בנג'מין ברנדג' / צילום: הוול סטריט ג'ורנל
מחדר המעונות שלו במכון הטכנולוגי של רוצ'סטר (RIT) בנג'מין ברנדג' התקרב לפתרון תעלומה שאפילו חוקרי אינטרנט מנוסים ניצבו מולה בתדהמה. מם של חתול היה הדבר שעזר לו לפצח את התיק.
רשת הולכת וגדלה של מכשירים שנפרצו פתחה בגל מתקפות סייבר מהגדולות שנראו אי־פעם. היא הפכה לנשק הסייבר החזק ביותר שנבנה מעולם, גדולה מספיק לשתק את האינטרנט של מדינה בארה"ב או אפילו של מדינה עצמאית קטנה. החוקרים לא ידעו בדיוק מי בנה אותה או איך.
● המרוץ לירח חוזר, וישראל מחממת מנועים
● בשוק שנשלט בידי מונופול: חברת התה ממגדל העמק שנכנסת למגרש של הגדולים
● פורטפוליו | אחרי 24 שנה הוא פרש מאינטל - כדי להיות מספר אחת בישראל בחברה המתחרה
גם ברנדג' עקב אחר המתקפות, ובין השיעורים ניהל חקירה משלו. בספטמבר הסטודנט, שהיה בשנת הלימודים האחרונה שלו, החל להתכתב באינטרנט עם משתמש אנונימי שנראה כי יש לו ידע פנימי.
הם שוחחו בדיסקורד, פלטפורמה מועדפת על גיימרים, וברנדג' היה להוט לקבל מידע נוסף, אך לא רצה להיראות רציני מדי ולטרפד את השיחה. אז מדי פעם שלח GIF מצחיק כדי להקליל את האווירה. הוא התמצא בממים, בבדיחות ובז'רגון הטכני הפופולריים בקרב גיימרים צעירים והאקרים ששקועים עמוק בתוך הרשת. "קצת חזרתי על השאלה שוב ושוב, ואז הייתי קצת לא רציני", אמר ברנדג'.
בשלב מסוים הוא ביקש כמה פרטים טכניים, ואז שלח את המם של החתול: קליפ בן שש שניות שהראה יד מסדרת עניבה על צווארו של חתול פרוותי אפור. ברנדג' לא ציפה שזה יעבוד, אך הוא קיבל את המידע. "זה תפס אותי בהפתעה", אמר.
בסופו של דבר המדליף רמז שקיימת פרצת אבטחה חדשה באינטרנט. ברנדג' (22) יגלה בהמשך כי היא מאיימת על עשרות מיליוני צרכנים וכרבע מהתאגידים בעולם. הממצאים שלו ופענוח התעלומה הרשימו חוקרים ותיקים, לרבות רשויות אכיפת החוק הפדרליות, שנקטו פעולה נגד הרשת בחודש שעבר.
צ'אד סימן, חוקר בחברת מחשוב הענן אקמאי, התלוצץ בשלב מסוים כשאמר שהאינטרנט עלול לקרוס אם ברנדג' יקדיש יותר מדי זמן בלימודים למבחנים שלו.
התרעה מוקדמת
שלוש פעמים בשנה כמה מאות מאנשי הטכנולוגיה שמתחזקים את פעילות האינטרנט בצפון אמריקה מתכנסים כדי לדסקס עניינים מקצועיים. ביוני האחרון הם נפגשו בכנס בדנוור, שאירחה קבוצת מפעילי הרשתות של צפון אמריקה.
אחד הנושאים המרכזיים היה עסק שצומח במהירות ולעתים קרובות מפוקפק מבחינה משפטית, המכונה רשת פרוקסי למגורים (residential proxy network). עשרות חברות ברחבי העולם מפעילות רשתות כאלה, שמבוססות על מכשירים של משתמשים פרטיים, כמו טלפונים, מחשבים ונגני וידאו.
חברות פרוקסי מגורים אלה משכירות גישה לחיבורי אינטרנט במכשירים ללקוחות שרוצים להיראות כאילו הם גולשים באינטרנט מכתובת מגורים אמיתית.
