תחקיר או ניסיון השחרה? מה עומד מאחורי האשמת החברה הישראלית במתקפת DDoS על ארגון זכויות אדם

תחקיר חדש טוען כי כלים של חברה ישראלית שימשו לכאורה את הממשלה הפיליפינית לצורך מתקפת DDoS על ארגון זכויות אדם, אבל מנכ”ל החברה הישראלית חושף תמונות ונתונים שעל פניו מנקים את החברה מכל חשד: ”הדבר הזה לא קשור אלינו. נקודה. זה פשוט לא אנחנו”

תמונה: PIxabay

בחודשים האחרונים הטכנולוגיה הישראלית נמצאת באור הזרקורים, ולא תמיד בהקשר החיובי. אבל מחקר חדש שהתפרסם עתה מעלה את השאלה האם נעשה שימוש בשרתים של חברת טכנולוגיה ישראלית כדי לפגוע בארגון זכויות אדם פיליפיני או שמדובר בתחקיר מרושל של ארגון שוודי, שהוטעה על ידי גורמים מסחריים?

יותר מ-100 כתובות IP שמתחלפות מדי שעה עם אלפי בקשות בכל שניה

הכל החל במחקר של Qurium, ארגון זכויות דיגיטליות שוודי, שעוסק מזה כמה שבועות במתקפה לכאורה של הממשל הפיליפיני כנגד ארגון זכויות האדם Karapatan. על פי המחקר, הממשל הפיליפיני אחראי על מתקפת DDoS שנמשכה מספר שבועות מכ-30 אלף כתובות IP שונות. לטענת החוקרים, כשליש מהכתובות הללו הגיעו ממקומות קצת פחות שגרתיים, מה שעורר את החשד שלהם. עוד כתבו החוקרים כי כי הם הבינו שנעשה שימוש ברשת Proxy פרטית, שמאפשרת העצמה של החיבור והמתקפה. לאחר שבדקו מאות שרתים, גילו החוקרים את הבאנר הבא בו מוזכר השם Luminati:

< HTTP/1.1 407 Proxy Authentication Required
< X-Luminati-Error: Proxy Authentication Required
< Proxy-Authenticate: Basic realm="Luminati"
< Date: Sat, 21 Aug 2021 10:49:31 GMT
< Connection: keep-alive
< Keep-Alive: timeout=5
< Transfer-Encoding: chunked

Luminati, שמוכרת כיום כ-Bright Data, היא חברת בת לשעבר של Hola, חברת ה-VPN הישראלית המפורסמת, וזו מכרה את לומינאטי לקרן EMK Capital בשנת 2017 תמורת 200 מיליון דולר. לומינאטי, שכעת כאמור ידועה בתור ברייט דאטה, מאפשרת ללקוחות משלמים להגיע למידע מהרשת הציבורית באופן מאסיבי ובדרכים שבנסיבות אחרות היו מובילות לחסימתם וזאת על ידי שימוש בכתובות IP אמיתיות של משתמשים אמיתיים.

כך למשל יכולים קמעונאים לבדוק עם המערכת של ברייט דאטה את המחירים של מוצרים שונים באתרים מתחרים בכל רחבי העולם – ללא תלות במטבע, ובלי להיחסם בדרך. בשביל לעשות את זה, לברייט יש שותפויות עם ספקיות אינטרנט (ISP) שמספקות לה כתובות IP, שותפים צד-שלישי שמתקינים את ה-SDK של החברה ולעיתים אפילו שירותים ואפליקציות שמציעים הטבות תמורת הפעלת השירות ושיתוף של כתובת ה-IP של המשתמשים.

ב-Qurium טוענים כי כי התוקפים השתמשו לכאורה בשירותי Bright Data עם יותר מ-100 כתובות IP שמתחלפות מדי שעה, עם אלפי בקשות בכל שניה, מה שלדברי החוקרים אפשר להציף את המותקפים ב-10 טרה-בייט של מידע במהלך 10 ימים בלבד. עוד מוסיפים החוקרים כי שימוש כזה היה אמור לעלות לתוקפים כ-260 אלף דולר, על פי מחירון החברה.

