חבר ב-Scattered Spider הזמין פיצה ונעצר
אה כן, הוא גם סחט מאות מיליוני דולרים ומואשם ב-120 מתקפות. אז מה הקשר לגיפט קארד?
תמונה: נוצרה באמצעות AI
נער בן 19 ממזרח לונדון מתיישב על המחשב שלו. הוא עבר כבר לא מעט בחיים הדיגיטליים הקצרים שלו: עשרות חדירות לרשתות של חברות ענק, פריצה למייל של שופט פדרלי, סחיטה של עשרות מיליוני דולרים בביטקוין. אבל את הטעות הגורלית הוא עשה כשהזמין טייק אווי.
קוראים לו תלחה ג'ובאייר (Thalha Jubair). את שמו כנראה שאף אחד לא ממש הכיר עד השבוע, אבל לפי ה-FBI ומשרד המשפטים האמריקאי, הוא אחד מחברי קבוצת Scattered Spider, אותה חבורה ששמה הפך לשם נרדף ל"מתקפת כופר" בשנים האחרונות, ומזוהה במיוחד עם מתקפות מתוחכמות של הנדסה חברתית.
ביום חמישי, ג'ובאייר הובא בפני שופט בלונדון יחד עם נער נוסף, אוון פלאוורס. על פי כתב האישום שהוגש נגד שניהם, הם אחראיים לכ-120 חדירות לרשתות, 47 מהן בארה״ב, ודרישות כופר שהגיעו למאות מיליוני דולרים.
אבל איך תפסו אותו?
Scattered Spider הפכה לשם מוכר היטב בעולם הסייבר מאז 2022. החבורה "זכתה" להכרה בעקבות מתקפותיה המבוססות על שיטת SIM swapping אבל מהר מאוד הפכה למכונה של מתקפות הנדסה חברתית. הנערים חיקו את קולו של טכנאי תמיכה, צלצלו לשירותי helpdesk, שכנעו את המוקדן לאפס סיסמה ומשם זה נגמר לרוב בפריצה מלאה, שליפת מידע רגיש, הצפנה וסחיטה. לפי המסמכים שנחשפו בבית המשפט, הקורבנות הגיעו משלל מגזרים ותעשיות: יצרנים, חברות בידור, קמעונאיות, שתי חברות פיננסיות וחברת תשתיות קריטיות. בארה"ב, באירופה וגם ממשלות.
אחת הקורבנות המרכזיות בפרשה היא מערכת בתי המשפט הפדרלית של ארה"ב. לפי כתב האישום, ג'ובאייר וחבריו התקשרו למוקד התמיכה של מערכת המשפט, שכנעו את המוקדן לאפס סיסמה, פרצו פנימה וחילצו שמות, תפקידים, טלפונים, וגם גישה לחשבון של שופט פדרלי. הם חיפשו בתיבת המייל שלו מונחים כמו "זימון", שמות של האקרים אחרים, וגם את שם הקבוצה שלהם עצמה. כשהם לא עקפו סיסמאות או חפרו במסמכים רגישים, הם שלחו בקשות פיקטיביות לגופי פיננסים, בניסיון להוציא מידע נוסף על קורבנות.
כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime
ואז הגיעו הפיצות
לפי ה-FBI, כתובות ביטקוין שקיבלו כספי כופר מ-5 קורבנות שונים הופיעו על אותו שרת אחד שרת שבו ג’ובאייר השתמש גם לדברים אחרים. למשל, להזמין אוכל ואפילו לקנות גיפט קארד של חברת גיימינג.
אחת העסקאות כללה רכישת כרטיסי מתנה לשירות משלוחים. המידע הועבר על ידי החוקרים לחברת המשלוחים והיא שלחה להם את כתובת היעד. זו הייתה הכתובת של מתחם הדירות שבו ג'ובאייר גר. במילים אחרות: אחרי 25 מיליון דולר בביטקוין ג’ובאייר נפל בגלל גיפט קארד.
מעצרם של השניים בלונדון מגיע כמעט שנה אחרי שסדרת מבצעים גלובליים פגעה בלב הפעילות של Scattered Spider. בשנה שעברה נעצרו לפחות שבעה מחבריה, בהם גם קטינים מארה"ב ובריטניה. ובכל זאת, הקבוצה המשיכה לפעול, ואף פרצה באפריל למספר קמעונאיות מוכרות.
אדם מאיירס, ראש תחום האיומים ב-CrowdStrike, בירך על המעצר ואמר כי מדובר "במכה משמעותית לאחת הקבוצות הכי הרסניות בזירת הפשע המקוון כיום". לדבריו, "כשכוחות אכיפת החוק משתפים פעולה עם חברות פרטיות – אפשר להכות אפילו בקבוצות שמפעילות טרור דיגיטלי ברמה בינלאומית".
פשע, רשלנות וגיימינג
באוקטובר 2023 לפי המסמכים, השתמש ג’ובאייר בחשבון טלגרם עם השם "Brad" והתגית @autistic כדי להתכתב עם שותף אחר. הוא שיתף אותו בעשרות פריצות, סיפר לו שאחת החברות עומדת לשלם 25 מיליון דולר, ולפי התיעוד אכן קיבלו את התשלום שעות לאחר מכן. הוא גם התכתב תחת כינוי אחר, "Austin", וסיפר למישהו שהוא חגג 18 לפני שלושה שבועות. החקירה גילתה שזה אכן הגיל שלו, והתאריך התאים בדיוק.
וזו אולי השורה התחתונה: ג'ובאייר לא פרץ לבנק לבד אבל הוא כן היה הנקודה החלשה בשרשרת. אולי בגלל גאווה, אולי בגלל טעות טכנית ואולי פשוט כי גם האקר צריך לאכול. ולשחק.