גישה מסוג זה היא שימושית עבור אנשים שרוצים פרטיות או עבור חברות שרוצות להתחזות לאנשים רגילים כדי לבדוק תכונות אינטרנט באזורים מסוימים או כדי לגרד נתונים (למשל, באתר השוואת מחירים). חברות בינה מלאכותית משתמשות ברשתות האלה כדי לעקוף חסימות על תעבורה אוטומטית וכך לאסוף כמויות גדולות של נתונים לאימון המודלים שלהן.
ויש גם לקוחות שרוצים להסתיר את זהותם בשעה שהם עוסקים בספסרות כרטיסים, הונאות בנקאיות, איום בהנחת מטען חבלה, הטרדה, ניצול ילדים, האקינג או ריגול.
חלק מבעלי המכשירים נרשמים מרצונם כדי שיוכלו להרוויח כמה דולרים בחודש, אך לרובם אין מושג שהם מחוברים לרשת כזאת.
בכנס המומחים בדנבר קרייג לבוביץ' היה מודאג מאוד. המנהל מנוקיה עקב במשך שנים אחר זרימות הנתונים של תשתית האינטרנט, והכיר את מרכזי הנתונים, הצמתים הקריטיים והמבנה של הרשת טוב יותר מרוב האנשים.
מינואר 2025 החיישנים של נוקיה קלטו סדרה של מתקפות סייבר חזקות יותר ויותר, שהגיעו ממכשירים שבעבר לא נחשבו מסוכנים. אלה, המכונות תקיפות מניעת שירות מבוזרות (DDoS), היו מבול של נתוני זבל באינטרנט, שנועדו להשבית אתרים באמצעות הצפת ערוצי התקשורת המחברים ביניהם. הן מופעלות לעיתים בידי סחטנים או אפילו יריבים עסקיים המבקשים לחבל ברשתות מחשבים.
נוקיה הבחינה במאות אלפי מכשירים שהצטרפו למתקפות אלה. מתקפה חסרת תקדים שאירעה מאוחר יותר ב־2025 על ספקית שירותי האינטרנט Cloudflare הייתה "כאילו כל האנשים בבריטניה, גרמניה וספרד מקלידים בו זמנית כתובת אתר ואז לוחצים על enter באותה השנייה", אמרה Cloudflare.
נראה היה שהרשת, שנודעה בהמשך בשם קימוולף (Kimwolf), השתמשה במתקפות שלה בחיבורי פרוקסי מגורים - מה שהקנה לה פוטנציאל לגרום נזק עצום. "המסר הבסיסי היה - אתם צריכים לפחד", נזכר לבוביץ'.
קימוולף כללה הרבה מכשירי פרוקסי מגורים שהיו מחוברים לחברה סינית מסתורית. אבל משהו לא הסתדר. רשתות כאלה אירחו אמנם תעבורה זדונית רבה, אך החברות שהפעילו את אותן התריעו בדרך כלל מפני התקפות DDoS (שמקורה בכמה מחשבים מסונכרנים). ברגע שמכשיר התחיל להשתתף במתקפת DDoS, הוא נכנס לרשימה שחורה בידי חלק ניכר מהאינטרנט, וזה לא היה טוב לעסקים.
גם אחרים היו מודאגים, כולל ה-FBI ומשרד ההגנה.
"הוא רוצה להשוויץ"
בנג'מין ברנדג' לא תמיד היה חנון מחשבים. הוא מתאר את עצמו כ"תלמיד די טוב" בילדותו שאהב לצאת להרפתקאות בטבע ליד עיר הולדתו סיאטל. כילד העדיף לעשות סקי על פני צפייה ביוטיוב.
כשנתקע בבית במהלך הקורונה החל ברנדג' לבלות שעות ארוכות במיינקראפט, משחק וידאו מסוג "בנה עולם משלך" שעבור רבים הוא גם שער לתכנות. הוא למד ליצור מודים וצ'יטים.
פתאום הוא החל לבקש מאביו, מהנדס לשעבר במיקרוסופט, להסביר לו פורמטים לא מוכרים של קבצים של Windows.
ברנדג' החל לשקוע בתרבות רשת של טראש טוק, ממים, בדיחות ילדותיות ובסופו של דבר, גם האקינג. "בהחלט התעסקתי בדברים שכנראה לא הייתי צריך להגיע אליהם בגיל כל כך צעיר", אמר. "אבל הבנתי די מהר שזה יוביל אותי למקום לא טוב".
