סגור
באנר דסקטופ כלכליסט טק

ארה"ב: כתב אישום נגד רופא שפיתח והפיץ נוזקות כופר ששימשו גם את איראן נגד ישראל

מויזס לואיס זאגאלה, המכונה גם נוספורוס, אסקלפיוס ונבוכדנצר בפורומי ההאקרים, רופא לב בהכשרתו, לימד את עצמו תכנות וביצע את פעילותו במקביל לטיפול בחולים שלו. הפעילות של זאגאלה כללה מכירה של כלי הפריצה שלו דרך מערכת ענן שאפשרה לפושעי סייבר להפעיל אותה מרחוק בתשלום דמי מנוי

אם יש לכם בראש דימוי של האקר עם קפוצ'ון שחור ופצעי בגרות על הפנים שיושב לו במרתף ופורץ לכל העולם אז הסיפור הבא עשוי לשנות זאת. כתב אישום הוגש אמש (ב') נגד רופא בעל אזרחות כפולה, ונצואלית וצרפתית, על היותו המוח מאחורי שתיים מנוזקות הכופר המסוכנות בשנים האחרונות - Jigsaw ו-Thanos. על פי כתב האישום, מויזס לואיס זאגאלה גונזלס פיתח, הפיץ ותפעל את שתי הנוזקות ששימשו במספר רב של אירועי סייבר פליליים וביניהם אפילו בתקיפה של חברות ומוסדות ישראליים בידי איראן.


זאגאלה, המכונה גם נוספורוס, אסקלפיוס ונבוכדנצר בפורומי ההאקרים, רופא לב בהכשרתו, לימד את עצמו תכנות וביצע את פעילותו במקביל לטיפול בחולים שלו. הוא אף כינה את הנוזקות שלו על שם דמויות בדיוניות המייצגות מוות וכאוס.
1 צפייה בגלריה
סייבר איראן סייבר איראני
סייבר איראן סייבר איראני
אילוסרציה
(צילום: שאטרסטוק)
הפעילות של זאגאלה כללה מכירה של כלי הפריצה שלו דרך מערכת ענן שאפשרה לפושעי סייבר להפעיל אותה מרחוק בתשלום דמי מנוי. זהו מודל עסקי מקובל בעולם הסייבר הפלילי, ולא מעט קבוצות האקרים פליליות מפעילות פלטפורמות כאלה. עם זאת, נדיר למצוא דמות כגון זאגאלה מאחוריהן, שכן לרוב מדובר בהאקרים מקצועיים הפועלים ככנופיות מאורגנות ושבחלקן הגדול פעיל ממדינות מזרח אירופה, דרום אמריקה או מזרח אסיה.
המיזם של זאגאלה כלל מכירה של כלי הפריצה לעברייני סייבר, הכשרה כיצד להשתמש בהם וכמובן מנגנון פרסום שאפשר לו להפיץ את התקיפות המוצלחות שעשו שימוש בכלים שלו ללקוחות פוטנציאליים. "הוא פרסם תקיפות מוצלחות, כולל כאלה בהן היו מעורבים גורמים זדוניים המזוהים עם המשטר האיראני", כך לדברי התובע בריאון פיס.
נוזקת Jigsaw נחשבת לאחת מהגרועות מסוגה, שכן היא כוללת מנגנון איום נבזי במיוחד שמוחק לצמיתות חלק מהקבצים המוצפנים ככל שהזמן עובר ללא שהקורבן משלם. כדי להוסיף חטא על פשע, מספר הקבצים הנמחקים גדל ככל שהטיימר מתקרב לשעת השי''ן. הנוזקה הזו כבר לא פעילה מזה כשנתיים לאחר שחברה בשם Emsisoft הצליחה לפתח מפתח ביטול הצפנה עבור הקורבנות.
ת'אנוס לעומת זאת היא סיפור אחר לגמרי. מדובר בנוזקה שמופעלת במודל ענן או "נוזקה כשירות" ומפורסמת בעיקר באתרי האקרים רוסים או מזרח אירופים. ההבדל העיקרי בינה לבין Jigsaw הוא שהלקוחות יכולים להתאים אותה לצרכיהם ולשנות את אופן פעולתה. ניתן אפילו לפתח נוזקה מאפס ללא ידע בתכנות דרך אפליקציית פיתוח שכלולה בהיצע השירותים של זאגאלה. המודל העסקי כלל גם תכנית שותפים במסגרתה האקרים חיצוניים היו מפיצים את הנוזקה לאחרים תוך קבלת עמלה על כל עסקה שהם מייצרים לזאגאלה. הוא אפילו הפעיל שרת ייעודי לתפעול רשיונות תוכנה שמכר עבור הנוזקה.
זאגאלה אפילו שוחח עם לקוחות פוטנציאליים - שבחלקם היו סוכני FBI - על השימוש שעשו לקוחותיו הקיימים בשירות שלו. "הוא אף קישר את הנוזקה שלו לתקיפות שביצעה קבוצת האקרים המיוחסת לאיראן על חברות ישראליות", כך לפי משרד המשפטים האמריקאי. התקיפות האלה כנראה מתייחסות לסדרה של אירועי תקיפות כופר בשם MuddyWater מלפני שנתיים ויותר שנחשפו על ידי חברות הסייבר קלירסקיי, פאלו אלטו וחטיבת הסייבר של סיסקו - טאלוס.