במחקר המקורי כתבו החוקרים שהם פנו ל-Bright Data ושיתפו אותם בלוגים של המתקפות, אך לטענתם, ברייט דאטה לא ביקשה הוכחות נוספות והגיבה: “כתובות ה-IP ששלחתם… שייכות ל-Bright Data, עם זאת, לא מצאנו אותן בבקשות שנשלחו לדומיין המדווח. לאור החוסר הראיות, אנחנו דואגים שהדומיין המדווח יחסם לכל לקוחותינו, ומכל הרשתות שלנו. על כן, אנחנו לא צופים עוד בקשות שישלחו דרך הרשת שלנו. תודה לכם על הדיווח ואנחנו מקווים שסייענו לכם… בדרך זו נוכל לוודא שאין עוד שימוש לרעה (Abuse, במקור) שיגיע דרך הרשתות שלנו”.

פנקו את הטלגרם שלכם עם ערוץ הטכנולוגיה הגדול בארץ פנקו את הטלגרם שלכם עם ערוץ הטכנולוגיה הגדול בארץ הצטרפו לערוץ גיקטיים בטלגרם

“חד משמעית, קטגורית, הדבר הזה לא קשור אלינו. נקודה. זה פשוט לא אנחנו”

מנכ”ל Bright Data, אור לנצ’נר, הכחיש בשיחה עם גיקטיים את הטענות והציג בפנינו מה שהוא הגדיר כהוכחות חותכות שנוגדות את כל אחת מהטענות בתחקיר.

“זו הזיה מוחלטת. נורא קל להוכיח (את חפותינו, ע.ב) לכל אחד. זו פשוט שטות ואנחנו לא מבינים מאיפה זה הגיע… חד-משמעית, קטגורית, הדבר הזה לא קשור אלינו. נקודה. זה פשוט לא אנחנו”, אומר לנצ’נר, ומסביר כי במסגרת התחקיר טענו החוקרים שהם גילו את ה”סופר-פרוקסיז” של החברה ואת הפורטים שדרכם יצא הטראפיק. אלו הם בעצם הנתבים החכמים של החברה שמאפשרים לה לעשות את מה שהיא עושה בפועל.

מתוך המידע שנחשף בפנינו על ידי Bright Data

לנצ’נר מציג את הפורטים הפתוחים שהוצגו בתחקיר, ולאחר מכן מציג בפנינו את קוד המקור בו ומראה את הפורטים הפתוחים לסופר-פרוקסיז, וניתן לראות שהם לא תואמים את הנאמר בתחקיר לכאורה. “כל אחד יכול להירשם ולראות שהפורטים האלה סגורים והם לא קשורים אלינו”.

Qurium סיפקה במהלך התחקיר גם מספר כתובות IP, שכאמור מכווינות לאותם באנרים שבהם מוזכר השם Luminati ו-Bright Data. לנצ’נר מאשר שהאתר סיפק כ-20 כתובות IP שלטענתו היו שייכות לרשת של החברה בזמן מסויים אך לא היו פעילות בזמן המתקפה. הוא מציג בפניי נתוני שאילתא ממאגר ה-Mongo של החברה, שמראים שהכתובות לא היו בשימוש בכלל במועדי התקיפות. “המערכת שלנו לא יודעת לעבוד ככה. אין לנו את היכולת שזה (כתובות IP, ע.ב) יתחלף כל שעה”, הוא טוען.

“אלה לא השירותים שלנו”

כאשר החוקרים ביצעו Reverse DNS כדי לגלות למי כתובות ה-IP שייכות, הם קיבלו לכאורה את השם לומינטי, ומבחינתם הייתה זו הוכחה נוספת שמדובר בחברה הישראלית. “הם אומרים שהסרבר השיב מידע של לומינטי, והאם באמת קיבלו את הסקרינשוט הזה, אבל הוא לא נכון” טוען לנצ’נר. “ה-Agents שלנו מקונפגים להחזיר את ה-cURL (תוכנה המאפשרת להעביר מידע במגוון פרוטוקולי תקשורת, ע.ב) שאתה רואה. אם תשלח אותו לכל שרת שלנו, ואנחנו מאוד שקופים, זה מה שתקבל”.

