף אחד לא יעשה איתם עסקים שוב. מכיוון שיש לנו מעל 200 זהויות שפועלות שם, בין אלפים רבים, אנחנו יודעים בערך מה קורה. אנחנו יכולים לבטל את העסקה או למשוך את החומר, לפני שהוא נמכר שוב״.
מה עוד נמכר שם?
״אני יכולה לומר רק בקווים כלליים, כדי לא לסכן את האנשים שלי. יש שם מסמכים ממשלתיים, מסמכים של תאגידים, כמו גם מידע שנגנב מבנקים וממוסדות פיננסיים״.
כמה טוב אתם מכירים את ההאקרים הסינים האלה? ראש האף-בי-איי אמר שהם לא ממש מתוחכמים.
״אני יכולה לומר לך שזה לגמרי שגוי. החברה האלה טובים מאוד במה שהם עושים. הם יודעים איך להשיג את האינפורמציה שהם רוצים וצריכים. הם יודעים איך להעביר את המידע, והם עוקפים את ההאקרים המערביים ביכולות שלהם.
״הם מתוחכמים יותר מהרוסים. הרוסים עוסקים בעיקר בפשע מאורגן ובדברים יותר ברוטליים – מסחר בנשק, מסחר בבני אדם, פורנוגרפיית ילדים, מסחר בסמים ודברים דומים בסגנון מאפיה. הסינים לעומת זאת מעוניינים במידע מדיני. זה גם משהו שמשתלם יותר כלכלית״.
אמרת שההאקרים הסינים עושים את זה כעבודה צדדית. נחשפת למקרים שבהם הם מחפשים שיתופי פעולה שיאפשרו להם לעשות עבודה נוספת עבור הממשלה שלהם?
״כן. יש מצבים שבהם ממשלת סין רוצה לסחור במידע עם ממשלה אחרת, למשל עם ממשלת ישראל, ואז תהיה נכונות לעשות את זה דרך הפורומים וההאקרים האלה. צד אחד אומר: אנחנו יכולים לתת את המידע הזה, אם אתה יכול לספק את המידע ההוא. הדברים האלה קורים, ויש מסחר במידע מהסוג הזה״.
תמונה: Fotolia
אם אנחנו רוצים לקנות מידע מסווג שנגנב מרשת ממשלתית, כמה זה יעלה לנו?
״מידע גנוב מחברות רגילות עולה בדרך כלל עד 75 אלף דולר. עלות גישה למחשבי חברות ולרשתות ממשלתיות עולה כבר כ-100 אלף דולר. אם מישהו רוצה לשכור את שירותי ההאקרים כדי שיפרצו למטרה ספציפית, זה כבר יעלה לא פחות ממיליון דולר״.
ובכל עסקה את יכולה לדעת מאיזו חברה המידע והטכנולוגיה נגנבה?
״כן. הם פתוחים מאוד לגבי זה, ומספרים איך זה הושג. כשזה נודע לנו אנחנו הולכים לארגונים ספציפיים שמהם זה נגנב ומספרים להם על כך. אנחנו גם אומרים שבאפשרותנו להשיג את המידע הזה בחזרה, מכיוון שהוא מוצע כעת למכירה״.
אם כך, כשמישהו מזמין עבודה שעוד לא בוצעה, למשל פריצה לרשת ממשלתית, אתם יכולים לצפות את זה מראש ולהזהיר את הגורמים הרלוונטיים.
״נכון, היו מקרים כאלה. למשל, פורסמה תוכנית לפרוץ לבנק מסוים ולבצע מניפולציה מסוימת. לצורך כך חיפשו אנשים עם יכולות מסוימות, בתחומים מסוימים. כך ידענו מי הבנק שייפרץ, מי השחקנים המשתתפים בפריצה, באיזה תאריך זה יבוצע, והודענו לבנק מראש כדי שיהיה מוכן למתקפה. כך אנחנו גם יכולים לתכנן איך לתפוס את הפורצים״.
לתפוס אותם או למנוע את המתקפה?