במקום זאת, הוא הפנה את כישורי הפריצה שלו למחקר לגיטימי בתחום אבטחת הסייבר. בשנה האחרונה שלו בתיכון הוא מצא באגים באתרי אינטרנט השייכים לממשלת הולנד, ודיווח עליהם באמצעות תוכנית שהציעה להאקרים פרסים על חשיפת ליקויי אבטחה. כמה חודשים לאחר מכן מרכז אבטחת הסייבר הלאומי ההולנדי שלח לו בדואר את הפרס: חולצת טריקו שחורה. נכתב עליה: "פרצתי לממשלת הולנד וכל מה שקיבלתי היה החולצה הגרועה הזאת".
הוא זוכר את החוויה כאחת המתגמלות ביותר בחייו הצעירים: "פרץ של דופמין", הוא אמר.
בהשראתה ברנדג' פיתח אובססיה לכלי גירוד נתונים ברשת (סקרייפרים) - תוכנות אוטומטיות שאוספות כמויות עצומות של נתוני אינטרנט לניתוח. הדבר הוביל אותו לבחון רשתות פרוקסי למגורים. בסוף שנת הלימודים השנייה שלו בקולג' הוא קטלג אותן בקפידה.
כמו לבוביץ' מנוקיה, הוא נעשה מקובע על החברה הסינית שמאחורי רשת הפרוקסי המחוברת לקימוולף. החברה, שנקראת איפידאה (Ipidea), לא ציינה מנכ"ל או מייסד באתר האינטרנט שלה; אפילו לא הייתה לה כתובת. נראה שהיא פעלה תחת יותר מתריסר שמות עסקיים.
איפידאה לא השיבה לבקשות התגובה לכתבה זו. דוברת מטעם החברה אמרה לוול סטריט ג'ורנל מוקדם יותר השנה כי החברה "תמיד התנגדה במפורש לכל צורה של התנהגות בלתי חוקית או פוגענית" ברשת שלה.
ברנדג' נהג לקום בשעה 4:00 לפנות בוקר כדי לפענח את הרשת הבינלאומית של מכשירים צרכניים המרכיבים את איפידאה. ליד שולחן העבודה בחדר המעונות שלו הוא עסק שעות בזיהוי כתובות ה-IP - תוויות מספריות, בדומה למספרי טלפון - המוקצות למכשירים המחוברים לרשת. אחר כך הלך לשיעורים. "שגרת השינה שלי היא ממש ממש מוזרה", אמר.
בחלק מן הלילות חבריו הלכו לשחק באולינג או למסיבות. הוא החמיץ את הבילויים לעתים קרובות. באוגוסט הוא הקים חברה שבה היה העובד היחיד, Synthient, ומכר רשימות של כתובות IP משויכות כדי להזהיר חברות מפני הונאה.
בספטמבר, בניסיון לקדם את החברה שלו, ברנדג' פרסם בצ'אט של פלטפורמת דיסקורד קישור לכלי שיצר. הכלי אפשר לאנשים לראות אם כתובות ה-IP שלהם נמצאות ברשימה של Synthient.
שבוע לאחר מכן הוא קיבל הודעה בדיסקורד שלפיה חסרות כמה כתובות IP ברשימה שלו. "אי אפשר לאתר את כולן", כתב המשתמש לפני ששלח כמה צילומי מסך שהוכיחו את הטענה.
"הוא רוצה להשוויץ", חשב ברנדג'. זה היה הזמן להשתמש במם החתול.
המתקפה ממסגרת התמונה
זמן קצר לאחר מכן ברנדג' שוחח באינטרנט עם חוקר אבטחת סייבר אנונימי, שהציג אותו בהמשך בפני כריס פורמוזה, מהנדס בחברת הרשתות Lumen.
פורמוזה היה חלק מקבוצת עבודה בשם ביג פייפס (Big Pipes), שכללה עשרות עובדים מכמה מספקי השירותים החשובים ביותר באינטרנט. כאשר התרחשה מתקפת DDoS, המומחים של ביג פייפס ידעו בדרך כלל כיצד מתבצעת המתקפה ומה התוכנה שמאחוריה.
אך קימוולף הצליחה לבלבל אותם. פורמוזה היה בכנס בדנבר, ובאוקטובר ביג פייפס עדיין לא פיצחה את התעלומה. נראה היה שקימוולף השתמשה ברשת של איפידאה, אבל איך? האם היא הייתה לקוחה?
