ראש ה-FBI: האקרים סינים חדרו לתשתית קריטית בארצות הברית

האקרים הקשורים לממשלת סין "התחפרו" במערך ה-IT של תשתית קריטית בארצות הברית, והם מחכים "לרגע המתאים בדיוק כדי להנחית מכה הרסנית", כך הזהיר בסוף השבוע כריסטופר ריי, ראש ה-FBI.

ראש הבולשת נאם באוניברסיטת ואנדרבילט שבנאשוויל, טנסי, בכנס שנושאו היה "סכסוכים מודרניים ואיומים מתעוררים". ריי אמר כי "מסע פריצה מתמשך בסייבר של סין, שידוע בשם וולט טייפון, הצליח להשיג גישה למספר רב של חברות אמריקניות בתחומי התקשורת, האנרגיה, המים ובמגזרים קריטיים אחרים. הם פעלו באופן ממוקד נגד 23 ארגונים בתחום".

"סין", הזהיר, "מפתחת את היכולת להמיט הרס פיזי על התשתית הקריטית שלנו, בזמן שאותו היא תבחר. התוכנית שלה היא להנחית מכות בעלות היקף פגיעה קטן יחסית תחילה – נגד תשתיות אזרחיות. זאת, כדי לנסות לעורר תבהלה".

לדברי ריי, "קשה לקבוע האם פעילות סין בסייבר היא חלק מתואם עם מטרה רחבה יותר שלה – להרתיע את ארצות הברית מלהגן על טאיוון".

סין: וולט טייפון לא קשורה אלינו

קמפיין הסייבר וולט טייפון נחשף ב-2022. חוקרי אבטחה, בין השאר של מיקרוסופט וגוגל, שייכו אותו לסין.

לעומת זאת, בשבוע שעבר, בטרם נאומו של ריי, הודיע משרד החוץ הסיני כי קבוצת וולט טייפון לא קשורה לממשלת סין, אלא מהווה חלק מפעילות פלילית של קבוצת כופרה. לפי דובר המשרד, "ארצות הברית עוקבת אחר המקור של מתקפות הסייבר, ועושה במעקב זה שימוש כדי לפגוע ולהפליל את סין. ארצות הברית טוענת שהיא הקורבן, אבל האמת היא שהמצב הוא הפוך. תחום אבטחת הסייבר עובר פוליטיזציה".

ריי ציין כי "ההאקרים פועלים בחסות הממשל של סין, והם הפעילו סדרה של רשתות בוטים שפגעו ברחבי העולם, כדי להסתיר את פעילות הסייבר הזדונית שלהם".

דברי ראש הבולשת מהדהדים לדברי פקידים בכירים בממשל האמריקני, שבחודש פברואר אמרו כי "האקרים סינים חדרו לרשתות IT כדי לאפשר תנועה לרוחב, ומשם להגיע לנכסי OT ואז לשבש את פעילותם במקרה של סכסוך בין מעצמתי. ההאקרים חדרו לרשתות של ארגוני תשתיות קריטיות בארצות הברית ושהו שם בהסתר חודשים רבים, ובחלק מהמקרים זמן ארוך יותר, של עד חמש שנים. זאת, כחלק ממבצע סייבר התקפי שהם נערכו אליו".

בהתראה משותפת שפרסמו הסוכנויות אז, נכתב כי "שחקני סייבר בחסות סין מבקשים לחדור ולשהות ברשתות IT לצורך שיבוש או ביצוע מתקפות סייבר הרסניות נגד תשתיות קריטיות בארצות הברית. זאת, במקרה של משבר גדול, או סכסוך עם ארצות הברית, מתוך רצון לפגוע במוכנות הצבאית של אמריקה, או לסכן את הבטיחות הפיזית של האמריקנים". את ההתראה הנפיקו הסוכנות לאבטחת סייבר ותשתיות (CISA) הסוכנות לביטחון לאומי (NSA) וה-FBI.

ה-FBI בפברואר: הצלחנו לשבש את פעילות הקבוצה

אנשי הסייבר ב-FBI חשפו שהם הצליחו לשבש את פעילות וולט טייפון. לפי הודעת סוכנויות האכיפה, "המבצע ארוך השנים היה האמצעי עבור סין להיערך מראש לקראת מתקפה על תשתית קריטית בארצות הברית באמצעות נוזקה". לדברי אריק גולדשטיין, עוזר למנהל CISA, אמר ש-"אנחנו יודעים שמה שמצאנו הוא רק קצה הקרחון".

ריי העיד אז בקונגרס ואמר כי "הנוזקה של וולט טייפון אפשרה לסין להסתיר, בין היתר, סיור טרום מבצעי וניצול רשת נגד תשתיות קריטיות. סין פעלה למצוא דרכים כדי להשמיד או לפגוע בתשתית האזרחית הקריטית ששומרת עלינו בטוחים ומשגשגים. הבה נהיה ברורים: איומי סייבר על התשתית הקריטית שלנו מייצגים איומים מהעולם האמיתי על הבטיחות הפיזית שלנו".

בהתראה כתבו הסוכנויות כי הן "מודאגות מההשלכות של מבצע הסייבר ומהפוטנציאל של שחקני איום אלה להשתמש ביכולת הגישה שלהם לרשתות, כדי לשבש אותן במקרה של מתחים גיאו-פוליטיים, או סכסוכים צבאיים פוטנציאליים".

חברי קבוצת ההאקרים, על פי הבולשת, "חטפו" מאות נתבים שמיועדים לשימוש של עסקים קטנים וביתיים באמריקה ובנו רשת בוטים (בוטנט) מבוססת מכשירים נגועים בנוזקה, שעימה "קבוצת האיומים עלולה להשתמש להפעלת מתקפה נגד תשתית קריטית בארצות הברית". הרוב המכריע של הנתבים ברשת הבוטים היו נתבים ישנים של סיסקו ושל נטגיר. שני אלה אינם נתמכים עוד בעדכוני אבטחה, נמסר מה-FBI.