האקרים צרפתים, חמושים בנוזקה של מנהיג שייני האנטרז הכלוא, סרקו את הרשת וגנבו פרטי התחברות וחשבונות פרוצים. הם מכרו אותם בטלגרם ושמרו הכל בתוך דלי AWS עצום – אבל שכחו לסגור אותו ולהסתיר את זהותם. אז איסגרנו אותם לאמזון והסגרנו לרשויות
תקציר העלילה
הסורק של סייברסייבר לאבז מצא דלי 💦 דולף. אבל יש מאות אלפים כאלה, אז למה אנחנו מספרים עליו? כי הוא היה חשוד.
למה חשדנו? כי הוא היה מוזר. קודם כל, הוא היה ענק – 2 טרהבייט של מידע. כמות המידע בפני עצמה לא חריגה, אבל בדרך כלל היא מחולקת לדליים רבים של מאות גיגה כל אחד.
שנית, כי היו בו קבצים שבדרך כלל לא רואים בדליים כאלו: קבצים עם קוד מקור של נוזקה, קבצים עם רשימות IP ודומיינים, וקובץ בשם AKIA Doubloons.
דובלון הוא מטבע זהב ספרדי שהיה אהוב על פיראטים בסיפורי אגדה, ואקיה זה כינוי חיבה למפתח של סביבת AWS של אמזון – שתמיד מתחילים באותיות AKIA.
בקובץ הזה היו אלפי מפתחות אמזון עם הסודות שלהם – סוג של פרטי התחברות, בדומה לשם-משתמש וסיסמה. המפתחות והסודות מאפשרים להיכנס לסביבת האמזון של בעליהם, לגשת לקבצים וגם לבצע פעולות, כמו להריץ או לכבות מכונות. לא נעים.
מניתוח תכולת הדלי – קוד המקור, הרשימות והשלל – פענחנו את שיטת הפעולה של ההאקרים: הם אספו כתובות IP של אמזון (מידע גלוי של אמזון), חיברו אותו עם דומיינים (מידע גלוי בשודאן), והריצו סורק. הסורק שלהם די דומה לשלנו – הוא רץ על טווח ה-IP והדומיינים ומחפש צרות. אבל בעוד המטרה שלנו היא לאתר, לאסגר ולסגור פירצות, המטרה שלהם היתה לנצל אותן לרעה.
הנוזקה אספה את המידע וזרקה אותו לדלי של ההאקרים, והם ניתחו אותו: איפה שהתאפשר הם יצרו לעצמם משתמשים ברמת אדמין (כדי לשמור גישה לשם גם אם המפתחות יוחלפו); איתרו פרטי התחברות של שלל שירותים – מתקשורת ועד קריפטו; ומכרו לספאמרים גישה לשירותי שליחת אימיילים והודעות פשוטות שיכולים לשגר כמויות גדולות של ספאם בבת אחת (הנוזקה של קבוצת התקיפה אינה מהמשובחות – מצאנו אצל הנסרקים שלהם המון פירצות שהאקרים פספסו, למרבה מזלם של הקורבנות הפוטנציאליים).
חלק מקוד המקור היה חתום על ידי סזיו קייזן (Sezyo Kaizen), הכינוי של סבסטיאן ראולט (Sebastien Raoult), מנהיג כנופיית ההאקרים הידועה לשמצה שייניהאנטרז (ShinyHunters), שאחראים על פריצות לשלל גופים גדולים, ובהם AT&T, מיקרוסופט, טיקטמאסטר ואחרים.
אבל זה לא אומר שראולט קשור לכנופייה שלנו, כי די קשה להתחבר לאינטרנט מהכלא בארה"ב, לשם נשלח לרצות 3 שנות מאסר לאחר שנעצר במרוקו, הוסגר לארה"ב, נשפט והורשע. כנראה שהכנופייה שלנו, שאנחנו מכנים "שייני נמסיס", קיבלה או השיגה גישה לקוד של ראולט והתאימה אותו לצרכיה.
עוד מצאנו בקוד חתימות של מפעיל "נמסיס בלאקמרקט", שבו הכנופייה מכרה את השלל, וכן פרטי חשבונות טלגרם, כתובות מייל ומספרי טלפון, ששימשו את הקאקערים לביצוע בדיקות. רמת OPSEC: עזוב'תך יהיה בסדר.
העברנו את המידע לאמזון, והם מינו חוקר מצוות האבטחה של AWS, שפעל בנחישות לסגור את כל האקיות (המפתחות) שההאקרים גנבו. אחר כך פרסמנו את הדוח המלא [פדף, אנגלית], ובדיוק באותו יום, השוק השחור של ההאקרים בטלגרם נדם ולא שב לפעול.
אלא שהבעיה לא נפתרה במלואה – אמזון יכולים לסגור רק את המפתחות שלהם, לא של חברות אחרות. מבדיקה שערכנו עולה שחלק מהשירותים הלא-אמזוניים הפרוצים טרם נסגרו. לטובת קורבנות עתידיים פוטנציאליים, אספנו שלל עצות איך לאתר ולמנוע פריצות כאלו, ובהן החלפת מפתחות תכופה, הרצת כלי סריקה חינמיים והתקנת טוקני-קנריות. האזינו:
✍️ הערות התוכנית
(00:00:00) פרולוג: הקברן, המרכזיה ואשתו של הקברן השני
(00:02:38) פתיחה: מצאנו דלי חשוד של נוכלים צרפתים
(00:07:54) איך ומה חיפשו הנוכלים?
(00:13:18) איתרנו את זהות הקאקערים
(00:16:59) איסגרנו, פרסמנו והחנות נסגרה
(00:22:08) הבעיה נפתרה רק ללקוחות אמזון
(00:25:24) הקוד של ההאקרים היה בינוני
(00:26:08) מה זה גיט? האזינו ל-{פ44} א גיט סייבער 😾
(00:27:06) כך תתגוננו: רולז, מפתחות וקנריות
(00:32:30) פרידה וקרדיטים
(00:32:43) דוח מעבדות סייברסייבר לאבז של נעם רותם ורן לוקאר, "Shiny Hunters – Mass scanning effort targeting AWS customers"
(00:34:11) דברים שלא הייתם אמורים לשמוע
🤼 סושיאלייזינג
אחרי תנומה ארוכה עלה פרק חדש: {פ118} כל הדליים דולפים אל הדלי – והדלי אף הוא דולף. אז מה הסיפור? ⇐https://t.co/Ggq5ZBPnTL
— סייברסייבר – CyberCyber Podcast (@ohcybermycyber) 26 ביולי 2025
(🖼️ "ללא כותרת"\איתמר שמשוני, תערוכת "עירמפעל: ייצור מחדש" 📷 עוז מועלם\מוזיאון תל אביב לאמנות) pic.twitter.com/1ZGnsphZYS
👯 קרדיטים
🪗 קולות: תדריך לחיילים // היפופוטם; רגע ודודלי // חינוכית; ציוץ קנרית // Habib Mhenni cc-by; הודעה על טלפון מנותק // Benboncan cc-by 🦜 קריינות: קרי וויציג סאיי, עומר סנש 🎙️ שירותי הקלטה ואולפן: שמע פודקאסטים ויצירות סאונד 🎛️ עריכת סאונד: עומר סנש, עידו קינן 🖼️ "ללא כותרת" ⇐ איתמר שמשוני, תערוכת "עירמפעל: ייצור מחדש" 📷 עוז מועלם ⇐ מוזיאון תל אביב לאמנות
