דל מצאה קבוצת האקרים סינים מתוחכמת יותר מהאחרות

אנשי יחידת האיומים הנגדיים של דל גילו קבוצת האקרים שפעלה נגד ארגוני ביטחון, מסחר ופוליטיקה בעולם - לא בשיטת "תפוס כפי יכולתך" אלא תוך התמקדות במטרות

מתוחכמים מכולם. אילוסטרציה: BigStock

נחשפה קבוצה של האקרים סיניים, שפעלה כנגד ארגונים רבים בעולם ממגזרי הביטחון, המסחר, וכן ארגונים פוליטיים. ההאקרים התמחו בגניבת מידע רגיש מאותם ארגונים ותקפו מאות אלפים מהם.

את קבוצת ההאקרים גילו Dell SecureWorks – אנשי יחידת האיומים הנגדיים של דל (Dell). החוקרים כתבו בדו"ח שלהם כי אף שריגול מקוון של האקרים סיניים הוא דבר נפוץ ואף מתועד, הרי שקבוצה זו, המכונה Emissary Panda – התמחתה בתחכום מקצועי רב בעבודות הריגול המקוון והפריצות שלה, "באופן שלא נראה בעבר על ידי האקרים סיניים".

לדברי אהרון הקוורת', מהנדס בכיר ביחידת האיומים של דל, "במקרים שהצלחנו לצפות בהם, יעדי התקיפה של ההאקרים היו ארגונים ופרויקטים מאוד ספציפיים. מצד אחד הם היו מאוד ממוקדים, ומצד שני הם פעלו כנגד ארגונים מקשת רחבה של מגזרי תעשיות. זה מצביע על כך שהם לא היו ההאקרים ה'סטנדרטיים', שברשותם כלי פריצה אחד. דפוס הפעולה שלהם היה מאוד ייחודי ומאופיין, עם מיקוד של פריט מידע ספציפי אותו הם גנבו מארגון ספציפי, ולא בשיטה של לרסק ולקחת הכל".

הקוורת' לא פירט את שמות הארגונים שהותקפו, אך ציין כי החוקרים גילו יותר מ-100 ארגונים שהותקפו באופן התקיפה הייחודי לקבוצת ההאקרים, כאשר 50 מתוכם בארצות הברית ובבריטניה, וציין כי "מדובר רק בקצה הקרחון".

המחקר של Dell SecureWorks סותר את התפיסות המקובלות לגבי האקרים סיניים הפועלים בדרך כלל בשיטת "תפוס כפי יכולתך", משמע פריצה לאן שהדבר מאפשר וגניבת פרטי מידע רבים ככל האפשר, בלא סיווג ומיון.

התקפת חור בהשקיה

קבוצת ההאקרים הסינית הובחנה בראשונה בשנת 2013, כאשר תקפה את אתרי האינטרנט של שגרירות רוסיה בוושינגטון ושל משרד ההגנה הספרדי. יעדים נוספים היו שגרירויות של מדינות באפריקה, אירופה ואסיה, כמו גם ארגונים לא-ממשלתיים העוסקים ביחסים בינלאומיים ובענייני ביטחון.

שיטת הפעילות שלהם מכונה "התקפת חור בהשקיה", בה ההאקרים מנצלים את האתר שנפרץ לטובת החדרת נוזקות באלה הגולשים בו.

מאז גילו אותם, חוקרי דל עקבו אחר ההאקרים והבחינו כי הם תוקפים מגוון רחב של יעדים, בהם קבלנים גדולים העובדים מול משרד ההגנה בארצות הברית, חברות תעופה וחלל, יצרניות כלי רכב, ארגונים ממגזר האנרגיה, משרדי עורכי דין המטפלים בעסקאות רגישות, וכן מטרות פוליטיות – כולל בני מיעוטים אתניים בסין.

לדברי חוקרי דל, כמה סממנים מעידים כי מדובר בהאקרים סיניים: העובדה כי אחת מקבוצות היעד למתקפה הייתה בני מיעוטים אתניים בסין; שעות הפעילות של ההאקרים; הנוזקה עימה תקפו; וכן השימוש שלהם במנוע החיפוש באידו (Baidu). למרות שחוקרי דל משוכנעים בזהות הלאומית של ההאקרים, הם לא טוענים כי ההאקרים פועלים כשלוחי הממשל הסיני. זאת למרות שהעובדה הידועה לכל, לפיה ההאקרים בסין פועלים בשירות הממשל.

הקוורת' ציין כי ברגע שההאקרים הצליחו לבצע את החדירה הראשונה לתוך רשתות הארגון המותקף, בתוך שעות הם השיגו הרשאות גישה לכל מקום במערך ה-IT, "ואז הם היו שוהים בו ימים או שבועות, תוך שהם עורכים רשימות מפורטות של פריטי מידע ורשומות בעלות ערך, ולבסוף גונבים רק כמה פריטים נבחרים". הוא הוסיף כי פעמים רבות ההאקרים – אם התגלו וסולקו מהרשת הארגונית אליה פרצו, הצליחו לחדור אליה שוב, "מידת העקשנות וההתמדה שלהם מעוררת הערכה. הם חדרו וניסו לחדור שוב, לא משנה מה הייתה תגובת הנגד של המגנים". הוא סיכם באומרו כי, "דפוס פעולה ייחודי זה, המשלב שיטתיות, דיוק, מיקוד, עבודה כירורגית, בשילוב מבנה ארגוני מתוחכם וממושמע – הוא שגורם לחוקרים שלנו להאמין כי קבוצת ההאקרים הזו היא הטובה בתחומה".

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים