שבת, מאי 31, 2025

Nziv.net

מודיעין מהמקורות הגלויים

כתבות ראשיות 

מגזין New Lines: אפליקציית ריגול סייעה בהפלת משטר אסד. חלק ג’

Nziv

מגזין New Lines: אפליקציית ריגול סייעה בהפלת משטר אסד. חלק א’

אפליקציית המלכודת – חלק ב’

לאחר איסוף מידע בסיסי דרך קישורי הפישינג הכלולים, המתקפה עוברת לשלב השני, הכולל פריסת SpyMax, אחד מכלי הריגול הפופולריים ביותר באנדרואיד. SpyMax היא גרסה מתקדמת של SpyNote הידועה לשמצה בשוק השחור, אשר מופצת בדרך כלל באמצעות קבצי APK זדוניים (קבצים שנועדו להתקנת אפליקציות מובייל בטלפונים של אנדרואיד) לאחר שהוסתרו בתוך פורטלי הורדה מזויפים שנראים לגיטימיים. והכי חשוב, SpyMax אינו דורש גישה מלאה למערכת (כלומר, דרגת הגישה הגבוהה ביותר למערכת ההפעלה של הטלפון) כדי לפעול, מה שמקל על האקרים לגשת למכשירים שנפגעו. בעוד שהגרסה המקורית של התוכנה נמכרת בכ-500 דולר, גרסאות פיראטיות זמינות בחינם. במקרה זה, תוכנת הריגול הוסתרה דרך אותו ערוץ טלגרם שפרסם את אפליקציית Syrian Trust והתקין אותה על מחשבי אנשי כוחות הביטחון בתירוץ שמדובר באפליקציה לגיטימית.

SpyMax מבצע את כל הפונקציות של RAT (טרויאני לגישה מרחוק) כולל רישום הקשות מקשים לגניבת סיסמאות, ריגול אחר הודעות טקסט, חילוץ נתונים מקבצים סודיים, כמו גם תמונות ויומני שיחות, וגישה למצלמה ולמיקרופון של הקורבן, מה שמאפשר לו לנטר ולרגל אחריהם בו זמנית.

ברגע שהקורבן יתחבר לאפליקציה, היא תופיע בלוח הבקרה של התוקף, וכל האירועים החיים, החל מיומני שיחות ועד העברת קבצים, יוצגו בלוח זה, בהתאם לפעולות שנבחרו.

תוכנת הריגול, המכוונת לגרסאות אנדרואיד ישנות כמו Lollipop, מערכת הפעלה שהושקה בשנת 2015, פגיעה מאוד הן למכשירים ישנים והן למכשירים חדשים יותר. בחינת ההרשאות שניתנו לאפליקציה גילתה שהיא ביצעה 15 פעולות רגישות, שבראשן מעקב אחר מיקומים בזמן אמת, ניטור תנועות חיילים ואתרים צבאיים, האזנות סתר לשיחות טלפון, הקלטת שיחות בין מפקדים וחשיפת תוכניות מבצעיות לפני ביצוען, גניבת מסמכים כגון מפות וקבצים רגישים מטלפונים של קצינים, וגישה למצלמה, שאפשרה לאדם שיזם את מבצע הריגול לפרסם מרחוק סרטון המציג מפקדה צבאית.

ברגע שהמידע הראשוני יוצא ליעדיו, שרתים מזויפים משתלטים, משדרים את הנתונים לפלטפורמות ענן לא ידועות, מה שמקשה על מעקב אחר מקור התוכנה הזדונית. לבקשה זו לווו תעודות אבטחה מזויפות, ממש כמו גנב שלובש מדי משטרה כדי להתחמק מבדיקה. לפיכך, המתקפה שילבה שני אלמנטים חשובים: הטעיה פסיכולוגית (פישינג) וריגול סייבר מתוחכם (SpyMax). ראיות מצביעות על כך שהנוזקה הייתה פעילה ושהתשתית הייתה קיימת עוד לפני יוני 2024, חמישה חודשים לפני המבצע שהוביל לקריסת משטר אסד.

