דו"ח: "סין נעזרת בחברות טכנולוגיה לקמפיינים של ריגול בסייבר"

גופי ביון מבריטניה, ארצות הברית ומדינות נוספות פרסמו דו"ח חדש על קבוצת ה-APT (איומים מתקדמים ומתמשכים) הסינית הידועה לשמצה טייפון מלח (Salt Typhoon), שהיא שלוחה של השלטון בבייג'ינג. מהדו"ח עולה שסין קיבלה סיוע מכמה חברות טכנולוגיה מסחריות למורך פעילות הקבוצה, כדי לקדם את יעדי ריגול הסייבר שלה.

בדו"ח נכתב כי "קבוצת הריגול בסייבר מסכנת את עמוד השדרה ואת נתבי הקצה ברחבי העולם, ומעמידה אותם באיום לגישה מתמשכת לרשתות בתעשיות רבות. הקבוצה מבצעת פעולות ריגול סייבר בארצות מערביות רבות זה יותר מחצי עשור, והיא פרצה פעמים רבות לחברות טלקום בארצות הברית ובקנדה, וליחידת המשמר הלאומי של ארצות הברית. בסך הכול, במהלך 2024 חברי הקבוצה פרצו ל-800 ארגונים במערב".

על הדו"ח חתומים גופי ביון, אכיפה וחקירה מאוסטרליה, קנדה, ניו זילנד, צ'כיה, פינלנד, גרמניה, איטליה, יפן, הולנד, פולין וספרד.

לפי הממצאים, החברות Sichuan Juxinhe Network Technology ,Beijing Huanyu Tianqiong Information Technology ו-Sichuan Zhixin Ruijie Network Technology "מספקות מוצרים ושירותים הקשורים לסייבר, עבור שירותי המודיעין של סין".

"הנתונים שנגנבים באמצעות פעילות זו נגד ספקי שירותי תקשורת ואינטרנט זרים, כמו גם חדירות למגזרי המלונאות והתחבורה, יכולים לספק לשירותי המודיעין הסיניים את היכולת לזהות ולעקוב אחר התקשורת והתנועות של היעדים שלהם ברחבי העולם", הזהירו מחברי הדו"ח.

מאמצים אלה של קבוצת טייפון מלח נמשכים לפחות מאז 2021, עם התמקדות בגישה ראשונית לניצול פגיעויות ידועות – ולא לחולשות יום אפס. הקבוצה מכונה גם GhostEmperor ,Operator Panda ,RedMike ו-UNC5807.

"שחקני ה-APT ממנפים תשתיות למיקוד המתקפות"

מחברי הדו"ח ציינו כי "ניצול הפגיעויות מאפשר לשחקני האיומים לקבל גישה לנתבים ולמכשירי קצה, ולאחר מכן 'לחטוף' חיבורים מהימנים בין ספקים ללקוחות, כדי לעבור לרשתות אחרות. שחקני ה-APT ממנפים תשתיות, כגון שרתים פרטיים וירטואליים ונתבים שנפגעו, כדי למקד את המתקפות על ספקי שירותי טלקומוניקציה ורשת, כולל ספקי אינטרנט".

"שחקני ה-APT עלולים לכוון למכשירי קצה בלא קשר למי שבבעלותו מכשיר מסוים. מכשירים אלה עדיין מהווים הזדמנויות לשימוש במסלולי תקיפה למטרות מעניינות", נכתב.

הדו"ח מצטט דיווחים המצביעים על כך שטכניקות אלה שימשו לפגיעה בארגונים בעשרות מדינות ברחבי העולם.

"קמפיין חסר רסן של פעילויות סייבר זדוניות"

"אנחנו מודאגים מאוד מההתנהגות חסרת האחריות של הגופים המסחריים שבסיסם בסין, שאפשרה קמפיין חסר רסן של פעילויות סייבר זדוניות בקנה מידה עולמי", אמר ריצ'רד הורן, מנכ"ל NCSC – המרכז הלאומי לאבטחת סייבר של בריטניה. "חיוני שארגונים במגזרים קריטיים ממוקדים יקשיבו לאזהרה הבינלאומית הזו לגבי האיום הנשקף מגורמי סייבר המנצלים פגיעויות ידועות לציבור – ולכן ניתנות לתיקון".

לדברי ג'ון הולטקוויסט, האנליסט הראשי של קבוצת מודיעין האיומים של גוגל, "ההאקרים נבדלים בהיכרות עמוקה עם הטכנולוגיה, המאפשרת להם להתחמק מזיהוי ולהתפשט באופן נרחב. הם נסמכים במידה רבה על קבלנים סיניים לפעילותם, ועושים זאת בהיקף נרחב. הפעילות של הקבלנים בלב ריגול הסייבר הסיני מילאה תפקיד מרכזי בהתפתחות המהירה של הפעולות הללו ובצמיחה שלהן לקנה מידה חסר תקדים. קבלנים עושים הכול – החל מבניית תשתיות ועד לעבודה המלוכלכת של ביצוע חדירה".

פריצה לפחות לשמונה חברות טלקום אמריקניות

הדו"ח, שפורסם בסוף השבוע האחרון, מגיע קרוב לשנה לאחר שההאקרים חברי טייפון מלח פרצו לפחות לשמונה חברות טלקום אמריקניות "בקמפיין ריגול סייבר נרחב ומשמעותי", כפי שכונה אז על ידי גורמי המקצוע. ההאקרים השיגו בו נתוני רשומות שיחות של לקוחות ותקשורת פרטית של מספר מוגבל של אנשים המעורבים בפעילות ממשלתית או פוליטית, כמו גם מידע הכפוף לבקשות של רשויות אכיפת החוק בארצות הברית.

CISA, הסוכנות האמריקנית לאבטחת סייבר ותשתיות, אף הזהירה אז שמשתמשים בסיכון גבוה צריכים להימנע משימוש ב-SMS לא מוצפן ולאמץ אפליקציות הודעות מוצפנות מקצה לקצה, לצד אימות רב גורמי, שעמיד בפני פישינג.