גוגל: סין חדרה בסייבר למאות ארגונים, מהם עשרות בארה"ב

הסינים שוב תוקפים בסייבר: קבוצת האקרים שפועלת בגיבוי המשטר בבייג'ינג ניצלה את גוגל קלאוד כדי להשיק מתקפות סייבר נגד ארגונים ברחבי העולם, כולל עשרות בארצות הברית – כך הודיעה ענקית הענן אתמול (ד'). מומחים ציינו כי זהו "מקרה נדיר שבו חברת טכנולוגיה גדולה מתייחסת בגלוי לפעילות כזו ומזהה את התוקפים".

הקבוצה, הידועה בשם גאליום, או UNC2814, הצליחה לחדור למאות ארגונים ב-42 מדינות, כולל 40 לפחות בארצות הברית.

לפי גוגל, היא שיבשה את פעילות הקבוצה לפני שחבריה החלו להרחיב את היקף המתקפות ל-22 מדינות נוספות. החברה ציינה כי היא חסמה "פרויקטים זדוניים שמתארחים בגוגל קלאוד ופירקה רכיבים מרכזיים בתשתית הדיגיטלית של התוקפים. בכך היא מנעה פריצות נוספת של רשתות שהיו במוקד המתקפות".

ג'ון הולטקוויסט, אנליסט ראשי בקבוצת מודיעין האיומים של גוגל, אמר כי "ההאקרים כיוונו בעיקר לחברות תקשורת ולסוכנויות ממשלתיות. הקמפיין שלהם התבסס על הנוזקה Gridtide, שמכילה דלת אחורית לגיטימית לכאורה, שהוסתרה ב-Google Sheets. על ידי הטמעת הנוזקה בתהליכי עבודה מבוססי ענן, התוקפים הצליחו להתחמק מזיהוי, תוך שהם קוצרים מידע רגיש".

גניבת זהות, מעקב ואיסוף מודיעין רחב

לפי דיווחים בתקשורת הטכנולוגית, הנתונים הגנובים כללו שמות, פרטי קשר, תאריכים ומקומות לידה של אנשים, מספרי זיהוי בוחרים ומספרי ביטוח לאומי. מידע כזה עלול לשמש לגניבת זהות, למעקב או לאיסוף מודיעין רחב יותר. הניתוח של גוגל מצביע על כך שייתכן שהמיקוד של הקבוצה בספקי תקשורת אפשר להם לבצע פעילויות ניטור מתקדמות יותר, שכוללות מעקב אחר שיחות טלפון, הודעות SMS ובמקרים מסוימים גם מיילים.

לדברי מומחי אבטחה, "המיקוד בתשתיות תקשורת מעניק יתרונות אסטרטגיים לשחקני איום בסייבר שפועלים בחסות מדינה, שכן הוא מספק תובנות – הן על התקשורת הממשלתית והן על זו הפרטית. בניצול שהם ביצעו של פלטפורמות ענן אמינות להסתרת פעילותם, התוקפים הפגינו רמת תחכום טכנית גבוהה".

החוקרים הבחינו גם בחפיפות תפעוליות בין גאליום לבין קבוצת האקרים נוספת, ולא פחות בולטת, שקשורה לסין – טייפון מלח (Salt Typhoon). קבוצה נודעת לשמצה זו נקשרה לפעילויות איסוף מודיעין בשליחות הממשל בבייג'ינג.

אנליסטים בתחום האבטחה ציינו כי "החשיפה של גוגל מדגישה את האתגר הגובר שחברות טכנולוגיה גלובליות מתמודדות איתו במאבק באיומי סייבר בחסות מדינה. האירוע גם מדגיש את החשיבות של מעקב מתמשך, זיהוי מהיר של איומים ושיתוף פעולה בינלאומי להגנה על תשתיות קריטיות מפני קמפיינים דיגיטליים מתקדמים יותר ויותר".

עלייה במתקפות שקוצרות מודלי AI

גוגל ואבטחה – פעם שנייה: גוגל קלאוד הוציאה באחרונה את דו"ח מעקב האיומים שלה וציינו בו שהבינה המלאכותית היוצרת משנה הן את תפעול הארגון והן את אבטחת הסייבר שלו. היא מתגלה כמטרה בעלת ערך גבוה, אך בו בזמן מנוצלת על ידי התוקפים להאצת והרחבת פעילותם.

הדו"ח מעלה שחלה עלייה במתקפות שבהן נקצרים מודלים ובפעילויות שבהן יריבים בודקים מערכות בינה מלאכותית קנייניות עם פקודות חוזרות כדי לשחזר יכולות מבלי לחדור לרשתות.

לפי חוקרי מודיעין האיומים של ענקית הענן, "שחקני איום בסייבר בגיבוי מדינה – מסין, איראן, צפון קוריאה ורוסיה – מנצלים את ה-AI לאורך מחזור חיי המתקפה, מהמודיעין ועד להנדסה חברתית, ומייצרים קמפיינים מרובי שלבים, עם יכולת מוגבלת של פיקוח אנושי".

החוקרים כתבו שהבינה המלאכותית "מאפשרת מהירות, קנה מידה ותחכום שעולים על ההגנות המסורתיות – מה שהופך את האבטחה שהכרנו עד כה לבלתי מספקת, ללא בסיוע אנוש. אבטחה היא ניהול סיכונים, ושיפוט אנושי חייב להיות מעורב ברמה מסוימת. בלא אימוץ פתרונות הגנה מבוססי בינה מלאכותית, ארגונים עלולים להיוותר מאחור. חל מעבר לעידן של מכונה מול מכונה, שבו הגנה על מערכות בינה מלאכותית ושילוב AI במערך ההגנה הם מרכיבים חיוניים בבניית חוסן סייבר ועמידות".