סקירה של הדומיינים המקושרים לאתר Syr1 חשפה שישה דומיינים עם קישורים אליה, אחד מהם נרשם באופן אנונימי. באמצעות SpyMax, מי שעמד מאחורי האפליקציה חילץ מערך נתונים סודי מטלפונים של הקצינים, כולל דרגותיהם, תעודות הזהות הצבאיות, האם הם מילאו תפקידים רגישים ומיקומם הגיאוגרפי (אם ניתן היה להשיג זאת בזמן אמת). מי שעמד מאחורי האפליקציה הזו  היתה לו גם גישה למחנות חיילים, לשיחות הטלפון שלהם, להודעות טקסט, לתמונות ולמפות במכשירים של קצינים, מה שאפשר להם לנטר מרחוק את המפקדות הצבאיות. אתר הפישינג עצמו אסף כמות גדולה של מידע רגיש מהחיילים, כולל תאריכי ומקומות לידתם, ופרטי התחברות לפייסבוק אם השתמשו ברשתות חברתיות כדי לתקשר עם אנשים.

ישנם משתמשים פוטנציאליים רבים של יישום זה. זה איפשר למפעילים לזהות פערים בקווי הגנה שנוצלו בחאלב, כמו גם לאתר מחסני נשק וממסרי תקשורת, ולהעריך את הגודל האמיתי של הכוחות הפרוסים באזור ואת כוחם בפועל. יישום זה איפשר לאלו שיש להם גישה למידע זה לבצע התקפות פתע על אתרים חשופים, מה שאיפשר להם לנתק את האספקה ​​ליחידות צבאיות מבודדות, בנוסף לאפשר להם להוציא פקודות סותרות לחיילים, לזרוע בלבול בין הדרגות ולסחוט קצינים.

מי הרוויח?

לכל הפחות, כעת התברר כי אויבי משטר אסד נהנו מיישום זה בצורה כזו או אחרת, אם כי קשה לאמת מידע זה ולקבוע מי עמד מאחוריו. לדוגמה, בין הדומיינים שיש להם קישור להאקרים, יש אחד שמאוחסן בארצות הברית, ולארצות הברית יש קישורים לאופוזיציה החמושה, אך ניתן להסתיר את מיקום השרת לצורך הטעיה. לאחר מכן, התקיפות האוויריות הישראליות שהחלו מיד לאחר נפילת המשטר הרסו כמעט את כל היכולות הצבאיות הקונבנציונליות של סוריה. קצין צבא של המשטר ששירת ביחידות ההגנה האווירית במחוז טרטוס אמר כי אפליקציה זו פעילה באתר שלו. משמעות הדבר היא שקצינים סורים העלו, ברשלנות, תוכניות של חזיתות ההגנה הסוריות לשרת ענן, וכל מי שיכול היה לצפות בהן יכול היה לראות את מיקומן.

בראיון לטלוויזיה הסורית לאחר נפילת משטר אסד, חשף נשיא סוריה אחמד א-שרע פרטים נוספים על מבצע “הרתעה מתוקפנות”, השם שניתן לקמפיין שהפיל את הדיקטטור לשעבר. אל-שרע דיבר על תכנון חמש השנים למבצע, וציין כי המשטר הסורי היה מודע לכך אך לא היה מסוגל למנוע אותו. הוא הדגיש נקודה זו וקבע שהוא בטוח בכך לחלוטין.

אבל איך הוא ידע את זה?

איש אינו מאמין כי לאף אחת מהסיבות שהובילו לנפילתו הדרמטית של המשטר הסורי היה קשר ישיר לקריסתו. ייתכן שסיפור מה שקרה בימים שקדמו לקרב ההכרעה הסופי לעולם לא ייחשף במלואו, לא משנה כמה זמן יעבור. עם זאת, ייתכן שסוס טרויאני סורי נגע בחלק חשוב בסיפור הזה.

Body doubles, decoy choppers & disappearing jets… exactly how DID Putin sneak Assad out of Syria with moments to spare? | The Sun

מקור: מגזין The New Lines      קרדיט לתמונות: רשתות חברתיות