סייבריזן חשפה תשתית ריגול סינית על ספקיות סלולר
על פי מחקר של חברת הסייבר ההגנתית הישראלית, התוקפים הצליחו להתבסס ברשת במשך שנים ולהשיג מידע השייך למיליוני מנויים באין מפריע
מנדי קוגוסובסקי
| 03/08/2021
אסף דהן, ראש קבוצת מחקר איומי סייבר בסייבריזן. צילום: באדיבות החברה
במרץ האחרון נחשפה מתקפה על שרתי הדוא״ל של Microsoft Exchange, שבוצעה על ידי הקבוצה הזדונית הסינית הפניום (Hafnium). מאז, עקב צוות המחקר של חברת הסייבר ההגנתית סייבריזון (Cybereason) אחר פעילות הקבוצה, במטרה לאתר תקיפות נוספות. במהלך החקירה חשף צוות נוקטורנוס (Nocturnus), המורכב מחוקרים מומחים ויוצאי יחידות מובחרות, קמפיין תקיפה רחב היקף כנגד ספקיות סלולר באסיה, בה נוצלו אותן חולשות אבטחה במשך שנים קודם לכן, וזאת במטרה לקבל מידע על מיליוני מנויים.
מהדו״ח של סייבריזן בנושא עולה כי תשתית הריגול מורכבת משלוש קבוצות תקיפה שונות, שלעיתים פעלו גם במקביל. קבוצות התקיפה הצליחו לפעול מבלי להיחשף במשך שנים, לפחות משנת 2017, ולגנוב מידע קריטי משרתים המכילים מידע רגיש של מיליוני משתמשים. החפיפה הברורה שנראתה בין הכלים והטכניקות ששימשו את קבוצות התקיפה השונות מצביעה על סיווגן כקבוצת תקיפה סיניות הפועלות לטובת אינטרס ממשלתי סיני. הקבוצות שלפי הדו״ח עומדות מאחורי התקיפות הן Soft Cell, Naikon and Group-3390.
תקיפת הרשתות הארגוניות של ספקיות הסלולר אינה מקרית. שכן, הנגישות למידע של מיליוני משתמשים מהווה תשתית מודיעינית אפקטיבית בה ניתן לרגל בצורה יומיומית אחר יעדים של הממשל הסיני, לאתר את ״מעגלי התקשורת״ שלהם (Call Detail Records, CDR) ולהרכיב תמונה מודיעינית רחבת היקף: עם מי היעדים דיברו, באילו שעות וימים, ומהו המיקום הגיאוגרפי בכל רגע נתון.
ליאור דיב, מנכ"ל ומייסד סייבריזן: "מדובר בתקיפות מדאיגות מאחר והן מערערות את ביטחונם של ספקי תשתיות קריטיות וחושפות את המידע הסודי והקנייני של ארגונים ציבוריים ופרטיים אשר תלויים בתקשורת מאובטחת לניהול עסקי שוטף. פעילות ריגול בחסות מדינה מהווה איום לא רק עבור לקוחות ספקיות הסלולר, אלא טמון בו גם פוטנציאל איום על ביטחון המדינות בהם התוקפים התמקדו ואי-יציבות אזורית״.
אסף דהן, ראש קבוצת מחקר איומי סייבר בסייבריזן: ״מסתגלים מהר, מתמידים במשך שנים ומתחמקים מפתרונות אבטחה מסורתיים. התוקפים פעלו בחריצות על מנת לטשטש פעילותם, לשמור על פרופיל נמוך, ולחמוק ממאמצי האבטחה של ספקיות הסלולר, כל אלו מצביעים על כך שיעדי הריגול הם בעלי ערך רב לתוקפים. אמנם רוב התקיפות שנחשפו במחקר התמקדו בספקיות סלולר אסיאתיות, אך הקלות בה חדרו לרשת הארגונית והחשיבות האסטרטגית של תשתיות ריגול אלו עבור הממשל הסיני, יכולה להצביע על סבירות גבוה שהם פועלים במקומות נוספים בעולם ברגעים אלו״.
יש לציין, כי בחודש שעבר הפנתה הפנתה אצבע מאשימה לחברת הסייבר ההתקפי הישראלית קנדירו, וטענה כי מכרה להפניום את כלי התקיפה שלה, נוזקה הקרויה DevilTongues, ושהקבוצה הסינית עשתה בה שימוש כדי לתקוף למעלה מ-100 קורבנות – בגללם אקטיביסטים, פוליטיקאים, עיתונאים ועובדי שגרירות.
סייבריזן (Cybereason) הינה חברת סייבר הגנתית אשר מגנה על נקודות הקצה בארגונים ומטרתה לבצע זיהוי, מניעה ונטרול של תקיפות סייבר. החברה נוסדה בשנת 2012 ע"י ליאור דיב, יונתן שטרים-עמית ויוסי נער ומונה כיום למעלה מ- 850 עובדים ברחבי העולם עם משרדים בטוקיו, לונדון, בוסטון ותל אביב. מראשית דרכה ועד היום, גייסה החברה כ- 664 מיליון דולר.
