שוב פעולה סינית בסייבר: ריגלה אחרי חברות תחבורה וטלקום

פעולת ריגול בסייבר סינית רחבה נגד ארגוני ממשל אמריקניים ואירופיים נחשפה בסוף השבוע על ידי פייראיי.

ענקית הגנת הסייבר הודיעה ביום ו' כי המתקפה הסינית רחבת ההיקף משתרעת על פני מגזרים מסחריים נוספים, יותר ממה שהיה ידוע בעבר. לפי החוקרים, מדובר בשתי קבוצות המקושרות לסין והאקרים נוספים, שביחד מנצלים תוכנות רשת וירטואליות ופרטיות לטובת פריצות לחברות מתחומי התחבורה והטלקומוניקציה. בעבר, ציינו החוקרים, המתקפות הללו כוונו נגד חברות ממגזרי הביטחון, הפיננסים והממשל.

ניתוח ממצאי התקיפה העלה כי התוקפים מנצלים תוכנות VPN פופולריות המכונות Pulse Connect Secure כדי להתחפר ברשתות ולגנוב נתונים רגישים. רבים מהארגונים שנפרצו "פועלים בתעשיות המותאמות ליעדים האסטרטגיים של בייג'ינג", שמתוארים בתוכנית החומש האחרונה של ממשלת סין לצמיחה כלכלית – כך על פי מנדיאנט, זרוע המחקר ותגובות האירועים של פייראיי.

רוב הפריצות בוצעו על ידי קבוצה בשם UNC2630, שנראית כפועלת מטעם ממשלת סין, אמרה שרה ג'ונס, אנליסטית בכירה במערך מודיעין האיומים של מנדיאנט. ההאקרים הסינים משתמשים בארבעה חלקים נוספים של נוזקות, כדי לגנוב נתונים ולכסות את עקבותיהם.

"פעילות ריגול סייבר סינית הפגינה עמידות גבוהה יותר לסיכון והיא פחות מוגבלת על ידי לחצים דיפלומטיים ממה שאופיין בעבר", כתבו האנליסטים של מנדיאנט בבלוג החברה.

דובר שגרירות סין בוושינגטון לא הגיב לפרסום, אולם בייג'ינג מכחישה באופן שגרתי ביצוע של מתקפות סייבר.

בפעילות נפרדת, שאותה חשפה מיקרוסופט במרץ, האקרים סינים ניצלו פגמים בשרת Exchange כדי לגנוב תיבות מייל מארגונים אמריקניים. חלק מהאנליסטים טענו כי פריצות אלה הפרו את נורמות המרחב הסייבר, כיוון שהקוד הזדוני שהושאר במחשבי הקורבנות עלול היה להיות מנוצל על ידי עבריינים בעלי מוטיבציה כלכלית.

מבצעי ניקוי "עתירי עבודה"

הפריצות הסיניות, לצד הניצול הרוסי של תוכנת SolarWinds, גרמו למבצעי ניקוי "עתירי עבודה" עבור מקצועני האבטחה בממשל ארצות הברית. כך, לפחות 24 סוכנויות פדרליות משתמשות ב-Pulse Connect Secure, כאשר כמה מעבדות מחקר שעוסקות בביטחון לאומי מפרסמות בגלוי את דבר השימוש שלהן בתוכנה. לפחות חמש סוכנויות אזרחיות נפרצו במתקפה של Pulse Connect – כך על פי CISA, הסוכנות לאבטחת סייבר ותשתיות האמריקנית. הסוכנות פרסמה הנחיות חירום לסוכנויות פדרליות להחלת עדכוני תוכנה של פולס ושל שרתי Exchange.

בחלק מהמתקפות, ההאקרים הסינים כיסו את עקבותיהם ואת העדויות על רבות מהפריצות שלהם, כאשר למדו שחוקרי מנדיאנט התכוננו לחשוף את המבצע בחודש שעבר, מסרו מפייראיי.

המומחים של מנדיאנט טוענים כי בשנים האחרונות, האקרים סינים נעשו יעילים ואסטרטגיים יותר בניסיון להשיג נתונים המוחזקים על ידי ארגונים באירופה ובארצות הברית, שעשויים לסייע לבייג'ינג לקדם את יעדיה הפוליטיים, הצבאיים והכלכליים.

"האמביציה הרבה יותר והעמידות בפני הסיכון שהפגינו קובעי המדיניות הסיניים מאז 2019 מצביעים על כך שקצב הפעילות, בחסות המדינה הסינית, עלול לעלות בזמן הקרוב", התריעו האנליסטים. "מנגנון איומי הסייבר הסיני מהווה איום מחודש ורציני על הגופים המסחריים בארצות הברית ובאירופה".