ברנדג' סיפר לפורמוזה מה גילה מהשיחה שלו בדיסקורד, ועל כמה מאיפידאה הוא כבר מיפה.
"עבדתי על איפידאה כמעט שנתיים", אמר פורמוזה. "היה פשוט מטורף לשמוע שלסטודנט הזה היה כל כך הרבה מידע עליהם".
בתוך שבוע ברנדג' הצטרף לשיחת הוועידה השבועית של ביג פייפס, ושיתף במה שידע.
זמן קצר לאחר מכן אחת החברות שהשתתפו בביג פייפס נפגעה ממתקפת סייבר מצד קימוולף. כשבחנו את הנתונים, מהנדסים מהחברה הבינו שחלק מהתעבורה הזדונית הגיעה מכתובת ביתו של אחד העובדים. הם עקבו אחר מקור המתקפה והגיעו למכשיר: מסגרת תמונות דיגיטלית, ששיגרה מאות אלפי חבילות נתוני זבל.
המסגרת, של מותג בשם Apofial, נמכרה באמזון תמורת קצת פחות מ-50 דולר. אמזון מסרה כי המוצר אזל מהמלאי כבר בשנה שעברה, וכי היא נוקטת פעולה לאחר שהיא מוודאת שמוצר של צד שלישי נגוע בתוכנה זדונית. לא ניתן היה להשיג את Apofial כדי לקבל תגו בה.
המסגרת הפכה לחלק מקימוולף... אבל איך?
פריצת דרך באמצע הסמסטר
ברנדג' וחוקרי ביג פייפס עמלו במשך שבועות בחיפוש אחר רמזים נוספים באינטרנט. ברנדג' הצטרף לערוצי דיסקורד וטלגרם המוקדשים לגירוד אתרים ולשירותי פרוקסי למגורים. בסופו של דבר הוא הגיע אל כמה ערוצים שמפעילי קימוולף ועמיתיהם השתמשו בהם.
לעתים ברנדג' פשוט ביקש מידע.
לתדהמתו, הוא גם קיבל תשובות. למפעילי קימוולף עצמם הייתה רשת פרוקסי למגורים שהייתה קשורה איכשהו לרשת של איפידאה. הם היו יצירתיים מבחינה טכנית, אך נראה היה שהם צעירים, והיו להם שותפים שדיברו יותר מדי על מעלליהם. ברנדג' גילה כי הם הוציאו כ־30 אלף דולר בחודש רק כדי להפעיל את השרתים, שהיו המוח של הבוט נט שלהם (או רשת המחשבים שנפרצו). משמעות הדבר הייתה שהרשת עצומה.
סימן, החוקר מאקמאי שגם חבר בביג פייפס, היה המום ממה שברנדג' גילה. בסוף אוקטובר היה לסימן מושג די ברור על האופן שבו קימוולף מתגנבת לרשתות של איפידאה.
ברנדג' רצה הוכחה חד־משמעית. הוא התקין את התוכנה של איפידאה, לאחר שהוריד אותה מאתר אינטרנט שהציע אפליקציות סטרימינג פיראטיות, על טלפון אנדרואיד שיוכל לנטר. ב-16 בנובמבר - ממש באמצע תקופת הבחינות של אמצע הסמסטר - ברנדג' ראה את הטלפון שלו מתקשר עם דומיין שיוצרי קימוולף הקימו.
לאחר שקילפו את השכבות, הוא וצוות ביג פייפס גילו באג בקוד של איפידאה. התוכנה הייתה שער להאקרים.
איפידאה ומפעילי קימוולף לא היו שותפים. קימוולף שילמו עבור גישה למכשירי הפרוקסי למגורים של איפידאה והתקינו עליהם תוכנת פרוקסי למגורים משלהם, שאפשרה התקפות DDoS. לאחר מכן הם מכרו גישה ללקוחות משלמים - פשעי סייבר כשירות.
בסופו של דבר ברנדג' ספר כ-2 מיליון מן המכשירים הפרוצים האלה, עשרות אלפים חדשים נוספו מדי יום. כולם היו מכשירי אנדרואיד: מערכות סטרימינג של וידאו, טלפונים, מצלמות וכמובן מסגרות תמונה דיגיטליות. המכשיר הפופולרי ביותר היה מכשיר סטרימינג שניתן לרכוש באינטרנט בפחות מ-36 דולר.
