סיגניה חושפת פרטים חדשים על קבוצת ההאקרים הסינית שסוחטת ארגונים בכל העולם
ההאקרים, שמחליפים את שמם בכל כמה חודשים, תוקפים ארגונים ברחבי העולם ודורשים כופר של מיליוני דולרים בעבור המידע הרגיש שהוצפן ** בסיגניה הישראלית מביאים ראיות לכך שמדובר בקבוצה סינית, מזהירים גם חברות ישראליות ומסבירים כיצד להתגונן
ישראל דיפנס
| 19/10/2022
אילוסטרציה: BIGSTOCK/Copyright: Dan74
חברת הסייבר הישראלית סיגניה (Sygnia) חושפת פרטים חדשים על קבוצת האקרים מסין המכונה Emperor Dragonfly, שמבצעת מתקפות כופר נגד ארגונים בכל העולם, וגם בישראל. בסיגניה חושפים כי הקבוצה, שמוכרת בתחום במספר שמות, מקושרת כעת עם קבוצה בשם Cheerscrypt וכן ראיות הקושרות את הקבוצה לסין.
במסגרת פעילותה, תוקפת הקבוצה חברות בעיקר בארצות הברית ואסיה מתחומים שונים, בהם תחום הייצור, שירותים כלכליים (בנקים), שירותים משפטיים וחברות הנדסיות. שיטת הפעולה העיקרית של הקבוצה היא תקיפת שרתים של ארגונים שאינם מאובטחים כראוי, הצפנת המידע הרגיש ודרישה של מיליוני דולרים מהארגון המותקף בעבור השבתו של המידע.
הקבוצה, שהמניע שלה הוא כלכלי, נוהגת לסמן כמטרה חברות גדולות אשר ביכולתן לשלם סכומים גבוהים, לעתים יותר אף יותר מ-10 מיליון דולר. שיטת הפעולה של ההאקרים היא ניצול חולשות בשרתי ארגונים החשופים לאינטרנט, דרכם הם חודרים לרשת הארגונית וגונבים ממנה דאטה רב ורגיש, כאשר חבריה דורשים כופר בסך מיליוני דולרים מהארגון המותקף, אחרת יפרסמו לציבור את המידע שנגנב – בין היתר מידע חסוי של החברה על פיתוחים שלה, וכן מידע אישי של עובדים, לרבות משכורות ובונוסים.
צוות החוקרים של סיגניה, שמסייע למספר ארגונים שהותקפו בחודשים האחרונים, מסביר כי בדרך כלל לא נהוג לראות בנוף האיומים העולמי קבוצות תקיפה שמקורן בסין. לדברי אורן בידרמן, מומחה בכיר לזיהוי ותגובה לאירועי סייבר בסיגניה, "קבוצה שכזו, הפועלת בקנה מידה גלובלי, היא דבר נדיר יחסית, מאחר והממשל הסיני מפקח על תעבורת האינטרנט בסין ומודע מאוד למה שקורה. סביר להניח שאותה קבוצה או דומות לה, לא יכולות לפעול כך אלא אם הממשל בבייג'ינג מעלים עין".
ראיות שקושרות את ההאקרים לסין
במקרה זה, חברי הקבוצה ניסו להישאר מתחת לרדאר ולכן החליפו מספר פעמים את שמם על מנת שלא ניתן יהיה להתחקות אחר פעילותם. כעת סיגניה חושפת גלגול נוסף של הקבוצה, Cheerscrypt, ואת הכלים בהם משתמשים ההאקרים, לאחר שחוקרי החברה הישראלית זיהו מספר מתקפות כופרה כשייכות לסינים, שבמסגרתן נעשה שימוש בשלושה כלים "סיניים" הזמינים באתר גיטהאב ונכתבו ופותחו ע"י מפתחים סיניים עבור משתמשים סיניים.
כך למשל, אחד מהכלים פותח לצורך מעקף של מגבלות הצנזורה שמטיל הממשל בסין, כלים שקבוצות כופרה אחרות אינן משתמשות בהם. גם מכלול הפעילות של הקבוצה, מציינים החוקרים, מאוד אופייני לפעילות קודמת של הקבוצה הסינית הזו, תחת שם אחר - Night Sky.
אורן בידרמן. תמונה: באדיבות סיגניה
לדברי בידרמן, על ארגונים להבין כי היענות למתקפת כופר מסוג זה היא אינה גזרת גורל. "ארגונים יכולים להתכונן ולהיות מוגנים יותר מפני מתקפות כאלו, באמצעות מספר צעדים בסיסים – ובראשם, עליהם לדאוג שמערכות שחשופות לאינטרנט יעברו עדכוני אבטחה בזמן. זאת, מכיוון שקבוצת ההאקרים הזו מנצלת בעיקר את האלמנט הזה. אנו רואים כי מרבית הארגונים שהותקפו לא עדכנו את שרתי הארגון כנדרש".
בסיגניה עדכנו גורמי אכיפת חוק גלובליים ושיתפו אותם בממצאים טרם פרסום הדברים. בחברה ממשיכים לעקוב אחר קבוצת התקיפה, שעדיין פעילה, בניסיון לסכל את המתקפות הבאות.
חברת סיגניה, חברת הסייבר של Team8 ו-Temasek, מסייעת למאות ארגונים ברחבי העולם לבנות אסטרטגיות הגנה מפני מתקפות סייבר, לבלום מתקפות בזמן אמת ולהתאושש לאחר מתקפות. החברה עובדת עם הנהלות, דירקטוריונים, צוותי מערכות מידע והצוותים הטכניים של חברות מובילות ברחבי העולם, לרבות חברות מרשימת ה-Fortune 100.
