נחשף: קמפיין ריגול סיני ממושך בסייבר פגע בעשרות ארגוני ממשל

מסע ריגול בסייבר, שנמשך שנתיים ונערך על ידי קבוצת האקרים סינית, פגע בעשרות ארגונים – בעיקר גופי ממשל, ביותר מעשרים מדינות. את הקמפיין חשפו חוקרי טרנד מיקרו (Trend Micro).

לפי החוקרים, מדובר בקבוצת איום מתמשך (APT) שדבר קיומה לא היה ידוע בעבר, והיא קשורה לסין. הקבוצה מיקדה את מתקפותיה לעבר יותר מ-116 ארגונים ב-35 מדינות, והצליחה לפגוע ב-70 מהם, ב-23 מדינות.

חברי הקבוצה כיוונו את המתקפות שלהם על שרתים החשופים לציבור, ניצלו נקודות תורפה ידועות ושלחו דוא"ל דיוג חנית (Spear-phishing). במיילים הוחבאו נוזקות מסוג "דלת אחורית", שלא נראו בעבר.

החוקרים כינו את הקבוצה Earth Krahang ("רוח רפאים לילית גברית, של כדור הארץ"). הם ציינו כי מסע הריגול בסייבר התמקד בעיקר במדינות בדרום מזרח אסיה, אך גם כוון אל יעדים באמריקה, אירופה ואפריקה.

APT group Earth Krahang poses a significant threat to global cybersecurity, exploiting intergovernmental trust to launch cross-government attacks.

Learn how they operate and how to protect your organization from their malicious campaigns: ⬇️ https://t.co/kk1jlDP3MA

— Trend Micro Research (@TrendMicroRSRCH) March 20, 2024

"ניצלו לרעה את האמון הקיים בין ממשלות"

"ההאקרים ניצלו לרעה את האמון הקיים בין ממשלות, כדי לבצע את ההתקפות שלהן", ציינו החוקרים. "הקבוצה משתמשת לעתים קרובות בשרתי אינטרנט ממשלתיים שנפגעו, כדי שהם יארחו את הדלת האחורית שלהם, ואז יוכלו לשלוח קישורים הכוללים נוזקות, לגופי ממשל, באמצעות פישינג".

חוקרי טרנד מיקרו הסבירו כי "כיוון שהקישור הזדוני משתמש בדומיין ממשלתי לגיטימי, של שרת שנפרץ, הוא ייראה פחות חשוד בעיני הקורבנות – ואולי אפילו יצליח לעקוף כמה מהרשימות השחורות של דומיינים (חשודים)".

לדבריהם, דיפלומטים וישויות דיפלומטיות היו היעד העיקרי למתקפות של חברי הקבוצה. 48 מהקורבנות היו ארגונים ממשלתיים, לצד עוד 49 גופים ממשלתיים שהותקפו. עוד התמקדו ההאקרים במשרדי חוץ ובמחלקות לענייני חוץ של מדינות, הצליחו לפרוץ לעשרה מהם, ותקפו חמישה נוספים. מיעוט מהקורבנות ומהארגונים שהותקפו היו ממגזרי החינוך והתקשורת.

חברי קבוצת האיומים עשו שימוש בגישה שקיבלו לתשתית ממשלתית אחת, כדי לתקוף גופים ממשלתיים אחרים, אמרו החוקרים. ההאקרים עשו שימוש בשרתים שנפרצו, או לא היו מאובטחים מספיק, ועליהם הם אירחו את הנוזקות שלהם. את המיילים הזדוניים הם שלחו באמצעות חשבונות דוא"ל ממשלתיים שנפרצו בעבר. עוד הם ערכו מתקפות Brute Force – מתקפה בה הפורץ מנסה לגלות את הסיסמה של משתמש במערכת באמצעות מעבר שיטתי על כל הסיסמאות האפשריות. במשלוח מיילים של פישינג, ההאקרים כתבו בשורת הנושא של המייל: "חוזר משרד ההגנה המלזי", "שר ההגנה המלזי מבקר בהונגריה" ו"דיונים פומביים של ה-ICJ (בית הדין הבינלאומי בהאג) – גיאנה נגד ונצואלה".

"במקרה אחד", ציינו בטרנד מיקרו, "ההאקרים השתמשו בתיבת דואר שנפרצה מישות ממשלתית, כדי לשלוח קובץ ובו נוזקה ל-796 כתובות דוא"ל השייכות לאותה ישות".

החוקרים גילו כי לחברי Earth Krahang יש קשר לקבוצות איום בסייבר סיניות אחרות. הם מצאו כי כתובות IP, שמות מתחם ותשתית שליטה ובקרה בהם ההאקרים עשו שימוש, קשורים ל-Earth Lusca ("כדור הארץ לוסקה"), מבצע ריגול סייבר סיני שהם חשפו בעבר.

המבצע הנוכחי גם קשור לכך שבחודש שעבר נחשפה הדלפה חסרת תקדים של חברת I-Soon, חברת טכנולוגיה לכאורה הפועלת משנגחאי. לא מדובר בחברה רגילה, אלא בקבוצת תקיפה מתוחכמת, העובדת כקבלן פרטי עבור הממשל הסיני. ב-16 בפברואר, גורם אנונימי הדליף לגיטהאב (GitHub) עשרות מסמכים פנימיים של החברה, וכך נחשפה הדרך בה פועלת קבוצת תקיפה זו בשירות הממשל הסיני. המסמכים שפורסמו, קישרו את I-Soon לקמפיינים של ריגול סייבר שהוזמנו על ידי סוכנויות ממשלתיות סיניות שונות. יעדי המתקפות הנרחבות של בייג'ינג היו ממשלות זרות.

לפי מחקר מוקדם יותר שערכו חוקרי טרנד מיקרו על Earth Lusca, הם העלו השערה לפיה חברי "כדור הארץ לוסקה" הם צוות החדירה המסתתר מאחורי I-Soon. 

"על בסיס ניתוח המידע שדלף, מצאנו שהחברה ארגנה מחדש את צוות החדירה שלה, ופיצלה אותו לשתי תת-קבוצות שונות", אמרו החוקרים. "זו יכולה להיות הסיבה האפשרית לכך שראינו שני אשכולות עצמאיים של פעילויות, שהיה ביניהם קשר מוגבל. Earth Krahang יכול להיות עוד צוות חדירה הפועל תחת אותה חברה".