שוב: האקרים גנבו מידע על מטוס ה-F-35

האקרים פרצו בשנה שעברה לקבלן משנה של משרד הביטחון האוסטרלי וגנבו מידע טכנולוגי מסווג על כמה אמצעי לחימה, ביניהם מטוס הקרב F-35.

בנובמבר 2016, מינהל האותות האוסטרלי (ASD), המקבילה הישראלית ליחידה 8200, קיבל התרעה מארגון עמית, לפיה האקר הצליח להשיג גישה לרשת של 50 עובדים בחברת תעופה וחלל, המשמשת כקבלן משנה למשרד הביטחון האוסטרלי.

המידע הטכני המסווג שנגנב נגע למטוס הקרב F-35, מטוס הריגול האמריקני פוסידון P8, מטוס התובלה הימי C-130, מטוסי הפצצה הימית המשותפת JDAM, וכן מידע על ספינות חיל הים האוסטרליות. היקף המידע שנגנב עומד על כ-30 ג'יגה-בייט.

גניבת הנתונים דווחה בראשונה בשבוע שעבר, במסגרת דו"ח האיומים השנתי של מרכז הגנת הסייבר האוסטרלי, ACSC. החברה שנפרצה תוארה כ-"חברה אוסטרלית קטנה עם קשרים חוזיים לביצוע פרויקטים בתחום הביטחון הלאומי". לתוקף הייתה "גישה מתמשכת לרשת במשך תקופה ארוכה" והוא גנב "כמות משמעותית של נתונים".

אנשי ASD כינו את התוקף, שפעל בתפיסת APT (איום מתקדם ומתמשך), בשם 'אלף', APT ALF – על שם דמות מאופרת הסבון האוסטרלית "קרוב רחוק", Home and Away – שרצה מאז שנות ה-90' ועד ימינו.

התוקף פעל ברשת מאז אמצע יולי 2016, וכשבועיים לאחר מכן החל בגניבת הנתונים. את פרק הזמן של שלושת החודשים בין הפריצה הראשונית שלו לרשת ועד לגילויו של התוקף, כינו אנשי ASD "המיסתורין של הזמן הכיפי והשמח של אלף".

לדברי בכיר בביון האוסטרלי, החברה שנפרצה הייתה קטנה, ורק עובד אחד ניהל את כל הפונקציות הקשורות ב-IT. בנוסף, בחברה היו חסרים מערכי הגנה בסיסיים. אף שהחברה הייתה קטנה, היא הצליחה להשיג את ההיתרים הרגולטוריים של הממשל הפדרלי בארצות הברית, הנוגעים לייצוא של אמצעי לחימה וטכנולוגיות מסווגות.

לא בפעם הראשונה

באוגוסט 2011 פורסם כי האקרים העובדים בשירות מדינה הם שעמדו מאחורי מתקפת הענק שנעשתה במרץ אותה שנה על מערך המחשוב של RSA, חטיבת האבטחה של EMC. הפריצה נעשתה בעזרת משלוח תמים של מייל לגיוס עובדים שנשלח למספר מצומצם מעובדי EMC.

מוצרי האבטחה של RSA מוטמעים במערכות מחשוב של ארגונים מסחריים וממשלות ברחבי העולם. הפריצה אירעה לתשתיות המחשוב המטפלות במנגנון האימות והזיהוי הכפול של החברה, SecurID.

הפריצה ל-RSA הובילה לפריצה ללוקהיד מרטין (Lockheed-Martin), ספקית הציוד הביטחוני הגדולה של הפנטגון האמריקני. מטרת הפריצה ל-RSA הייתה לגנוב סודות צבאיים מלוקהיד מרטין. הפריצה למערך המחשוב של RSA במרץ 2011 הייתה מהגדולות בהיסטוריית הפשע המקוון אי פעם – נכון לאז.

התחקירים שנעשו אז העלו כי מדינה – אז עוד לא היה ידוע שזו סין – רצתה לפרוץ למערכי המידע של ספקיות הציוד הצבאי הגדולות של משרד ההגנה האמריקני, לוקהיד מרטין ונורת'ופ גרומן (Northrop-Grumman), לטובת גניבת סודות צבאיים. הם לא הצליחו לעשות זאת, בשל העובדה שמערכי המיחשוב שלהן היו מוגנים על ידי התקני האבטחה של RSA. אז הם פרצו למיחשוב של RSA, וגנבו משם כתובות מייל. הפריצה ל-RSA נעשתה בשל משלוח מייל הנושא את הכותרת "תכנית גיוסים ל-2011", לכמה מעובדי EMC, ומשם הצליחו ההאקרים להגיע ולפרוץ ל-IT של לוקהיד מרטין.

חודשיים לאחר המקרה, במאי 2011, הודיעה לוקהיד-מרטין, יצרנית הענק של מטוסים וציוד צבאי, שחסמה באופן זמני את הגישה לרשת התקשורת והמחשבים שלה, לאחר שזו נפרצה על ידי האקרים.

החברה, שמייצרת, בין היתר, את מטוסי הקרב F-22 ו-F-35, מסרה בנוסף שהיא איפסה את סיסמאות הגישה של העובדים. הפריצה למערך המחשוב של לוקהיד-מרטין קושרה לזו שאירעה ל-RSA, שכן לוקהיד-מרטין היא לקוחה של RSA.

כשנה לאחר המקרה, ה-2012, השיקה סין מטוס חמקן הדומה דמיון מדהים – שלא לומר העתק – ל-F-35, החמקן האמריקני.