האקרים סינים מנצלים חולשה באורקל לתקיפה; האם בשל תמיכתה בישראל?

זו קבוצת האקרים, לא יחידת מודיעין: חוקרי אימפרבה (Imperva), הישראלית במקורה, חשפו פעילות חדשה של כנופיית ההאקרים הסינית Gang 8220, שבמסגרתה הם ניצלו חולשה חמורה בשרת WebLogic של אורקל (Oracle), כדי להפיץ את הנוזקה שלהם. מומחים בארץ העלו השערה ותהו האם המתקפה נועדה לפגוע באורקל לא רק בהיבט הטכנולוגי, אלא גם במוניטין שלה – על רקע תמיכת החברה והנהלתה בישראל.

החולשה, CVE-2020-14883, דורגה בציון החמור למדי 7.2. אם הנוזקה חודרת לקורבן, ביכולתה להפעיל השתלטות מרחוק על שרתים רגישים. לפי חוקרי אימפרבה, "פגיעות זו מאפשרת לתוקפים לעבור תהליך אימות, ואז להפעיל קוד מרחוק, שבתורו מצליח לעקוף אימותים אחרים, ובאמצעות שרשור – לפגוע, בין השאר, גם בשרת של אורקל. האימות המזויף הראשוני נעשה באמצעות שימוש באישורים שנגנבו, הודלפו, או מלכתחילה היו אימותים חלשים", כתבו החוקרים בדו"ח.

לחברי כנופיית 8220 יש היסטוריה של מינוף חולשות אבטחה ידועות לשם הפצת נוזקות המסייעות להם לגנוב קריפטו. בחודש מאי השנה, חברי הקבוצה נצפו מנצלים חולשה אחרת בשרתי WebLogic של אורקל – כדי לחבר את מחשבי הקורבנות לרשת כריית מטבעות קריפטו. אז נעשה שימוש בחולשה CVE-2017-3506, שהיא בעלת דרגת חומרה 7.4.

לפי החוקרים, המתקפות שעשו שימוש בחולשה האחרונה כללו יצירה מיוחדת של קובצי XML, שמאפשרת להם להריץ קוד שאחראי לפריסת נוזקות הגונבות מטבעות קריפטו, או רותמות מחשבים לכרייה שלהם. המטבעות הם  Agent Tesla, rhajk ו-nasqa.

"נראה שהקבוצה מתנהלת באופן אופורטוניסטי לגבי בחירת היעדים שלה, ולא הצלחנו לזהות מגמה ברורה של התמקדות במדינה מסוימת או במגזר תעשייתי. למרות שהם נחשבים לא מתוחכמים, והם מנצלים חולשות ידועות וגלויות, הם כל הזמן מפתחים את הטקטיקות והטכניקות שלהם –  כדי להתחמק מגילוי", נכתב. יעדי הקמפיין כללו ארגונים ממגזרי הבריאות, הטלקום ושירותים פיננסיים בארה"ב, בדרום אפריקה, בספרד, בקולומביה ובמקסיקו.

כנופיית 8220 נתגלתה בראשונה על ידי Talos, מודיעין האיומים של סיסקו (Cisco) ב-2017. שמה של הקבוצה מעלה את התהייה האם הקרבה של המספר הזה למספרה של יחידת המודיעין המהוללת 8200 גרם לה לבחור בו, אבל מסתבר שלא זאת הסיבה: הקבוצה בחרה בשמה מאחר שהיא מנצלת את פורט (מבואה) 8220 לביצוע המתקפות שלה. חברי הקבוצה מנצלים את פורט 8220 לתקשורת בין המחשבים המודבקים לבין שרת השליטה, C2.

ב-2022 חשפה סנטינל וואן פעילות נוספת של כנופיית ההאקרים הזאת, שהדביקה כ-30 אלף קורבנות ברחבי העולם, תוך שימוש בפגיעויות במערכת לינוקס, ניצול חולשות באפליקציות ענן וטעויות תצורה של שרתי ענן. החוקרים ציינו אז, כי "הקבוצה מפעילה כלי הדבקה פשוטים, שמבוססים על הדבקה אופורטוניסטית של מערכות לינוקס בענן, אשר פתוחות לאינטרנט. על אף הפשטות של הכלים והטכניקות, הקבוצה הצליחה להדביק עשרות אלפי מחשבים ברחבי העולם, שמבצעים עבורה פעולות כריית קריפטו – וזאת בלא ידיעת הקורבנות".