מתקפת הסייבר רחבת ההיקף, במהלכה הוצפנו קבצים במאות אלפי מחשבים ברחבי העולם, האטה את מהלכה שלשום (שני) בזמן שהרשויות פועלות לתפיסת הגורמים שעומדים מאחוריה – משימה קשה הכרוכה באיסוף רמזים דיגיטליים ומעקב אחרי הכסף.

בין הממצאים עד כה: רמזים ראשונים לקשר בין תכנת הכופר, הידועה בשם "WannaCry", להאקרים המזוהים עם קוריאה הצפונית. ממצאים אלו עדיין לא מאומתים, וחברת ביטחון סייבר המקדמת כיוון זה תיארה אותם כ"חלשים עדיין". עם זאת, מומחה מקוריאה הדרומית טוען כי מצא ראיות נסיבתיות נוספות הקושרות בים פיונגיאנג למעשים.

מומחים הזהירו כי התכנה עשויה להסב נזק רב במהלך יום שני, במיוחד באסיה בה היה המסחר סגור ביום שישי, היום בו השתלטו התוקפים על קבצים בבתי חולים, מפעלים, סוכנויות ממשליות, בנקים ובעסקים אחרים.

אך למרות דיווחים על אלפי מקרים של "הדבקות" בתכנה, הגל השני של המתקפה כשל ברובו, באופן חלקי תודות לעובדה שמומחי ביטחון סייבר הצליחו לנטרל אותו.

מיקו היפונן, ראש חטיבת המחקר של חברת האבטחה הפינית F-Secure, אמר כי מבצעי המתקפה ביצעו טעות מכריעה אחת. "הנוזקה הצליחה יותר מדי" אמר היפונן, "אם אתה מקים חבורה של פושעי סייבר, והמטרה שלך היא להרוויח כסף, אתה לא רוצה להדביק 200 אלף תחנות עבודה. אתה לא רוצה לגמור על שערי מגזינים. כי תהיה חקירה מאוד נרחבת".

עם זאת, מומחה אבטחת סייבר מקוריאה הדרומית אמר הבוקר כי יש עוד ראיות נסיבתיות לקשר של קוריאה הצפונית למתקפה. לדבריו, האופן בו שבו ההאקרים את המחשבים והשרתים דומה למתקפות סייבר קודמות שיוחסו למדינה.

סימון צ'וי, בכיר בחברת האנטיוירוס האורי, שמנתח נוזקות מקוריאה הצפונית מאז 2008 ומייעץ לממשלת הדרום בנושא מתקפות סייבר, אמר כי הצפון אינו זר לעולם הביטקוין וכי המדינה כורה את המטבע הדיגיטלי בעזרת תוכנות זדוניות מאז 2013.

בעניין הקשר של קוריאה הצפונית

WannaCry שיתקה בעיקר מחשבים המריצים גרסאות ישנות של מערכת ההפעלה חלונות של מיקרוסופט, ב-150 מדינות. היא הצפינה קבצי מחשב של משתמשים והציגה הודעה הדורשת סכום שווה ערך של 300 דולר עד 600 דולר, שישולם במטבע הדיגיטלי ביטקוין על מנת לשחרר את הקבצים. סירוב לשלם את הכופר, ישאיר את המידע משובש וללא יכולת לתיקון.

חברת הבטחה הרוסית קספרסקי מסרה אמש כי חלקים של WannaCry עושים שימוש באותו קוד נוזקה שהפיצה בעבר קבוצת לזרוס, קולקטיב האקרים שעמד מאחורי תקיפת אולפני סוני, שקוריאה הצפונית חשודה בביצועה. אך ייתכן שהקוד פשוט הועתק מהנוזקה של של לזרוס ללא קשר ישיר אחר. "מחקר נוסף הוא הכרחי על מנת לחבר את הנקודות", נמסר מקספרסקי.

סימנטק, חברת אבטחה נוספת, מצאה אף היא נקודות דמיון בין WannaCry לכלי בהם השתמשה קבוצת לזרוס, ומסרה כי היא "ממשיכה לחפש אחרי קשרים חזקים יותר".

עקוב אחרי הכסף

החוקרים עשויים למצוא רמזים נוספים בחשבונות אליהם מועבר כופר הביטקוין. עד כה זוהו שלושה חשבונות כאלה, ואין עדיין אינדיקציה שהפושעים נגעו בכספים שהתקבלו. אבל מה הטעם במטבע שפשוט שוכב בחשבון?

למרות שהבעלות על ביטקוין היא אנונימית, חוקרים יכולים לבחון את המעבר שלו ממשתמש למשתמש. על כן, ניתן לבצע מעקב אחרי העסקאות עד שיגיעו לידי חשבון אנונימי המזוהה עם אדם אמתי, אמר סטיב גרובמן, מנהל טכנולוגיות ראשי בחברת האבטחה האמריקנית מקאפי.

אך טכניקה זו אינה הימור בטוח. יש דרכים להמיר ביטקוין לכסף מזומן דרך צד שלישי, ואפילו מציאת אדם אמיתי עשויה לא לסייע שכן ייתכן שהוא יימצא בשטח שיפוט שלא ישתף פעולה.

יש טעות נוספת שייתכן שביצעו התוקפים: ניקולס וויבר, המלמד אבטחת רשתות באוניברסיטת ברקלי, אמר כי תכנת כופר טובה מייצרת כתובת ביטקוין ייחודית לכל תשלום, על מנת להקשות על איתורו. נראה כי הפעם, לא פעלו כך התוקפים.

לבדוק את הפירורים

ג'יימס לואיס, מומחה אבטחת סייבר במרכז ללימודים אסטרטגיים ובינלאומיים בוושינגטון, אמר כי החוקרים בארה"ב אוספים מידע פורנזי – כמו כתובות אינטרנט, דגימות של תכנות זדוניות או מידע שהתוקפים השאירו בטעות על המחשבים המותקפים – אותו ניתן יהיה אולי להתאים לדפוסי העבודה של האקרים מוכרים.

ייתכן גם שהחוקרים יוכלו להשיג מידע על מבצעי התקיפה מכתובת אינטרנט, הקשורה ל"מתג הכיבוי" של WannaCry, והייתה חבויה עד עכשיו. מתג זה היה, ביסודו של דבר, מגדלור שהעביר את המסר "היי, נדבקתי" לכתובת הסודית, אמר וויבר.

משמעות הדבר היא כי הניסיונות הראשונים להגיע לאותה הכתובת, שייצכן שהוקלטו על ידי סוכנויות ביון כמו הסוכנות האמריקנית לביטחון לאומי או המודיעין הרוסי, עשויים להוביל למחשב הראשון שהודבק בנוזקה. מה שיוכל אולי לצמצמם את רשימת החשודים הפוטנציאליים.

השחקנים

אך יש גבול למרחק אליו יוכלו החוקרים להגיע על בסיס הממצאים הפורנזיים. אתגר נוסף יהיה שיתוף מודיעין בזמן אמת, ופעולה באותה מהירות כמו התוקפים – משימה לא פשוטה, בהתחשב בעובדה שהמדינות המרכזיות המעורבות בנושא – כמו ארה"ב ורוסיה – לא סומכות אחת על השנייה.

גם אם התוקפים יזוהו, העמדתם לדין יכולה להיות סיפור אחר לגמרי. ייתכן שהם מתחבאים במדינות שלא יהיו מוכנות להסגיר אותם, אמר רוברט קטאנץ', לשעבר עורך דין במחלקת המשפטים האמריקנית ומומחה לאבטחת סייבר.

מצד שני, מתקפת WannaCry פגעה – ועצבנה – בהרבה מדינות. הפגיעה ברוסיה הייתה אחת הקשות, ובבריטניה נפגעו שמות גדולים, ולשתי המדינות "יכולות חקירה לא רעות", אמר קטאנץ'.