כעת החוקרים היו צריכים להזהיר את העולם.
בחינות גמר
ברנדג' זיהה 11 מחברות הפרוקסי למגורים הגדולות ביותר, כולל איפידאה, שהיו פגיעות לבאג, והחל לנסח מיילים אליהן, המסבירים כיצד לתקן את הבעיה.
אך לפני כן היה עליו להשלים את בחינות הגמר שלו.
יום לאחר המבחן האחרון שלו, ב-17 בדצמבר, הוא שלח את המיילים. חמישה ימים לאחר מכן הוא עלה על מטוס לחופשת חג המולד במקסיקו, שם היה חולה בשפעת כמעט כל התקופה. חג המולד הגיע וחלף ללא אסון DDoS.
ב-26 בדצמבר קיבל ברנדג' מייל התנצלות מאיפידאה. המייל שלו הגיע לתיקיית דואר הזבל שלהם, אך הם תיקנו את הבעיה.
דוברת איפידאה אמרה בעבר לג'ורנל כי החברה "נהגה לאמץ אסטרטגיות התרחבות שוק אגרסיביות יחסית", אך מאוחר יותר הקשיחה את נוהלי הפעילות העסקית שלה.
שבוע לאחר מכן בלוגר האבטחה בריאן קרבס פרסם כתבה שהדגישה את מחקרו של ברנדג' על מקורה של קימוולף. בתוך שעות ספורות רנה ברטון, ראשת מודיעין האיומים בחברת הרשתות Infoblox, שלחה הודעה לברנדג'. היא נדהמה לגלות שרבע מלקוחותיה העסקיים נדבקו בתוכנת קימוולף.
ההאקרים לא רק פתחו דלת אחורית למיליוני רשתות ביתיות - הם גם יצרו דרך לפרוץ לאלפי תאגידים. האקר מתוחכם יותר היה יכול לגנוב סודות תאגידיים, להתקין תוכנות כופר או ליצור דלת אחורית כדי לחזור לרשת, אמר ברנדג'.
ברטון עדיין אינה בטוחה כיצד לקוחות עסקיים רבים כל כך נפגעו. ייתכן שחברות הפעילו מכשירי סטרימינג שהודבקו מראש, או שלעובדים הייתה תוכנת פרוקסי ביתית בטלפונים או טאבלטים מאחורי חומות אש ארגוניות. "למדנו כל כך הרבה מאז אוקטובר, שנראה כאילו אנחנו רק מגרדים את פני השטח", אמרה.
בינואר גוגל השתמשה בצו בית משפט בארה"ב כדי להנחית מכת מחץ על איפידאה. גוגל זיהתה בשנה שעברה יותר מ-10 מיליון מכשירי אנדרואיד שהגיעו עם תוכנת הפרוקסי למגורים של איפידאה שהותקנה מראש בסתר. היא נקטה צעדים משפטיים כדי להסיר 13 מן הדומיינים העסקיים של החברה ולסגור עשרות שרתים שבהם איפידאה השתמשה להפעלת רשת הפרוקסי למגורים שלה.
ב-19 במרץ הרשויות הפדרליות הודיעו כי שיבשו ארבעה מהבוטנטים הגדולים בעולם של מתקפות DDoS, לרבות קימוולף. הרשת הפעילה יותר מ-26 אלף התקפות DDoS שכוונו ליותר מ-8,000 קורבנות, על פי מסמך שהוגש לבית המשפט. ההודעה לעיתונות שפרסמה את ההסרה הודתה בין היתר לחברה של ברנדג', Synthient.
מומחים בתעשייה אומרים שקימוולף היא כיום צל של מה שהייתה בעבר. חברת אבטחת הסייבר Netscout אומרת שהיא רואה כ-30 אלף מכשירים שנגועים בקימוולף פעילים בכל רגע נתון.
לאחרונה ברנדג' קיבל הודעת טקסט מגורם פדרלי בנושא. הגורם שמע על פרס איתור הבאגים שברנדג' קיבל מממשלת הולנד לפני שנים ושאל: "לאיזו כתובת אפשר לשלוח לך חולצת טי בדואר ומה המידה שלך?".