האקרים מסין תקפו בסייבר תשתיות בארצות הברית

לצד מלחמת הסחר בין ארצות הברית לסין, והחרם שהטילה וושינגטון על מוצרים סיניים, נמשכת גם מלחמת הסייבר בין שתי המדינות. את המהלך האחרון ביצעה סין: APT10, קבוצת ההאקרים הנודעת לשמצה, שממומנת ככל הנראה על ידי המשרד לביטחון המדינה בבייג'ינג, היא החשודה העיקרית בעוד קמפיין סייבר ממוקד שנערך נגד ארצות הברית.

מתקפת הסייבר נערכה בחודש האחרון וניסתה לפגוע במתקני תשתיות קריטיות אמריקניים. את המתקפה גילו חוקרי פרוף פוינט בסוף השבוע, והם הזהירו כי "יש להתייחס לכל מתקפה ממוקדת על תשתית קריטית כאל סיכון גבוה במיוחד. המאפיינים של מתקפה זו מצביעים על סיכון חמור במיוחד לתשתיות הקריטיות של ארצות הברית".

המתקפה, מסוג Spear-phishing, החלה במשלוח מיילים לעובדי חברת תשתיות, ששמה לא נמסר. המיילים נחזו להיות כאילו נשלחו מהמועצה הלאומית האמריקנית לבוחנים להנדסה ומדידות (NCEES), ונכללו בהם, לכאורה, תוצאות של בדיקות מקצועיות. למעשה, הצרופות של המיילים הכילו קבצי וורד נגועים. חוקרי פרוף פוינט הבחינו כי הנוזקה שהוחבאה כללה מתן יכולות לפיקוד ושליטה מרחוק להאקרים, וכינו אותה "LookBack".

על פי החוקרים, מייקל ראגי ודניס שוורץ, לאחר שנפתחת הצרופה הנגועה, קבצים המכילים מידע רגיש ממחשב הקורבן מועברים להאקרים. לדבריהם, הנוזקה יכולה לתקוף ולחקות מגוון רחב של תהליכים במחשב נגוע – אך בעיקר, המטרה שלה היא לגנוב קבצי נתונים ולצלם צילומי מסך תפעוליים.

מתקפות קודמות של APT10

APT10 פועלת מ-2006 וידועה בשמות נוספים, כגון Stone Panda ,MenuPass ו-Potassium. בשנים האחרונות, החל מ-2014 לערך, הקבוצה משתמשת בתקיפת ספקיות שירותי IT, חלקן חברות גלובליות, כווקטור תקיפה נגד לקוחותיהן. בתחילת השנה דווח כי הקבוצה תקפה ארגונים שונים בעולם, באמצעות תקיפת ספקיות שירותים מנוהלים (MSP) או חברות שמספקות שירותי ענן לארגונים שהיוו המטרה הסופית שלה. ה-FBI הגיש כתבי אישום נגד שני חברים ב-APT10. על פי החוקרים, ההאקרים בחרו בספקיות שירותי IT כי הם יודעים שרמת הניטור של תעבורה שמגיעה מהן נמוכה יותר לעומת הניטור של כל תעבורה אחרת מהאינטרנט.

הקבוצה המקושרת לשלטון הסיני עלתה לכותרות גם ביוני השנה, אז דווח כי היא פרצה למערכות מחשוב של יותר מ-10 ספקיות סלולר ברחבי העולם כדי לגנוב נתוני על (מטה דטה) אודות משתמשים ספציפיים, המקושרים לסין. הקשר בין מתקפה זו לבין המתקפה שאירעה בתחילת השנה עדיין לא הוברר. עם זאת, האנליסטים של פרוף פוינט גילו "קווי דמיון" בין רכיבים ששימשו בה לאלה שנמצאו במתקפה שבוצעה בשנה שעברה נגד חברות מדיה יפניות. הם הוסיפו שבמהלך כתיבת שורות הקוד של הנוזקה, מפתחיה ניסו להסתיר את קוד המקור שלה, מבלי להפחית את יעילות המתקפה.

החוקרים מסייגים ואומרים שהעקבות הן אמנם סיניות, אבל לא ניתן לייחס את המתקפה לבייג'ינג באופן מוחלט. לדבריהם, על מנת שהייחוס יהיה ודאי, יש צורך בבדיקות נוספות. ללא קשר למקור המתקפה, החוקרים קובעים כי "הסיכון ממתקפות סייבר מסוג זה על ספקיות שירותים הוא ברור. מדובר בקמפיינים שבוצעו היטב. מייל שטוען שהוא מספק תוצאות בדיקה כושלות מכריח את הנמען שלו, שמשמש קורבן בלא ידיעתו, לפתוח את ההודעה". הם ציינו ש-"מדובר במתקפות ממוקדות מאוד: חלקן נועדו לגנוב קניין רוחני משמעותי וחלקן לשתול נוזקות ורוגלות במגזרי פעילות מרכזיים של מדינת היעד – ובראשם אנרגיה, שירותים ותקשורת".