סין מסלימה את חזית הסייבר מול ארצות הברית

מאבק הסייבר בין שתי מעצמות העל, סין וארצות הברית – מסלים: השלטון בבייג'ינג האשים בסוף השבוע, בפעם הראשונה בפומבי, שלושה האקרים בכך שהם עובדים עבור ה-NSA – הסוכנות האמריקנית לביטחון לאומי – והציע פרס כספי על מידע שיוביל למעצרם. מדובר בפעולה הצהרתית בעיקרה, הדומה לטקטיקות שארצות הברית משתמשת בהן באופן שגרתי נגד מרגלי סייבר סינים וזרים בכלל.

"ההאשמות מהוות הסלמה בסכסוך הסייבר המתמשך בין שתי המדינות – סכסוך שקציני מודיעין אמריקניים חוששים ממנו מזה זמן רב", הסבירו מומחים. "בעוד שברור שה-NSA מרגלת בסייבר נגד מטרות סיניות, הרי שסין סיפקה מעט ראיות לטענותיה". עוד הם ציינו כי הודעת סין נועדה להשגת ניצחון תעמולתי, ולא באמת כדי לתפוס האקרים מארצות הברית.

בוושינגטון מכחישים את ההאשמות של בייג'ינג. קיילי ניובולד, דוברת המועצה לביטחון לאומי של הבית הלבן, אמרה כי "המפלגה הקומוניסטית הסינית צריכה להפסיק עם הבדיות האלה. אם היא רוצה להשתתף בשיחות מועילות, אנשיה יכולים להרים טלפון ולהתקשר. במקום לעסוק בבניית תשתית לתקשורת באופן פרודוקטיבי, סין ממשיכה בפרקטיקות סחר לא הוגנות ובפעולות תגמול כדי לפגוע בארצות הברית ובעובדים שלנו. סין גם ממשיכה לטעון כזבים כדי לתרץ את מעשיה הרעים במרחב הסייבר".

ה-NSA לא הגיבה לדברים.

פעילות סינית

בשבוע שעבר, המרכז הלאומי לתגובה למקרי חירום של וירוסי מחשבים בסין (CVERC) הנפיק דו"ח, שהטענה העיקרית בו היא שארצות הברית מרגלת בסייברי אחר סין. הטענה הודהדה על ידי המשרד הסיני לביטחון הפנים והועצמה על ידי כלי התקשורת הממלכתיים במדינה. לפי הדו"ח, ה-NSA פרצה בסייבר כדי לרגל אחרי משחקי החורף האסיאתיים, שנערכו בפברואר בחרבין שבסין.

בתוך כך, חוקרי ESET גילו כי קבוצת APT (מתקפות מתמשכות ומתקדמות) סינית בשם FamousSparrow תקפה ארגונים במגזר הפיננסי בארצות הברית, מכון מחקר במקסיקו ומוסד ממשלתי בהונדורס. לפי ESET, הקבוצה פרסה שתי גרסאות שלא תועדו בעבר של הדלת האחורית של SparrowDoor. החוקרים ציינו כי שתי הגרסאות מהוות התקדמות ניכרת לעומת גרסאות קודמות שלה.

הקבוצה נצפתה בפעם הראשונה באמצעות הדלת האחורית של ShadowPad, והיא נחשבה לא פעילה, מאז 2022. ב-ESET אומרים כי "FamousSparrow לא רק שעדיין הייתה פעילה בתקופה זו, אלא שהיא גם פיתחה את ערכת הכלים שלה".

כחלק מהקמפיין, ציינו החוקרים, "שחקן האיום הצליח לפרוץ למכון מחקר במקסיקו ולפגוע בארגונים בארצות הברית בסוף יוני 2024". לגבי ערכת הכלים ששימשה בקמפיין, החוקרים כתבו כי "שחקן האיום השתמש בשילוב של כלים מותאמים אישית ונוזקות, יחד עם אלה המשותפים לקבוצות APT סיניות, כמו גם ממקורות זמינים לציבור".

לפני חודשים אחדים, הוול סטריט ג'ורנל דיווח על ספקיות שירותי אינטרנט בארצות הברית שנפגעו על ידי קבוצת ההאקרים Salt Typhoon. בדיווח נקבעו קביעות הדומות לאלה שחוקרי מיקרוסופט קבעו בעבר: ששחקן האיום הזה זהה ל-FamousSparrow ו-GhostEmperor. "זה היה הדו"ח הפומבי הראשון שמשלב בין שתי הקבוצות. עם זאת, אנחנו רואים את GhostEmperor ו-FamousSparrow כשתי קבוצות נפרדות. יש מעט חפיפות בין השתיים, אבל יש ביניהן גם הרבה סתירות. בהתבסס על הנתונים שלנו וניתוח הדו"חות הזמינים לציבור, נראה ש-FamousSparrow הוא אשכול נפרד משלו, עם קשרים רופפים לאחרים", ציינו חוקרי ESET.

הקבוצה הייתה ידועה בתחילה כמי שתקפה בתי מלון ברחבי העולם, אך התמקדה גם בממשלות, ארגונים בינלאומיים, חברות הנדסה ומשרדי עורכי דין. amousSparrow היא המשתמשת הידועה היחידה בדלת האחורית של SparrowDoor.