האקרים טוענים שתקפו את מנדיאנט – שמכחישה

LockBit 2.0, קבוצת האקרים הפועלת בעולם הכופרות, טענה אתמול (ב') כי תקפה, בהצלחה, את מנדיאנט (Mandiant) וכי תפרסם את קבצי החברה שנפרצו. ענקית הגנת הסייבר הכחישה את הדיווח.

האיום ששמו LockBit 2.0 הוא מסוג "כופרה כשירות", ופגע כבר באלפי קורבנות ברחבי העולם. הוא זוהה בראשונה ככופרה בשם ABCD בספטמבר 2019. אנשי הקבוצה שעומדת מאחוריו הבטיחו כי יפרסמו קבצים של מנדיאנט בדארקנט.

דובר מנדיאנט אמר אמש (ב') כי "החברה מודעת לטענות, אך לא ראתה ראיה כלשהי התומכת בהן". לדברי ענקית הגנת הסייבר, "אין אינדיקציות לכך שנתוני מנדיאנט נחשפו, אלא נראה כי שחקן האיום מנסה להפריך את ממצאי המחקר שערכנו עליו ב-2 ביוני 2022".

השבוע פרסמו חוקרי מנדיאנט בבלוג החברה ניתוח, המצביע על כך ששותפים של Evil – קבוצת האקרים "ותיקה", שממשל ארה"ב הטיל עליה עיצומים ב-2019 – רצו לעשות שימוש בכופרה LockBit 2.0, כדי להתחמק מהסנקציות. החוקרים כינו את ה"שותפים" בשם UNC2165. באתר של LockBit 2.0 ברשת האפלה כינו את חוקרי מנדיאנט "לא מקצועיים", והכחישו כל קשר עם Evil. "אנחנו האקרים מחתרתיים אמיתיים של הרשת האפלה, אין לנו כל קשר לפוליטיקה או לשירותים (שירותי ביון – י"ה) מיוחדים כמו FSB, FBI ועוד".

מנגד, למרות ההכחשות של ההאקרים, מומחי סייבר ציינו כי "הקבוצה העלתה כבר בעבר טענות שהתגלו כלא נכונות". אחת הטקטיקות בהן הם השתמשו, הסבירו החוקרים, היא לטעון שהם השיגו נתונים הקשורים לחברה א' מהתקפה על חברה ב', אבל טענו כי החברה הראשונה היא-היא הקורבן.

על נפגעי מתקפות קודמות של LockBit 2.0 נמנים הסוכנות הבולגרית לטיפול בפליטים, משרד המשפטים הצרפתי וענקית הייעוץ אקסנצ'ר (Accenture) – ממנה דרשו התוקפים דמי כופר בסך 50 מיליון דולרים – שאותו הם לא קיבלו.

במרץ השנה גוגל ניצחה את מיקרוסופט במאבק לרכישת מנדיאנט ורכשה את ענקית הייעוץ ומודיעין האיומים בסייבר תמורת 5.4 מיליארד דולר, במזומן.

מנדיאנט הייתה מהנפגעות הראשונות שלה. המתקפה על סולאר-ווינדס. אילוסטרציה: BigStock

תחקיר על יחידה 61398 של צבא סין

מנדיאנט זכתה לפרסום בינלאומי נרחב ב-2013, כאשר תחקיר שהיא ביצעה עבור הניו יורק טיימס העלה שצבא סין קשור למתקפות על מערכות של חברות וסוכנויות בארצות הברית. העיתון, מהנחשבים בעולם, "ניצל" מתקפה ארוכה שאירעה על המחשבים שלו ושכר את שירותי מנדיאנט, במטרה לגלות מהיכן מבוצעות מתקפות על חברות וסוכנויות ממשל אמריקניות.

התחקיר מצא שבבניין משרדים בן 12 קומות בשנגחאי פועלת יחידה 61398 של צבא סין, וש-"אחוז מדהים" מהמתקפות נגד ארגונים בארצות הברית מבוצע משם.

העיתון ערך את התחקיר לאחר שנפל קורבן למתקפה מקוונת בת ארבעה שבועות, שבמסגרתה גנבו האקרים סיסמאות של עובדים, בניסיון להגיע למקורות של ידיעה על ראש ממשלת סין, וון ג'יאבאו. החברה, בשבתה תחת כובע פייראיי (FireEye), זכתה שוב לפרסום עולמי, כאשר חשפה כי היא – לצד מיקרוסופט – הייתה מהקורבנות הראשונים של מתקפת הענק הרוסית על מערכות סולאר-ווינדס (SolarWinds) לפני כשנתיים. המתקפה הענקית פגעה בארגונים רבים ברחבי העולם, כולל קורבנות בקרב סוכנויות פדרליות וחברות טכנולוגיה גדולות.