לאחר מכן לנצ’נר מציג לי כיצד שתי בקשות cURL מחזירות את אותו IP של לומינטי/ברייט דאטה, אך אז מבצע את אותה בקשה על השרתים ש-Qurium שלחו, ומקבלים IP אחר בכל פעם “כי זה לא השרתים שלנו”, הוא מסביר.

בחברה טוענים שלא מכירים את Choopa. מקור: Bright Data

במסגרת התחקיר ניסתה Qurium להתחקות אחרי ספקיות ASN (הקידומת שמזהה ספקיות פרוקסי, ע.ב) שמהן הגיעו המתקפות, וגילו ספקית בשם Choopa ו-Digital Ocean. לנצ’נר טוען כי הוא מעולם לא שמע על חברת Choopa וברייט דאטה לעולם לא עבדה עם חברה זו, אך מציין כי Digital Ocean אכן עובדת עם ברייט. “אבל זה לא ה-ASN שאנחנו משתמשים בו… נתנו להם רשות באימייל כתוב לפנות אליהם ולשאול שאנחנו לא עובדים עליהם. כמובן שזה לא קרה. נורא קל לבדוק את זה. זה סופר רשלני ומאוד מביך בשבילם (החוקרים, ע.ב) לדעתי. אין לנו אפילו כתובת IP אחת של שרת שנמצאת על ה-ASN שהם ציינו. כל אחד יכול לבדוק את זה”.

אז איך השם שלכם בכל זאת מופיע בכל הבקשות לשרתים?

לנצ’נר: “זה לוקח אותנו לסיפור יותר גדול שצריך לחקור. אבל אלה לא השירותים שלנו. נראה שמישהו התאמץ מאוד לעשות TCP proxy forwarding לשרתים אמיתיים של Bright Data. אבל חשוב לחדד שזה רק למראית עין, והטראפיק לא יצא מהשרתים האלו. אל תסמכו עליי, תראו בעצמכם שזה לא השרתים שלנו”.

ומה בנוגע לתגובה שלכם ל-Qurium שבה כתבתם שאתם מוודאים ש”No future abuse could be generated from our networks”?

לנצ’נר: “יש לנו טמפלייטים קבועים של ה-Compliance Officers שלנו. אחד מהטמפלייטים מסתיים באופן קבוע עם המשפט הזה. הסיומת של האימייל אומרת שאין Abuse, אבל לכל מקרה חסמנו את הדומיין לנצח נצחים כדי שלא יהיה שום Abuse עתידי גם אם מישהו ינסה. זה מלוכלך מה שהם עשו שם”.

האם אנחנו קיבלנו יותר בקשות מאשר האתר שהותקף לכאורה?

ובכל זאת, Qurium מאשימים שהכלים של Bright Data שימשו לכאורה לשליחת מיליארדי בקשות שהציפו את האתר של Karapatan. “זה פשוט לא נכון”, טוען לנצ’נר, ומציג בפניי את כמות הבקשות לדומיינים או לסאב דומיינים של Karapatan, ולפי המסך שהוצג בפנינו, מדובר ב-1737 בקשות במהלך 30 הימים האחרונים. מספר הרחוק שנות אור מאותן מיליארד בקשות ש-Qurium טוענת.

ובכל זאת, גם אני תהיתי האם זהו האקדח המעשן שמוכיח שמישהו כיוון את התותחים שלו כלפי Karapatan. לשאלתי משיב לנצ’נר כי בסופו של דבר, האתר של Karapatan הוא סוג של אתר תוכן, ולחברה יש מעל ל-10,000 לקוחות שאוספים מידע מרחבי הרשת הפומבית, ועל כן מאוד סביר שמסגרת איסוף המידע הזה, המערכות ביקרו גם באתר של ארגון זכויות האדם. “זה מספר שהוא שווה ערך ל-0. זה כאילו לא היה”. לשם השוואה מספר לי לנצ’נר שאתר גיקטיים קיבל בשבוע אחד בלבד 6,853 בקשות, כלומר פי כמה וכמה יותר מהאתר הפיליפיני, שלכאורה הותקף.

