"נמלה אורגת": נחשפה קבוצה סינית של איום מתקדם בסייבר

נחשפה של קבוצת תקיפה חדשה, הפועלת במתווה של איום מתמשך מתקדם (APT) המקושרת לסין, בשם נמלה אורגת (Weaver Ant). את קבוצת האיום בסייבר חשפו חוקרי סיגניה (Sygnia) הישראלית.

לפי החוקרים, מדובר בקבוצת תקיפה מתוחכמת, שהשתמשה בכלי תקיפה מתקדמים כדי לחדור – דרך נתבים ביתיים – לרשת של חברת תקשורת גלובלית, לרגל ולקצור מידע רגיש. חוקרי הסייבר זיהו את הפעילות של ההאקרים בזמן אמת, ונטרלו את המתקפה.

במסגרת התקיפה, ההאקרים הזריקו נוזקה לשרתי חברת תקשורת באסיה, מהגדולות בעולם, כדי לאסוף מידע עסקי מסווג. התוקפים ניצלו נתבי Zyxel ביתיים (CPE) כדי להסוות את פעילותם ואת נקודת הכניסה לרשת. החוקרים לא ציינו את שמה של ספקית הטלקום.

במהלך המעקב אחר הקבוצה, חוקרי סיגניה זיהו גרסה חדשה של כלי תקיפה מסוג Web shell, שמכונה INMemory, המאפשר הזרקת נוזקה בזיכרון השרת, תוך התחמקות מגילוי.

חוקרי החברה זיהו כי חשבון שנוטרל בשלב מוקדם של פעולות ההכלה – הופעל מחדש. החקירה העלתה כי חשבון זה נוצל בעבר על ידי קבוצת ההאקרים. הפעילות שלהם התבצעה משרת שלא זוהה קודם לכן כנגוע, מה שהוביל להעמקת החקירה הפורנזית ולחשיפת גרסת ה-Web shell מסוג China Chopper. הייתה זו גרסה מוצפנת, שהותקנה על שרת פנימי שהיה תחת שליטת התוקפים במשך כמה שנים.

Sygnia has revealed today a new #Chinanexus #threatactor, which we have named #WeaverAnt, following our response to a stealthy and highly persistent operation that targeted a major telecommunications company in Asia.

To infiltrate the telecom company and gain access to sensitive… pic.twitter.com/M1XADmvWjY

— Sygnia (@sygnia_labs) March 24, 2025

כל שכבה מסתירה שכבה קריטית יותר מתחתיה

אחד החוקרים השווה את התנהגותה של Weaver Ant לזו של בובת "בבושקה", כאשר כל שכבה מסתירה שכבה קריטית יותר מתחתיה. "המטענים הזדוניים היו עטופים בכמה שכבות של הצפנה וערפול, כאשר כל שכבה ש'התקלפה' חשפה את הנוזקה הבאה במקומה והניעה אותה לתקוף", נכתב בדו"ח/ "שכבות אלו אפשרו לשחקן האיום להישאר חמקמק, כאשר הכוונה הזדונית האמיתית – התבררה רק לאחר חשיפת הנוזקה הסופית".

"שחקנים מדינתיים, כמו Weaver Ant מאופיינים בתחכום והתמדה, תוך התמקדות בניסיונות לחדור לתשתיות קריטיות ולאסוף מידע רגיש ככל הניתן – בלא להתגלות", אמר אורן בידרמן, ראש צוות זיהוי ותגובה לאירועי סייבר ב-סיגניה. "שימוש בשכבות מרובות של כלי התקיפה Web shells איפשר לתוקפים להפעיל נוזקות, לנוע בצורה רוחבית בתוך הרשת ולהישאר מתחת למכ"ם. היכולת שלהם להפעיל גרסאות חדשות של כלי תקיפה, שאינן מוכרות – מעידה על רמת התחכום וההסוואה שלהם".

אורן בידרמן, ראש צוות זיהוי ותגובה לאירועי סייבר בסיגניה. צילום: יח"צ

החוקרים גילו שני סוגים של כלים במגוון גרסאות. הגרסה הראשונה, שהוגדרה כ-China Chopper מוצפן, איפשרה לקבוצה להשיג גישה מרחוק ושליטה על שרתי אינטרנט. גרסאות מתקדמות של הכלי תומכות בהצפנה של הקוד הזדוני, מה שמקשה על גילויו במערכות הגנה כמו WAF, פיירוול אפליקטיבי.

הגרסה השנייה, שכונתה INMemory, זוהתה בראשונה על ידי חוקרי סיגניה ואין לה אזכורים פומביים קודמים. INMemory משתמשת בטכניקת קומפילציה (הדרה) והרצה (JIT – Just-In-Time) כדי להריץ נוזקות ישירות בזיכרון השרת, בלא לכתוב אותן לדיסק, מה שמאפשר לתוקפים להימנע מהשארת עקבות ברשת.

לדברי בידרמן, "התוקפים התאימו את טכניקות הפעולה (TTPs) שלהם לסביבת הרשת המשתנה, מה שאפשר להם לשמר גישה רציפה ולאסוף מידע רגיש. הקבוצה הצליחה להישאר פעילה ברשת הקורבן משך יותר מארבע שנים, עד שנתגלתה ונבלמה". 

גם לאחר חסימת חברי הקבוצה, הם כבר זוהו כשניסו לשוב ולגשת לרשת של חברת התקשורת. מומחים ציינו כי "נראה ששחקן האיום מתמקד יותר במודיעין רשת, קצירת אישורים וגישה רציפה לתשתיות טלקום – במקום לגנוב נתוני משתמשים, או רשומות פיננסיות – מה שעולה בקנה אחד עם יעדי ריגול בחסות מדינה".