לצורך פרויקט הבוטים שנועד לחשיפת רשתות השפעה בטוויטר כתבנו, יובל אדם ואני, מספר כלים שעוזרים לנו לנתח חשבונות וקשרים בין חשבונות. כחלק מפעילות הניטור שלנו, ודי במקרה, למעשה, נתקלנו במספר חשבונות שקידמו אתר חיצוני בשם “קורי עכביש”, ושלכאורה חושף את פרטיהם האישיים של ראש המוסד יוסי כהן ושל דובר צה”ל בערבית אביחי אדרעי. במאמץ לא גדול הצלחנו לקבל גישה לקוד המקור של האתר ולזהות אינדיקטורים לכך שלכאורה מפעיליו פועלים מלבנון, אך שפת הממשק של כמה מהחשבונות שהפיצו אותו היו עברית ורוסית. דיווחנו את ממצאינו לגורמים המוסמכים וכרגע העניין נמצא בטיפולם. כמו כן פנינו לטוויטר בתקווה שהם יטפלו בחשבונות המעורבים.

לפני שנתחיל: אזהרה

ברצינות, אלא אם אתם ממש יודעים מה אתם עושים - אל תנסו למצוא ולהיכנס לאתר הזה. לכל הפחות סיימו לקרוא את הטקסט, תבינו מה מצאנו שם, ואז תחליטו אם בכל זאת בא לכם ללכת על זה.

מעשה שהיה כך היה

כחלק מפעילות הניטור של פרויקט הבוטים בטוויטר אנחנו לא מנתחים רק קשרים בין חשבונות, אלא גם מה הם עושים, איך, ומהי האג’נדה שהם מנסים לקדם. כחלק מבדיקה שערכנו על אחת הרשתות מצאנו מספר עוקבים שהרימו דגלים אדומים מבחינת פעולתם. הם עקבו אחרי חשבונות ישראלים (שחלקם עקבו אחריהם בחזרה), אבל התכנים שלהם היו מאוד מכוונים להפצה של לינק לאתר ספציפי שנקרא “קורי עכביש” (אנחנו לא ניתן פה לינק מסיבות שבקרוב יובהרו). המפעילים רכשו את הסיומות com, net, org, ו-info, והפנו את כולם לאותן שתי כתובות IP שמגישות את אותו התוכן.

מבחינת העוקבים של החשבונות הללו, שאינם רבים, מדובר בתערובת של צייצני ימין-לייט, בעיקר כאלה המפיצים תכנים יהודיים, ומספר חשבונות ספאם. הפניה של החשבונות שהפיצו קישור לאתר היתה לשורה של חשבונות ישראלים ויהודים, שעיקרם עיתונאים. עוד דבר שמעלה סימני שאלה הוא ששפת הממשק של החשבונות הללו היא עברית ורוסית.

כמו כן, ניסיון לשחזר את הגישה לחשבונות הביא כתובות אימייל שיתכן ששייכות לשירות הדואר האלקטרוני של “וואלה” הישראלית.

האתר

האתר עצמו אותו קידמו החשבונות בטוויטר הוא אתר הכתוב בשפת PHP, ואשר כלל שלושה עמודים בלבד: דף בית, דף מידע על ראש המוסד יוסי כהן הכולל את כתובת מגוריו, צילומים של ביתו, מספר הזהות שלו, לכאורה, ושמות אשתו, הוריו, וילדיו, ודף בעל תוכן דומה לגבי דובר צה”ל בערבית אביחי אדרעי. על פניו, הטכניקה הזו נקראת “דוקסינג” (Doxing, בלעז) - פרקטיקה החושפת פרטים מהעולם שמחוץ לרשת שעלולים לאפשר למי שמעוניין בכך להגיע למטרה שלו ולפגוע בה. במקרה הזה מדובר בשני אישים שהפופולריות שלהם בעולם הערבי אינה בשיאה, ואפשר להניח שפרסום כתובת הבית הפרטי שלהם עלולה להעמיד אותם בסיכון משמעותי.

אבל עם כל הכבוד לדוקסינג, ויש כבוד, זה לא החלק המעניין בו. הקוד שרץ עליו, בצד הדפדפן, נועד ליצור “טביעת אצבע”, ולנצל חולשות ידועות על מנת לגלות מידע נוסף על הגולשים. חלק נבזי במיוחד בקוד נועד לזהות את כתובת הIP של המשתמש גם אם נמצא מאחורי VPN באמצעות שימוש לרעה בטכנולוגיית WebRTC. גרסה מסוימת של העמוד גם מנסה להפעיל פקודות של מערכת ההפעלה “חלונות” באמצעות חולשת אבטחה ידועה, והקוד גם מנסה לגשת למידע גיאוגרפי על מנת לנסות, ככל הנראה, לחשוף טוב יותר את מיקום הגולשים. המידע שנאסף על ידי הדפדפן באמצעות הקוד הזה נשלח לשרת.

מפה לשם, הצלחנו לקבל גישה לקוד המקור של האתר, כולל זה של צד השרת. לא מדובר בקסם, חלילה, אלא מסתבר שמפעיליו “שכחו” קובץ גיבוי נגיש מהרשת ובו כל הקבצים שהיינו צריכים. אחרי שבחנו את הקוד, ואחרי הבוז המתבקש לחובבנות של מי שכתב אותו, מצאנו כמה פרטים מעניינים.

ראשית, אזור הזמן המוגדר בקבצי המקור הוא “Asia/Beirut”, מה שלכאורה עשוי לרמוז שמפעיליו רצו שכל הזמנים של הקבצים והפעולות שנרשמו בו יהיו אזור הזמן המקומי שלהם, בביירות. מאידך, בשילוב עם שפות הממשק של הפרופילים שהפיצו אותו, לא ניתן לשלול שמדובר במהלך שתכליתו דיסאינפורמציה ולאופרציה אין שום קשר לבנוני.

שנית, הקוד איפשר לנו לראות היכן נשמרים קבצי הלוג, ועוד קצת הקלקות על המקלדת איפשרו לנו לקבל גישה גם אליהם ולראות מי ניגש לאתר הזה ואת המידע שנאסף עליו.

באופן כללי, קוד צד השרת חובבני מאוד ולא עומד בשום סטנדרט. הרבה מאוד העתק והדבק, אין טיפול בשגיאות, יש הרבה הנחות שעלולות להיות שגויות, ובקיצור - שום דבר שהיה עובר ביקורת של מפתח עם ניסיון של יותר משלושה חודשים. עם זאת, קוד צד הלקוח, למרות שנראה שהוא נלקח ממקום אחר (עדיין עם ההערות שמסבירות מה עושה כל שורה), הוא ברמה גבוהה יותר.

עוד שווה לציין כי האתר עצמו שוכן על שרת יעודי בבולגריה שנרכש משירות אירוח שמאפשר תשלום במטבעות קריפטו, עניין שעלול להקשות על ההתחקות אחרי מפעיליו.

אפקט

למרבה המזל, על פי קבצי הלוג שהצלחנו לראות, האתר הזה לא הצליח למשוך יותר מדי תשומת לב. עם זאת, יתכן שמראש הוא נועד לעיני אנשים ספציפיים מאוד, והקוד שרץ עליו נועד לנסות ולמצוא חולשות ברשת שלהם. אין לנו את הכלים לדעת אם הניסיון הזה הצליח, אבל כן משוכנעים שפניה מסודרת מטעם גורמים מוסמכים לטוויטר ול”וואלה” יכולה לחשוף מידע נוסף.

לסיכום, אזור הזמן של הקבצים הוגדר כזה של ביירות, שפות הממשק של החשבונות המפיצים היו בעברית וברוסית, העילגות בשפה האנגלית עשויה להצביע על כך שהמפעילים אינם דוברי אנגלית, והחובבנות הטכנית עשויה לרמוז על כך שהגוף שעומד מאחוריה אינו מהמעולים שבהם, או שהוא מנסה להתחזות לאחד כזה. אדם חשדן היה יכול להניח שאף ארגון שמכבד את עצמו לא היה מרשה לקוד נחות כל כך לעלות לרשת, וכי החולשות הבולטות כל כך בשרת נועדו לכך שהקוד המצביע על ביירות יתגלה על ידי עיניים סקרניות.

בימים אלה אנחנו יוצאים בקמפיין גיוס המונים שיאפשר לנו להמשיך ולמצוא רשתות השפעה זרות ומקומיות. הקמפיין מגיע עם הקדמת הבחירות, והמשאבים הנדרשים מאיתנו ומאחרים על מנת לאתר אותן ולפעול לסגירתן. אנחנו מאמינים שאנחנו יושבים על כמה רשתות לא קטנות המופעלות על ידי גורמים הן מבית והן מבחוץ, ונשמח לעזרתכם בחשיפתן. פרטים נוספים על הפרויקט תוכלו למצוא כאן.