״גם וגם. זה תלוי ברשויות החוק שעובדות איתנו. בכל מקרה, יש קבוצות שאתה לא הולך לתפוס, כמו הסינים למשל. זו לא קבוצה שאתה יכול למצוא ולתפוס. במיוחד קבוצת ההאקרים שאנחנו מדברים עליה ועובדים מולה, אלה אנשים שלא ייתפסו. במקרה שלהם אתה יכול רק לנסות למנוע את המתקפה.
״אבל במקרים אחרים אתה יכול לתפוס את האנשים. יש שישה מקרים שנמצאים כעת בטיפול, ארבעה מהם בתהליך חקירה ובדרכם לעבור לבית המשפט, ויש מקרה אחד שבו החשוד נעצר, באיטליה״.
פורסמה תוכנית לפרוץ לבנק מסוים ולבצע מניפולציה מסוימת. לצורך כך חיפשו אנשים עם יכולות מסוימות
איך אתם מאתרים את המיקום של הפושעים?
״אנחנו מפתחים קשרים איתם, שמאפשרים לנו לגלות עליהם מידע. לדוגמה, אחד הסוכנים שלנו פיתח קשר מול אחד הסוחרים, שאחרי חודש וחצי פלט מילה מהסלנג הצרפתי. זו מילה שמשתמשים בה בדרום צרפת, בקהילות מרוקאיות, באזור מסוים מאוד, שהסוכן הכיר.
״אחרי 3-2 התכתבויות נוספות ביניהם, הסוכן הזכיר את המילה הזו בכוונה. הסוחר הגיב: 'אה, אז אתה מדבר צרפתית'. הסוכן אמר: 'אתה שואל יותר מדי שאלות', והתנתק. הוא חזר כעבור יום או יומיים, והסוחר אמר: 'אני מצטער, לא התכוונתי לפגוע בך, אני לא אשאל יותר שאלות'. משם השיחה החלה להתפתח. הם דיברו צרפתית, הפכו לחברים קרובים, והחלו לשתף יותר מידע אישי בסגנון: אה, אני מכיר את האזור הזה. גדלתי שם… אני נוסע לאזור ההוא בחודש כזה וכזה. כך הם קבעו להיפגש. הרעיון הוא לשחק אותה פושע. אתה מתחיל בלשחק אותה קשה להשגה, ואז הדברים מתפתחים״.
הבחנת בדיונים הקשורים בחברות ישראליות או בממשלת ישראל?
״יש כאלה, אבל אנחנו לא מקדישים להם הרבה תשומת לב, מכיוון שגורמים ישראליים עדיין לא פנו אלינו. בכל מקרה, יש אצלכם, בישראל, הרבה שעוסקים בזה״ (ראו מסגרת).
אלקנטרה מציינת שלא כל ההאקרים בפורומים האלה הם סינים. ״יש גם האקרים ממדינות כמו רוסיה, איראן וברזיל״.
גם מדאע״ש?
״דאע״ש סוחרים ברשת האפלה בעיקר בנשק, בסמים, בבני אדם, ושולחים מסרים מוצפנים בתמונות פורנוגרפיות. זה לא מאוד מוסלמי מצידם״.
מה אתם עוד עושים? עם איזה דברים אתם מתמודדים?
״אחד הדברים הקשים הוא מה שמכונה ה'חדרים האדומים'. אלה אתרים נחבאים שמגיעים אליהם בהזמנה אישית בלבד, אחרי שעוברים כמה שלבי רישום. הם די יקרים. מראים שם וידאו של אונס, וכשמסיימים לאנוס, רוצחים את הנאנסת. בדרך כלל שופכים עליה דלק ושורפים אותה. בדבר הזה צופים אנשים ששילמו.
״מהצד שלנו, כשאנחנו מנסים לתפוס את האנשים האלה או לקבל גישה אליהם ולחדרים האלה, אסור לנו לצפות בסרט. אנחנו יכולים רק לשוחח איתם, אבל לא לצפות בסרט. זו בדרך כלל העבודה הקשה ביותר שיש לנו״.
הצלחתם לשים יד על חלק מהרוצחים האלה?
״לא ממש. הצלחנו להשיג תמונות של חלק מהאנשים ולזהות אותם, אבל לא לעצור את הרשת. זה קשה. שמענו מרשויות החוק שהם הצליחו, בהתבסס על חלק מהמידע שהעברנו להם, להגיע לכמה מהאנשים האלה״.
