חמור משחשבו: האקרים סינים שוטטו ברשתות קריטיות בארה"ב

האקרים מסין חדרו לרשתות של ארגוני תשתיות קריטיות בארה"ב ושהו שם בהסתר חודשים רבים ובחלק מהמקרים זמן ארוך יותר, של עד חמש שנים. זאת, כחלק ממבצעי סייבר התקפי שהם נערכו אליו; כך אמרו רשויות אכיפת חוק וסוכנויות בינלאומיות.

בהתראה משותפת שפרסמו הסוכנויות בשבוע שעבר נכתב, כי "שחקני סייבר בחסות סין מבקשים לחדור ולשהות ברשתות IT לצורך שיבוש או ביצוע מתקפות סייבר הרסניות נגד תשתיות קריטיות בארה"ב. זאת, במקרה של משבר גדול, או סכסוך עם ארה"ב, מתוך רצון לפגוע במוכנות הצבאית של אמריקה, או לסכן את הבטיחות הפיזית של האמריקנים". את ההתראה הנפיקו הסוכנות לאבטחת סייבר ותשתיות, CISA, הסוכנות לביטחון לאומי NSA וה-FBI.

בשבוע שעבר פרסמנו כי אנשי הסייבר ב-FBI חשפו, שהצליחו לשבש את פעילות וולט טייפון (Volt Typhoon) – קבוצת האקרים הפועלת בתמיכת ממשלת סין, שניסו לתקוף או תקפו ארגוני תשתיות קריטיות בארה"ב. לפי הודעת סוכנויות האכיפה, "המבצע ארוך השנים היה האמצעי עבור סין להיערך מראש לקראת מתקפה על תשתית קריטית בארה"ב באמצעות נוזקה. לדברי אריק גולדשטיין, עוזר למנהל CISA, "ההאקרים שוטטו (במערכות ה-IT של ארגונים) בארה"ב במשך זמן רב, של עד חמש שנים". הוא הוסיף, כי "חברי הקבוצה הפועלת בחסות הממשל הסיני תקפו ארגונים ממגוון מגזרי תשתיות קריטיות – תקשורת, אנרגיה, תחבורה, מים וביוב, שפכים – בארה"ב. אנחנו יודעים שמה שמצאנו הוא רק קצה הקרחון".

בשבוע שעבר העיד בקונגרס כריסטופר ריי, ראש ה-FBI, ואמר, כי "הנוזקה של וולט טייפון אפשרה לסין להסתיר, בין היתר, סיור טרום-מבצעי וניצול רשת כנגד תשתיות קריטיות. סין ​​פעלה למצוא דרכים כדי להשמיד או לפגוע בתשתית האזרחית הקריטית ששומרת עלינו בטוחים ומשגשגים. הבה נהיה ברורים: איומי סייבר על התשתית הקריטית שלנו מייצגים איומים מהעולם האמיתי על הבטיחות הפיזית שלנו".

בהתראה, כתבו הסוכנויות, כי הן "מודאגות מההשלכות של מבצע הסייבר ומהפוטנציאל של שחקני איום אלה להשתמש ביכולת הגישה שלהם לרשתות, כדי לשבש אותן במקרה של מתחים גיאופוליטיים, או סכסוכים צבאיים פוטנציאליים".

דפוס הפעולה הטכנולוגי של חברי הקבוצה, הסבירו הסוכנויות, "הוא לחדור מראש לרשתות IT כדי לאפשר תנועה לרוחב ומשם להגיע לנכסי OT ואז לשבש את פעילותם".

ג'ן איסטרלי, ראשת CISA, הזהירה, כי "הפריצה לקולוניאל פייפליין ב-2021, שהביאה לסגירת הגישה לצינורות דלק בחלק מהמדינה לזמן קצר וגרמה לבהלה, היא משהו שעלול לקרות בקנה מידה רחב הרבה יותר, אם סין תצליח בכך".

קבוצת ההאקרים, נמסר מהבולשת, "חטפו מאות" נתבים – המיועדים לשימוש של עסקים קטנים וביתיים בארה"ב, ובנו רשת בוטים (בוטנט) מבוססת מכשירים נגועים בנוזקה, שעימה "קבוצת האיומים עלולה להשתמש להפעלת מתקפה נגד תשתית קריטית בארה"ב". הרוב המכריע של הנתבים ברשת הבוט היו נתבים ישנים של סיסקו (Cisco) ושל נטגיר (NetGear). שני אלה אינם נתמכים עוד בעדכוני אבטחה, נמסר מה-FBI.

בדצמבר האחרון פרסמנו, כי ב-2023 סין תקפה בסייבר עשרות תשתיות קריטיות של ארה"ב. בין הקורבנות: חברת שירות בהוואי, נמל בחוף המערבי ולפחות צינור נפט וגז אחד. אף שלא נגרם נזק ממשי, מטרת המתקפות נועדה לשבש פעילות צבאית אפשרית של ארה"ב באסיה.

לפי הדיווח, צבא סין הגביר את יכולתו לשבש תשתיות קריטיות אמריקניות, ובחודשים האחרונים חדר למערכות המחשב של יותר מ-20 תשתיות קריטיות אמריקניות.

הגורמים הסבירו, שהחדירות של הסינים הן חלק ממאמץ רחב יותר לזרוע פאניקה וכאוס, כמו גם לשבש יכולות לוגיסטיות – במקרה של סכסוך בין מעצמתי באוקיינוס השקט. אף לא אחת מהפריצות השפיעה על מערכות בקרה תעשייתיות ולא נגרם כל שיבוש. קמפיין הסייבר Volt Typhoon נחשף בראשונה ב-2022.