על פי מחקר של חברת הסייבר ההגנתית הישראלית, התוקפים הצליחו להתבסס ברשת במשך שנים ולהשיג מידע השייך למיליוני מנויים באין מפריע
אסף דהן, ראש קבוצת מחקר איומי סייבר בסייבריזן. צילום: באדיבות החברה
במרץ האחרון נחשפה מתקפה על שרתי הדוא״ל של Microsoft Exchange, שבוצעה על ידי הקבוצה הזדונית הסינית הפניום (Hafnium). מאז, עקב צוות המחקר של חברת הסייבר ההגנתית סייבריזון (Cybereason) אחר פעילות הקבוצה, במטרה לאתר תקיפות נוספות. במהלך החקירה חשף צוות נוקטורנוס (Nocturnus), המורכב מחוקרים מומחים ויוצאי יחידות מובחרות, קמפיין תקיפה רחב היקף כנגד ספקיות סלולר באסיה, בה נוצלו אותן חולשות אבטחה במשך שנים קודם לכן, וזאת במטרה לקבל מידע על מיליוני מנויים.
מהדו״ח של סייבריזן בנושא עולה כי תשתית הריגול מורכבת משלוש קבוצות תקיפה שונות, שלעיתים פעלו גם במקביל. קבוצות התקיפה הצליחו לפעול מבלי להיחשף במשך שנים, לפחות משנת 2017, ולגנוב מידע קריטי משרתים המכילים מידע רגיש של מיליוני משתמשים. החפיפה הברורה שנראתה בין הכלים והטכניקות ששימשו את קבוצות התקיפה השונות מצביעה על סיווגן כקבוצת תקיפה סיניות הפועלות לטובת אינטרס ממשלתי סיני. הקבוצות שלפי הדו״ח עומדות מאחורי התקיפות הן Soft Cell, Naikon and Group-3390.
תקיפת הרשתות הארגוניות של ספקיות הסלולר אינה מקרית. שכן, הנגישות למידע של מיליוני משתמשים מהווה תשתית מודיעינית אפקטיבית בה ניתן לרגל בצורה יומיומית אחר יעדים של הממשל הסיני, לאתר את ״מעגלי התקשורת״ שלהם (Call Detail Records, CDR) ולהרכיב תמונה מודיעינית רחבת היקף: עם מי היעדים דיברו, באילו שעות וימים, ומהו המיקום הגיאוגרפי בכל רגע נתון.
ליאור דיב, מנכ"ל ומייסד סייבריזן: "מדובר בתקיפות מדאיגות מאחר והן מערערות את ביטחונם של ספקי תשתיות קריטיות וחושפות את המידע הסודי והקנייני של ארגונים ציבוריים ופרטיים אשר תלויים בתקשורת מאובטחת לניהול עסקי שוטף. פעילות ריגול בחסות מדינה מהווה איום לא רק עבור לקוחות ספקיות הסלולר, אלא טמון בו גם פוטנציאל איום על ביטחון המדינות בהם התוקפים התמקדו ואי-יציבות אזורית״.
אסף דהן, ראש קבוצת מחקר איומי סייבר בסייבריזן: ״מסתגלים מהר, מתמידים במשך שנים ומתחמקים מפתרונות אבטחה מסורתיים. התוקפים פעלו בחריצות על מנת לטשטש פעילותם, לשמור על פרופיל נמוך, ולחמוק ממאמצי האבטחה של ספקיות הסלולר, כל אלו מצביעים על כך שיעדי הריגול הם בעלי ערך רב לתוקפים. אמנם רוב התקיפות שנחשפו במחקר התמקדו בספקיות סלולר אסיאתיות, אך הקלות בה חדרו לרשת הארגונית והחשיבות האסטרטגית של תשתיות ריגול אלו עבור הממשל הסיני, יכולה להצביע על סבירות גבוה שהם פועלים במקומות נוספים בעולם ברגעים אלו״.
יש לציין, כי בחודש שעבר הפנתה הפנתה אצבע מאשימה לחברת הסייבר ההתקפי הישראלית קנדירו, וטענה כי מכרה להפניום את כלי התקיפה שלה, נוזקה הקרויה DevilTongues, ושהקבוצה הסינית עשתה בה שימוש כדי לתקוף למעלה מ-100 קורבנות – בגללם אקטיביסטים, פוליטיקאים, עיתונאים ועובדי שגרירות.
סייבריזן (Cybereason) הינה חברת סייבר הגנתית אשר מגנה על נקודות הקצה בארגונים ומטרתה לבצע זיהוי, מניעה ונטרול של תקיפות סייבר. החברה נוסדה בשנת 2012 ע"י ליאור דיב, יונתן שטרים-עמית ויוסי נער ומונה כיום למעלה מ- 850 עובדים ברחבי העולם עם משרדים בטוקיו, לונדון, בוסטון ותל אביב. מראשית דרכה ועד היום, גייסה החברה כ- 664 מיליון דולר.
