סין נגד העולם: תקפה בסייבר מדינות, מתנגדי שלטון, עיתונאים ואקטיביסטים

האקרים הפועלים בגיבוי בייג'ינג תקפו ממשלות באסיה, מדינות חברות נאט"ו, עיתונאים ופעילי זכויות אדם.

חוקרי TrendAI הם שחשפו את קבוצת התקיפה, שזכתה לשם SHADOW-EARTH-053. זו, לדבריהם, מתמקדת בריגול סייבר וגניבת קניין רוחני ממשרדי ממשלה, קבלני ביטחון וארגוני תחבורה. אף שהיא מתמקדת בניסיונות פגיעה בתשתיות קריטיות, בעיקר בדרום, במזרח ובדרום-מזרח אסיה, הקבוצה "חורגת" גם ליעדים אירופיים במדינות החברות בברית נאט"ו.

לפי דניאל לונגי ולוקאס סילבה, חוקרי ענקית הגנת הסייבר, "יעדי התקיפה המרכזיים של הקבוצה כוללים משרדי ממשלה, קבלני IT המספקים שירותים למשרדי ביטחון, וגופים במגזר התחבורה. המניע המרכזי מאחורי הפעילות מוערך כאיסוף מודיעין וגניבת קניין רוחני לקידום יעדים גיאופוליטיים". השניים ציינו כי המדינות שנפגעו באופן המשמעותי ביותר הן פקיסטן, תאילנד, מלזיה, הודו, מיאנמר, סרי לנקה וטאיוואן, לצד תקיפה משמעותית נגד גוף ממשלתי בפולין.

SHADOW-EARTH-053 and SHADOW-EARTH-054 share identical tool hashes but operate independently against the same vulnerabilities. Attribution nuance matters for tracking. TrendAI™ Research sheds some light on this: https://t.co/V2WPqLADFo

— TrendAI™ Research (@trendai_RSRCH) May 18, 2026

הקבוצה מבססת את אחיזתה הראשונית ברשתות הארגוניות באמצעות ניצול חולשות ידועות בשרתים החשופים לאינטרנט, בדגש על שרתי Microsoft Exchange ו-IIS, כפי שקרה בעבר, כאשר נוצלה שרשרת הפגיעויות ProxyLogon. לאחר החדירה הראשונית, התוקפים שותלים כלי גישה מרחוק (Web Shells) וכלים נוספים המאפשרים להם לשמור על נוכחות קבועה ולבצע פקודות מרחוק במערכות המותקפות, שמטרתן גניבת פרטי גישה, תנועה רוחבית ברשת והוצאת מידע מתיבות דואר של בכירים.

הכלי המרכזי שבו עושה הקבוצה שימוש הוא SHADOWPAD – נוזקה מודולרית מתקדמת המזוהה באופן מסורתי עם קבוצות תקיפה סיניות. הנוזקה מוחדרת למערכת, בטכניקה המנצלת קבצי הרצה לגיטימיים וחתומים של חברות מוכרות, כדי לעקוף מנגנוני הגנה. בחלק מהמקרים, התוקפים השתמשו במנגנון טעינה ייחודי המבוסס על ה-Registry, מה שמקשה על זיהויו על ידי כלי אבטחה סטנדרטיים.

כחלק מניסיונות ההתחמקות מזיהוי, חברי הקבוצה נוהגים לשנות את שמם של קבצי מערכת לגיטימיים של Windows – במטרה להטעות מערכות ניטור המבוססות על שמות תהליכים.

מה הקשר בין שתי קבוצות התקיפה?

ממצא מפתיע במחקר העלה כי כמעט מחצית מהארגונים שהותקפו על ידי SHADOW-EARTH-053 נפגעו גם על ידי קבוצת תקיפה נוספת המכונה SHADOW-EARTH-054. למרות ששתי הקבוצות עושות שימוש בכלים זהים ומשתמשות באותן חולשות לצורך חדירה, החוקרים מעריכים כי מדובר בניצול עצמאי של אותן נקודות תורפה ולאו דווקא בתיאום מבצעי ישיר. עם זאת, הדבר מצביע על ניצול חוזר של אותה תשתית פגיעה, ולא על תקיפה חד-פעמית בלבד.

עוד עלה מהמחקר כי "קבוצות ריגול המזוהות עם סין ממשיכות לנצל בהצלחה חולשות ישנות החשופות לאינטרנט; ספקים ממשלתיים וחברות IT הפועלים לצד מערכות ביטחוניות – מהווים נתיב גישה מרכזי לסביבות רגישות".

החוקרים הוסיפו כי "התוקפים מכוונים ישירות לתקשורת הנהלה בכירה, כולל ייצוא קבצי PST מתיבות דואר. הממצאים מצביעים על אקו-סיסטם ריגול צפוף, שבו כמה קבוצות תקיפה מנצלות במקביל את אותן רשתות פגיעות".

"למרות שמדובר בפגיעויות 'ישנות', הן עדיין מהוות את וקטור התקיפה המרכזי והאפקטיבי ביותר", סיכמו חוקרי TrendAI. "אנו ממליצים לארגונים להחיל בדחיפות את עדכוני האבטחה והטלאים המצטברים עבור Microsoft Exchange ויישומי אינטרנט המבוססים על IIS, לבצע מעקב אחר שינויים בתיקיות אינטרנט קריטיות לזיהוי שתילת Web Shells, לערוך ניטור תהליכי עבודה של שרתי אינטרנט המריצים פקודות חשודות, ולוודא הגבלת הרשאות מתיקיות ציבוריות – אלו משמשות את התוקפים להסתרת כלי פריצה".