ההאקרים, שמחליפים את שמם בכל כמה חודשים, תוקפים ארגונים ברחבי העולם ודורשים כופר של מיליוני דולרים בעבור המידע הרגיש שהוצפן ** בסיגניה הישראלית מביאים ראיות לכך שמדובר בקבוצה סינית, מזהירים גם חברות ישראליות ומסבירים כיצד להתגונן
אילוסטרציה: BIGSTOCK/Copyright: Dan74
חברת הסייבר הישראלית סיגניה (Sygnia) חושפת פרטים חדשים על קבוצת האקרים מסין המכונה Emperor Dragonfly, שמבצעת מתקפות כופר נגד ארגונים בכל העולם, וגם בישראל. בסיגניה חושפים כי הקבוצה, שמוכרת בתחום במספר שמות, מקושרת כעת עם קבוצה בשם Cheerscrypt וכן ראיות הקושרות את הקבוצה לסין.
במסגרת פעילותה, תוקפת הקבוצה חברות בעיקר בארצות הברית ואסיה מתחומים שונים, בהם תחום הייצור, שירותים כלכליים (בנקים), שירותים משפטיים וחברות הנדסיות. שיטת הפעולה העיקרית של הקבוצה היא תקיפת שרתים של ארגונים שאינם מאובטחים כראוי, הצפנת המידע הרגיש ודרישה של מיליוני דולרים מהארגון המותקף בעבור השבתו של המידע.
הקבוצה, שהמניע שלה הוא כלכלי, נוהגת לסמן כמטרה חברות גדולות אשר ביכולתן לשלם סכומים גבוהים, לעתים יותר אף יותר מ-10 מיליון דולר. שיטת הפעולה של ההאקרים היא ניצול חולשות בשרתי ארגונים החשופים לאינטרנט, דרכם הם חודרים לרשת הארגונית וגונבים ממנה דאטה רב ורגיש, כאשר חבריה דורשים כופר בסך מיליוני דולרים מהארגון המותקף, אחרת יפרסמו לציבור את המידע שנגנב – בין היתר מידע חסוי של החברה על פיתוחים שלה, וכן מידע אישי של עובדים, לרבות משכורות ובונוסים.
צוות החוקרים של סיגניה, שמסייע למספר ארגונים שהותקפו בחודשים האחרונים, מסביר כי בדרך כלל לא נהוג לראות בנוף האיומים העולמי קבוצות תקיפה שמקורן בסין. לדברי אורן בידרמן, מומחה בכיר לזיהוי ותגובה לאירועי סייבר בסיגניה, "קבוצה שכזו, הפועלת בקנה מידה גלובלי, היא דבר נדיר יחסית, מאחר והממשל הסיני מפקח על תעבורת האינטרנט בסין ומודע מאוד למה שקורה. סביר להניח שאותה קבוצה או דומות לה, לא יכולות לפעול כך אלא אם הממשל בבייג'ינג מעלים עין".
ראיות שקושרות את ההאקרים לסין
במקרה זה, חברי הקבוצה ניסו להישאר מתחת לרדאר ולכן החליפו מספר פעמים את שמם על מנת שלא ניתן יהיה להתחקות אחר פעילותם. כעת סיגניה חושפת גלגול נוסף של הקבוצה, Cheerscrypt, ואת הכלים בהם משתמשים ההאקרים, לאחר שחוקרי החברה הישראלית זיהו מספר מתקפות כופרה כשייכות לסינים, שבמסגרתן נעשה שימוש בשלושה כלים "סיניים" הזמינים באתר גיטהאב ונכתבו ופותחו ע"י מפתחים סיניים עבור משתמשים סיניים.
כך למשל, אחד מהכלים פותח לצורך מעקף של מגבלות הצנזורה שמטיל הממשל בסין, כלים שקבוצות כופרה אחרות אינן משתמשות בהם. גם מכלול הפעילות של הקבוצה, מציינים החוקרים, מאוד אופייני לפעילות קודמת של הקבוצה הסינית הזו, תחת שם אחר - Night Sky.
אורן בידרמן. תמונה: באדיבות סיגניה
לדברי בידרמן, על ארגונים להבין כי היענות למתקפת כופר מסוג זה היא אינה גזרת גורל. "ארגונים יכולים להתכונן ולהיות מוגנים יותר מפני מתקפות כאלו, באמצעות מספר צעדים בסיסים – ובראשם, עליהם לדאוג שמערכות שחשופות לאינטרנט יעברו עדכוני אבטחה בזמן. זאת, מכיוון שקבוצת ההאקרים הזו מנצלת בעיקר את האלמנט הזה. אנו רואים כי מרבית הארגונים שהותקפו לא עדכנו את שרתי הארגון כנדרש".
בסיגניה עדכנו גורמי אכיפת חוק גלובליים ושיתפו אותם בממצאים טרם פרסום הדברים. בחברה ממשיכים לעקוב אחר קבוצת התקיפה, שעדיין פעילה, בניסיון לסכל את המתקפות הבאות.
חברת סיגניה, חברת הסייבר של Team8 ו-Temasek, מסייעת למאות ארגונים ברחבי העולם לבנות אסטרטגיות הגנה מפני מתקפות סייבר, לבלום מתקפות בזמן אמת ולהתאושש לאחר מתקפות. החברה עובדת עם הנהלות, דירקטוריונים, צוותי מערכות מידע והצוותים הטכניים של חברות מובילות ברחבי העולם, לרבות חברות מרשימת ה-Fortune 100.
