מבצע קוקייה: סין גנבה בסייבר פטנטים במאות מיליוני דולרים

עוד קמפיין סייבר סיני רחב היקף: חוקרים מסייבריזן הישראלית חשפו באחרונה מתקפות שביצעו האקרים בחסות הממשל הסיני, שבמסגרתן הם גנבו פטנטים בשווי של מאות מיליוני דולרים. לפי חוקרי חברת הסייבר ההגנתי, הקמפיין פגע בחברות טכנולוגיה ותעשיות ייצור ברחבי העולם, והתוקפים פעלו מתחת לרדאר במשך שנים. כך הם הצליחו לגנוב פיתוחים ייחודיים וטכנולוגיות שונות.

צוות המחקר של סייבריזן עקב במשך חודשים אחר קבוצת התקיפה ווינטי (Winnti), שכאמור פועלת בחסות הממשל בבייג'ינג. הקבוצה מוכרת גם בכמה כינויים נוספים: פנדה המרשעת, באריום ו-APT 41. קבוצת ההאקרים הזו פעילה יותר מעשור, והיא מתמחה בריגול ובגניבת קניין רוחני. חבריה ידועים לשמצה בשל יכולות החמקנות והתחכום שלהם. בעבר דווח שהקבוצה פעלה גם נגד חברות ישראליות, בניסיון לגנוב פטנטים טכנולוגיים ומידע רגיש.

לפי ממצאי המחקר, התוקפים החלו את פעולותיהם בשנת 2019, לכל הפחות, ותקפו ארגונים במדינות שונות בצפון אמריקה, אירופה ואסיה. חוקרי חברת האבטחה הישראלית העבירו את הממצאים שלהם לבולשת ולמשרד המשפטים בארצות הברית ואלה כינו את מבצע הפריצה בסייבר CuckooBees – על שם הציפור קוקייה, שנוהגת להטיל את ביציה בקינים של ציפורים אחרות.

המקור לקמפיין: חולשה במערכת ERP

המחקר החל לאחר שצוות ניהול המשברים של סייבריזן הוקפץ לטפל באירוע אבטחה בארגון מסוים. במהלך החקירה עלה כי התוקפים הצליחו לחדור לרשת הארגון דרך חולשה במערכת ה-ERP שלו. לאחר שהתוקפים איתרו את החולשה בשרת, הם התקינו עליו דלת אחורית מסוג WebShell, שאפשרה להם גישה מלאה לרשת, וכן יכולת להתקין נוזקות נוספות ולהשיג אחיזה מלאה במערכות ה-IT של הארגון. התוקפים החלו לסרוק את הרשת ולגנוב פרטי הזדהות של משתמשים שונים, על מנת להתקדם בין המחשבים בארגון עד למציאת המידע הרגיש. כך, הצליחו ההאקרים לגנוב מאות ג'יגה-בייטים של מידע – בדגש על פיתוחים ייחודיים, מסמכים רגישים, שרטוטים, נוסחאות ונתונים נוספים הקשורים לפתרונות טכנולוגיים.

במהלך החקירה התגלה שאנשי ווינטי השתמשו בנוזקות שלא תועדו בעבר, בנוסף לגרסאות חדשות של נוזקות ידועות. כמו כן, הם השתמשו בטכניקות תקיפה שלא נראו לפני כן, ביניהן טכניקה נדירה, שמנצלת מנגנון ייחודי (CLFS) בגרסאות שונות של Windows. התוקפים הפעילו שרשרת הדבקה משוכללת, רב שלבית, שהייתה קריטית כדי לאפשר להם להישאר במערכות המחשוב הארגוניות ללא זיהוי לאורך תקופה ארוכה.

"בית הקלפים"

כחלק מהקמפיין, התוקפים הפעילו טקטיקה שמכונה "בית הקלפים", שבה כל רכיב זדוני תלוי באחר על מנת לתפקד כראוי. בדרך זו היה קשה לנתח את הרכיבים בנפרד – מה שאפשר התחמקות מאמצעי האבטחה המסורתיים.

בעבר הנפיק ה-FBI דו"ח שבו נכתב שהעלויות של גניבות קניין רוחני על ידי קבוצות תקיפה סיניות עומדות על מאות מיליארדי דולרים בשנה. סין הכריזה לא פעם שבכוונתה להפוך למעצמה תעשייתית וטכנולוגית, כאשר כל האמצעים כשרים להשגת המטרה.

חוקרי סייבריזן ציינו כי "קניין רוחני הוא יעד עיקרי לריגול תאגידי של מדינות לאום. למרות ההסכמים וההגנות הקיימות, יש מעצמות שמעדיפות להשקיעה מאמץ ומשאבים רבים בגניבת קניין רוחני של אחרים – במקום לשאוף לפתח חידושים משלהן. קשה לקבוע את ההשפעה הכלכלית המדויקת של גניבת קניין רוחני, אולם די לומר שאיבוד של ג'יגה-בייט בודד של מידע טכנולוגי רגיש עלול להסב פגיעה קשה ואף למחוק בקלות יתרון תחרותי בשוק".