SMB עם נתבים ישנים – "יעד למתקפות האקרים ממדינות לאום"

מסע תקיפה בסייבר המקושר לסין, שבמרכזו פריצה של נתבים, מוכיח שאפילו עסקים קטנים ובינוניים הפכו למטרה מרכזית עבור גורמי איומים במדינות לאום, כך לפי מומחי הגנת סייבר.

בשבוע שעבר חשפו אנשי הגנת הסייבר של ה-FBI, כי הצליחu לשבש את פעילות וולט טייפון (Volt Typhoon) – קבוצת האקרים הפועלת בתמיכת ממשלת סין, שניסו לתקוף או תקפו ארגוני תשתיות קריטיות בארה"ב. היעדים כללו ספקים של שירותים קריטיים ממגזרים שונים, בהם תקשורת, אנרגיה, מים ותחבורה.

קבוצת ההאקרים, נמסר מהבולשת, "חטפו מאות" נתבים – המיועדים לשימוש של עסקים קטנים וביתיים בארה"ב, ובנו רשת בוטים (בוטנט) מבוססת מכשירים נגועים בנוזקה, שעימה "קבוצת האיומים עלולה להשתמש להפעלת מתקפה נגד תשתית קריטית בארה"ב".

חברי וולט טייפון רכשו את "משטחי ההשקה" הללו – משמע תשתית המופעלת לטובת מתקפות סייבר על תשתית קריטיות. זאת, באמצעות ניצול של פגיעויות באותם נתבים ישנים, המותקנים בארגונים קטנים וביתיים, כך מסרו אנשי הסוכנות לאבטחת סייבר ותשתיות (CISA) של ארצות הברית וה-FBI.

הרוב המכריע של הנתבים ברשת הבוט היו נתבים ישנים של סיסקו (Cisco) ושל נטגיר (NetGear). שני אלה אינם נתמכים עוד בעדכוני אבטחה, נמסר מה-FBI.

סיסקו הודיעה, כי "החברה מודעת למתקפות שדווחו על כמה מוצרי רישות הנמצאים בשלב סוף החיים שלהם. חשוב להבין את סיכון האבטחה הקיים בעת הפעלת מוצרים שכאלה". לא התקבלה תגובה מנטגיר.

בדצמבר האחרון פרסמנו כי סין תקפה ב-2023 בסייבר עשרות תשתיות קריטיות של ארה"ב. בין הקורבנות: חברת שירות בהוואי, נמל בחוף המערבי ולפחות צינור נפט וגז אחד. אף שלא נגרם נזק ממשי, מטרת המתקפות נועדה לשבש פעילות צבאית אפשרית של ארה"ב באסיה.

לפי הדיווח, צבא סין הגביר את יכולתו לשבש תשתיות קריטיות אמריקניות, ובחודשים האחרונים חדר למערכות המחשב של יותר מ-20 תשתיות קריטיות אמריקניות.

הגורמים הסבירו, שהחדירות של הסינים הן חלק ממאמץ רחב יותר לזרוע פאניקה וכאוס, כמו גם לשבש יכולות לוגיסטיות – במקרה של סכסוך בין מעצמתי באוקיינוס השקט. אף לא אחת מהפריצות השפיעה על מערכות בקרה תעשייתיות ולא נגרם כל שיבוש.

אבל, ציינו גורמים אמריקניים, "יש להקדיש תשומת לב להוואי, שהיא 'ביתו' של צי האוקיינוס השקט. המתקפות על נמלים, כמו גם על המרכזים הלוגיסטיים, מעידות על כך, שהצבא הסיני רוצה להקשות על המאמצים של ארצות הברית לשלוח חיילים וציוד לאזור – אם יפרוץ עימות בקשר לטייוואן".

קמפיין הסייבר Volt Typhoon נחשף בראשונה ב-2022. מאז, מפקדי צבא סין סירבו לשוחח עם עמיתיהם האמריקנים. ברנדון וויילס, מנהל CISA, אמר, כי "ברור מאוד שהניסיונות הסיניים לפרוץ לתשתיות קריטיות נועדו לטובת שיבוש או הרס של התשתיות הללו במקרה של עימות. זהו שינוי משמעותי מפעילות הסייבר הסינית בעבר. לפני שבע ו-10 שנים סין התמקדה בסייבר בעיקר בריגול פוליטי וכלכלי". הגורמים ציינו, כי ההאקרים ביקשו לעתים קרובות להסוות את עקבותיהם על ידי תיווך המתקפות דרך פרוקסים – מכשירים תמימים כמו נתבים ביתיים או כאלה שיש במקומות עבודה. בארגונים, ההאקרים ניסו, ואף הצליחו, לגנוב אישורי גישה של עובדים, כדי להתחזות למשתמשים רגילים.

המשרד למנהל המודיעין הלאומי בוושינגטון הזהיר ב-2023, כי "סין כמעט בוודאות מסוגלת להוציא לפועל מתקפות סייבר שישבשו תשתית קריטית בארצות הברית, לרבות צינורות נפט וגז ומסילות רכבת. אם בייג'ינג תחשוש שסכסוך גדול בינה לבין וושינגטון ממשמש ובא, היא תשקול כמעט בוודאות לבצע פעולות סייבר אגרסיביות נגד תשתיות קריטיות בארה"ב ונגד נכסים צבאיים שלה ברחבי העולם".

מייקל וולש, לשעבר מנהל אבטחת מידע בארגוני תשתית קריטית, ציין, כי "עסקים קטנים שכאלה אולי לא חושבים שהם מטרה – אבל בגלל שהם ספקים לתשתית קריטית הם מהווים עכשיו יעד למתקפות".