יש עוד משהו קשה שאתם מתמודדים איתו?
״סחר בילדים. אתה יכול לקנות ילדים לצרכי עבדות או מין, או לכל מטרה אחרת. אין להם הורים. ההורים כנראה נהרגו. חלקם נולדו למטרה זו, באופן מכוון. כיום תינוקות נמכרים ברשת האפלה תמורת 700 דולר בלבד, ונשלחים לכל מקום בעולם, לאן שהקונים מבקשים״.
כלומר, יש איזו אימא או מישהו אחר שמגדל תינוקות…
״ומעביר אותם לאדם אחר בעבור כ-700 דולר בלבד. אתה יכול לבחור את צבע התינוק, את המוצא שלו וכל מאפיין אחד שתרצה. ילדים נמכרים על בסיס יומי״.
איך מישהו שקונה תינוק יכול להיות בטוח שיקבל אותו, ושלא יהיה מצב שבו הוא מעביר את הכסף אבל התינוק לא מגיע?
״העסקאות בביטקוין מבוצעות דרך שירות תיווך אסקרו (Escrow), שבו נעזרים במתווך שמוודא שכל אחד מהצדדים מבצע את החלק שלו בעסקה, ושאם למשל אני לא מקבלת את התינוק, הצד השני לא מקבל את הכסף״.
הצלחתם למנוע מקרה של סחר בילדים?
״עדיין לא, אבל אנחנו קרובים לזה עכשיו. אנחנו עובדים על מקרה שבו ילד מסוים עומד להישלח לארה״ב, וכעת ממתינים לזה״.
* * *
גם בישראל
בבניין משרדים בתל אביב, בחדר מאובטח שאפשר להיכנס אליו באמצעות טביעת אצבע בלבד, יושב צוות של סוכנים ישראלים מסביב לשולחן גדול. מול כל אחד מהם שני מסכים. על הקיר תלויים עוד ארבעה מסכי ענק, ותוכנות ניטור מתקדמות סורקות ללא הפסקה פורומים העוסקים בפשיעה.
מדי פעם קופצת התרעה על פוסט שהעלה אחד העבריינים, שמציע למכירה למשל כתובות IP וגם שמות משתמש וסיסמאות שמאפשרים להתחבר למחשבים של חברה ספציפית כמו אינטל, דרך גישה מרחוק (Remote Desktop). כל מה שצריך לעשות הקונה הוא להזין את הפרטים, והוא בתוך מחשב החברה. משם הדרך קצרה לגנוב מידע.
״עיקר הפשיעה שאנחנו מחפשים נמצא דווקא באינטרנט הפתוח, ולא ברשת האפלה״, אומר לנו אופיר דויד, ראש מחלקת מודיעין סייבר בחברת ״סייברהאט״, שעוסקת בפעילות מהסוג הזה.
דויד מסביר שאלה עבריינים שרוצים להגיע לקהל רחב יותר מאשר משתמשי הרשת האפלה. לצורך כך הם שוכרים שירותי אחסון אתרים מיוחדים, שמתמחים באחסון אתרי פשיעה. ״זה מכונה Bullet proof hosting – שירותי אחסון שמי שמפעיל אותם דואג שהאתרים הלא חוקיים יישארו כל הזמן פעילים, גם כשגורמי אכיפת חוק מנסים לעצור אותם. במקום 20 דולר שמשלמים בדרך כלל לשירותי אחסון אתרים, משלמים 500 או 1,000 דולר בחודש, כדי שהאתר יישאר כל הזמן באוויר. אם מישהו מוריד את האתר באיטליה, ירימו אותו בשווייץ. ידאגו שהוא יישאר כל הזמן באינטרנט.
״אנחנו רואים בפורומים האלה שמוכרים גם טכנולוגיות של חברות ישראליות, מאגרי מידע שלמים של לקוחות השייכים לחברות ישראליות״, אומר דויד. ״תחשוב מה קורה אם מחר בבוקר מישהו מוכר את כל מאגרי המידע של בנק לאומי למשל. כל הזמן יש ניסיונות לגנוב מחברות ישראליות ולמכור את זה. והבעיה הגדולה היא שחברות ישראליות לא יודעות להתמודד עם זה״.