נחשף קמפיין ריגול סיני נגד גופים ממשלתיים במזרח התיכון

יחידת המחקר של פאלו אלטו, Unit 42, זיהתה באחרונה קמפיין ריגול סיני בסייבר, שכוון נגד גופים ממשלתיים במזרח התיכון, וברחבי אסיה ואפריקה. החוקרים כינו אותו "רוח רפאים דיפלומטית" – "Diplomatic Specter".

מהמחקר, שנערך על ידי ליאור רוכברגר ודניאל פרנק, ששניהם עובדים במרכז הפיתוח הישראלי של פאלו אלטו, עלה שלפחות שבעה גופים ממשלתיים באזורים אלה מהווים יעד למתקפות מצד קבוצת ההאקרים הסינית, שמתאפיינת כאיום מתמשך (APT). הקמפיין של הקבוצה פועל לפחות מאז סוף 2022, וכולל ניסיונות להשיג מידע רגיש ומסווג על מבצעים צבאיים, ישיבות פוליטיות, משרדי ממשלה ובעלי תפקידים בכירים, משלחות דיפלומטיות וכלכליות ושגרירויות. לא צוין באילו מדינות מדובר, כולל לא האם ישראל נמצאת ביניהן.

על פי החוקרים, "ההתמקדות של שחקני האיום בגורמים ממשלתיים ודיפלומטיים מדגישה את האופי האסטרטגי של הקמפיין. מטרתו היא לאסוף מידע מודיעיני, שיכול להשפיע לטובת האינטרסים של סין, או לעדכן את מקבלי ההחלטות על דברים שקורים בעולם ומעניינים את גופי הממשל בבייג'ינג".

סוג של דלתות אחוריות שלא תועד בעבר

לפי החוקרים, קבוצת ההאקרים משתמשת בסוג של דלתות אחוריות שלא תועד בעבר, ביניהן שתיים שהם קראו להן TunnelSpecter ו-SweetSpecter. יצוין כי TunnelSpecter מתאפיינת ביכולת שלה לשדר נתונים באמצעות DNS ולעשות זאת תוך שימוש בצופן חזק, ואילו SweetSpecter משתמשת בתקשורת TCP מוצפנת, כך שהיא תוכל לבצע פעולות מורכבות בשרתים שנפרצו.

עוד עלה מהדו"ח כי "שחקן האיום ממשיך למנף נקודות תורפה ידועות בשרתי אינטרנט, ונצפה שוב ושוב מנצל שתי פרצות ידועות – בנות שלוש שנים – בשרתי האקסצ'יינג' – ProxyLogon CVE-2021-26855 ו-ProxyShell CVE-2021-34473, על מנת להשיג גישה ראשונית למערך ה-IT של הקורבן. שחקני האיום חיפשו מילות מפתח מסוימות הקשורות לנושאים שבהם אנשיהם מגלים עניין, ובנושאים הקרובים להם".

החוקרים ציינו ש-"השימוש בדלתות אחוריות מתוחכמות כמו אלה מדגיש את הרמה הגבוהה של ההאקרים ואת המיומנות הטכנית הרבה שלהם, כמו גם שימוש בטקטיקות התגנבות".

16 כלי תקיפה זדוניים

לאחר שהתוקפים השיגו את הגישה למערך המחשוב באתר הקורבן הם נצפו משתמשים ב-16 כלי תקיפה זדוניים, בהם תוכנות קוד פתוח נפוצות, כלי סריקה, כלי להגדלת שימוש בהרשאות וכלים לגניבת אישורים, לצד יכולות לתקיפה מרחוק ושליטה מרחוק. "ההאקרים נחשפו כמשתמשים בכמה משפחות של נוזקות סיניות ידועות לשמצה, כמו PlugX ו-China Chopper. באופן הבולט ביותר, הם השתמשו ב-Gh0st RAT – הן כאמצעי לחיזוק דריסת הרגל שלהם במערכות הקורבן, והן כבניית דרך קלה לשימוש בדלתות האחוריות המותאמות אישית שלהם", כתבו החוקרים.

אחד היעדים שההאקרים הסיניים מחפשים מידע עליו. נשיא ארצות הברית, ג'ו ביידן. צילום: ShutterStock

הם הוסיפו כי "המטרה של השימוש בכל מערך התקיפה הזה היא להגיע לתיבות המייל של יעדים בעלי ערך גבוה, שמהן הם יתחילו לקצור בשקט מיילים וקבצים רגישים. לפעמים, הקבוצה מסננת את כל תיבת הדואר הנכנס של הקורבן. בפעמים אחרות זה יותר ספציפי, באמצעות חיפושי מילות מפתח, כדי לסנן עניינים שמעניינים את הרפובליקה העממית של סין – מידע צבאי, מידע על תקשורת ואנרגיה, חומר שקשור לשי ג'יאנפינג, נשיא סין, ג'ו ביידן, נשיא ארצות הברית, מנהיגים פוליטיים אחרים ועוד".

החוקרים ציינו ש-"הקמפיין נמשך והתוקפים הפגינו נכונות להמשיך לרגל, גם לאחר שנחשפו ואותרו ברשתות בהם פגעו".

ליאור רוכברגר, חוקרת סייבר ב-Unit 42 של פאלו אלטו. צילום: יח"צ

מעקב קרוב אחרי ההתפתחויות הגיאו-פוליטיות – וביצוע פעולות בהתאם

רוכברגר הסבירה את אופן הפעולה של קבוצת התקיפה: "הקבוצה עוקבת מקרוב אחרי ההתפתחויות הגיאו-פוליטיות האקטואליות, ומנסה לחלץ מידע מדי יום, באמצעות חדירה לשרתי הדואר של המטרות. ראינו מאמצים מרובים, כולל ניסיונות חוזרים ונשנים, להשיג את המידע כאשר משהו הפריע להם, או כיצד הם שבו וחזרו לחפש מידע רלוונטי בעקבות התפתחות גיאו-פוליטית כזו או אחרת".

היא ציינה ש-"אנחנו מעריכים בביטחון רב שהקמפיין מופעל על ידי ישות אחת בעלת אינטרסים סיניים. הטקטיקות שנצפו מראות באיזו מידה גורמי איום סיניים מנסים לאסוף מידע על עניינים פוליטיים וביטחוניים באסיה, ואפילו במזרח התיכון ובאפריקה".