החוקרים לא נכנסו למערכות החברה? מקור: Bright Data

בנוסף מעלה לנצ’נר טענות קשות נגד עורכי התחקיר: “הם טוענים שלא ביקשנו עוד הוכחות. העובדה היא לא נכונה. אני יכול להראות לך את המייל המקורי… 100% מהתגובה הוא בקשה של עוד מידע כדי שנוכל לחקור. אנחנו מאוד רגישים לזה. אנחנו לא יודעים למה הם כותבים דבר כזה כשהם יודעים שיש לנו את האימייל הזה”. לנצ’נר גם טוען כי החוקרים לא נרשמו מעולם למערכת של החברה, שהייתה מאפשרת להם להצליב את כל העובדות והטענות ולראות שמדובר בשקר לכאורה. “אין לי מה להסתיר”, טוען לנצ’נר. “זו לא מילה נגד מילה, זו פשוט רשלנות”.

האם יכול להיות שכל הדבר הזה קרה מתחת לאף שלכם ואתם אפילו לא יודעים את זה?

לנצ’נר: “התשובה היא לא. אנחנו מתעדים הכל. זה לא קרה וזה לא קורה… אני יכול להגיד לך בוודאות מוחלטת שהמערכת שלנו לא קשורה לזה. מילא אם היינו רואים כמות ריקווסטים, את השרתים שלנו… אם היה משהו אחד נכון. אני אומר לך חד משמעית שאין שום קשר אלינו, סימן קריאה”.

בואו לדבר על הפרשה עם הכתבים שלנו בקבוצת גיקטיים דיבורים בטלגרם

“זה חוסר הבנה מוחלט”

פנינו ל-Qurium בבקשה לתגובה על הטענות הנגדיות של Bright Data, ומתגובתם עולה כי הם עדיין עומדים מאחורי התחקיר. קווריום טוענים כי העבירו ל-Luminati רשימה של 1,500 כתובות IP שהשתתפו במתקפה וביקשו שיחשפו בפניהן אילו IPs הגיעו מהרשת של Bright Data. לטענתם הרשת של Bright בנויה כך שלא יהיה ניתן למצוא את השחקנים הרעים לכאורה, וכמו כן ביקשו מאיתנו לבדוק מול Bright את הקשרים העסקיים שלה לספקית אינטרנט רוסית בשם Megafon ש-IPs שלה השתתפו לכאורה במתקפה.

כמובן שפנינו עם הטענות החדשות ל-Bright Data, ושם טענו כי מדובר במחזור של אותן טענות שהחברה הגיבה עליהן קודם לכן, ומסבירים שוב שכל כתובות ה-IP שכן שייכות לרשת של החברה לא היו זמינות לשימוש ברשת במהלך המתקפות. בחברה טוענים כי ה-SDK של החברה יכול לשבת באפליקציות שמארחות SDKs של פרוקסים אחרים, מה שיכול להוביל לחלוקת כתובות IP עם שירותים אחרים. עם זאת, מדגישים בחברה כי כל Request מכל IP ברשת שלה מנוטר, וכאמור לא נצפתה מתקפה שכזו באמצעות רשת החברה.

באופן כללי, נראה שב-Bright Data טוענים של-Qurium יש פער מקצועי בנושא הרשת שלהם, וכי הם סיפקו לקווריום את כל התשובות לכל הטענות עם הסברים טכניים על פעילות הרשת שלהם ועם הצעות לשיחות עם גורמים בכירים בחברה שיבהירו את כל הטענות. בנושא Megafon, טוענים בחברה כי הרשת שלהם כל כך נפוצה שהיא נמצאת בכל מקום בעולם ובכל ספקיות האינטרנט בעולם.

עידן בן טובים

נולד עם ג׳ויסטיק ביד. יש לו הרבה יותר מדי גאדג׳טים והרבה פחות מדי זמן פנוי כדי לשחק עם כולם. בעל פטיש לא מוסבר לביצוע קליברציות לסוללות של מכשירים. כשהוא לא עסוק בלכתוב על טכנולוגיה, הוא אוהב לדבר עליה, והרבה

הגב

1 תגובה על "תחקיר או ניסיון השחרה? מה עומד מאחורי האשמת החברה הישראלית במתקפת DDoS על ארגון זכויות אדם"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
EEE
Guest

Choopa = Vultr

wpDiscuz

תגיות לכתבה: