מחקר: מתקפות סייבר המיוחסות לביון הסיני הופנו נגד ארגונים ביטחוניים בישראל
חברת מודיעין הסייבר fireeye פרסמה מחקר המייחס מתקפות סייבר נגד ארגונים ישראלים, כולל ביטחוניים, לביון הסיני. המטרה: טכנולוגיה ישראלית ושמירה על אינטרסים פוליטיים של בייג'ינג
עמי רוחקס דומבה
| 11/08/2021
http://english.www.gov.cn
חברת מודיעין הסייבר fireeye מפרסמת דו״ח שמייחס פעילות סייבר התקפית בישראל לביון הסיני. הדו״ח מקטלג את הקבוצה הסינית תחת השם UNC215. קמפיין התקיפה ניצל חולשות ידועות בMicrosoft SharePoint על מנת להתקין web shell ובאמצעותם נוזקה בשם FOCUSFJORD.
״בין 2019 ל-2020 הגיבה מנדיאנט לכמה תקריות״, נכתב בדו״ח. ״לאחר קבלת גישה ראשונית, המפעילים ביצעו איסוף תעודות וסיור רשת פנימי נרחב. זה כולל הפעלת פקודות מקוריות של Windows בשרתים שנפגעו, הפעלת ADFind ב- Active Directory וסריקת הרשת הפנימית עם מספר רב של כלים זמינים לציבור וסורק ייעודי בשם WHEATSCAN. המפעילים עשו מאמץ עקבי למחוק כלים אלה ולהסיר כל סימן שיורי ממערכות שנפגעו.״
התוקפים התקינו את ה-web shell גם בשרתי Outlook Web Access ולאחר מכן תקשרו אתם מרחוק. ״לאחר זיהוי מערכות מפתח ברשת היעד, כגון בקרי תחום ושרתי Exchange, UNC215 זזה לרוחב ופרסה את הנוזקה שלה, FOCUSFJORD״, נכתב בדו״ח. הקבוצה השתמשה גם בכלי תחת השם HYPERBRO שנועד לאסוף צילומי מסך והקלדות.
היבט מעניין נוסף שעלה במחקר הוא הניסיון של התוקפים להתחזות לאחר (פולס פלאג). ״ניתוח לשוני מעלה כי מונחים אלה תורגמו אוטומטית מכיוון שהם אינם בשימוש נפוץ על ידי דוברי פרסית״, נכתב במחקר לגבי טקסט שהתוקפים השתמשו בו במתקפה בקזחסטן. כלומר, זו עדות לכך שתוקפים בסייבר, כצפוי, משתמשים בטקטיקות לייחס את האירוע לאחר (אפרופו הייחוס הכמעט אוטומטי לאיראן בכל מתקפת סייבר בישראל).
על פי הדו״ח, קבוצת ההאקרים פעלה בישראל, איראן, איחוד האמירויות, קזחסטן ועוד מדינות לא ידועות. בדו״ח מייחסים את הפעילות הסינית במרחב הסייבר הישראלי להשקעות שעושה סין בישראל תחת יוזמת ״חגורה וכביש״ וכן בשל הרצון של סין להגיע לטכנולוגיות ישראליות. ״כאשר ה- BRI הסיני נעה מערבה, פרויקטי הבנייה החשובים ביותר שלה בישראל הם הרכבת בין אילת לאשדוד, נמל פרטי באשדוד ונמל חיפה״, כותבים החוקרים.
״בנוסף לנתונים מ- Mandiant Incident Response ו- Telemetry FireEye, עבדנו עם סוכנויות ביטחון ישראליות לבדיקת נתונים מפריצות נוספות של גופים ישראלים. ניתוח זה הראה מספר פעולות במקביל נגד מוסדות ממשלת ישראל, ספקי IT וגופי תקשורת החל בינואר 2019. במהלך תקופה זו, UNC215 השתמשה ב- TTP חדשים כדי לעכב ייחוס וזיהוי, לשמור על ביטחון תפעולי. אנו מאמינים כי יריב זה עדיין פעיל באזור.״
חברת מודיעין הסייבר fireeye פרסמה מחקר המייחס מתקפות סייבר נגד ארגונים ישראלים, כולל ביטחוניים, לביון הסיני. המטרה: טכנולוגיה ישראלית ושמירה על אינטרסים פוליטיים של בייג'ינג
http://english.www.gov.cn
חברת מודיעין הסייבר fireeye מפרסמת דו״ח שמייחס פעילות סייבר התקפית בישראל לביון הסיני. הדו״ח מקטלג את הקבוצה הסינית תחת השם UNC215. קמפיין התקיפה ניצל חולשות ידועות בMicrosoft SharePoint על מנת להתקין web shell ובאמצעותם נוזקה בשם FOCUSFJORD.
״בין 2019 ל-2020 הגיבה מנדיאנט לכמה תקריות״, נכתב בדו״ח. ״לאחר קבלת גישה ראשונית, המפעילים ביצעו איסוף תעודות וסיור רשת פנימי נרחב. זה כולל הפעלת פקודות מקוריות של Windows בשרתים שנפגעו, הפעלת ADFind ב- Active Directory וסריקת הרשת הפנימית עם מספר רב של כלים זמינים לציבור וסורק ייעודי בשם WHEATSCAN. המפעילים עשו מאמץ עקבי למחוק כלים אלה ולהסיר כל סימן שיורי ממערכות שנפגעו.״
התוקפים התקינו את ה-web shell גם בשרתי Outlook Web Access ולאחר מכן תקשרו אתם מרחוק. ״לאחר זיהוי מערכות מפתח ברשת היעד, כגון בקרי תחום ושרתי Exchange, UNC215 זזה לרוחב ופרסה את הנוזקה שלה, FOCUSFJORD״, נכתב בדו״ח. הקבוצה השתמשה גם בכלי תחת השם HYPERBRO שנועד לאסוף צילומי מסך והקלדות.
היבט מעניין נוסף שעלה במחקר הוא הניסיון של התוקפים להתחזות לאחר (פולס פלאג). ״ניתוח לשוני מעלה כי מונחים אלה תורגמו אוטומטית מכיוון שהם אינם בשימוש נפוץ על ידי דוברי פרסית״, נכתב במחקר לגבי טקסט שהתוקפים השתמשו בו במתקפה בקזחסטן. כלומר, זו עדות לכך שתוקפים בסייבר, כצפוי, משתמשים בטקטיקות לייחס את האירוע לאחר (אפרופו הייחוס הכמעט אוטומטי לאיראן בכל מתקפת סייבר בישראל).
על פי הדו״ח, קבוצת ההאקרים פעלה בישראל, איראן, איחוד האמירויות, קזחסטן ועוד מדינות לא ידועות. בדו״ח מייחסים את הפעילות הסינית במרחב הסייבר הישראלי להשקעות שעושה סין בישראל תחת יוזמת ״חגורה וכביש״ וכן בשל הרצון של סין להגיע לטכנולוגיות ישראליות. ״כאשר ה- BRI הסיני נעה מערבה, פרויקטי הבנייה החשובים ביותר שלה בישראל הם הרכבת בין אילת לאשדוד, נמל פרטי באשדוד ונמל חיפה״, כותבים החוקרים.
״בנוסף לנתונים מ- Mandiant Incident Response ו- Telemetry FireEye, עבדנו עם סוכנויות ביטחון ישראליות לבדיקת נתונים מפריצות נוספות של גופים ישראלים. ניתוח זה הראה מספר פעולות במקביל נגד מוסדות ממשלת ישראל, ספקי IT וגופי תקשורת החל בינואר 2019. במהלך תקופה זו, UNC215 השתמשה ב- TTP חדשים כדי לעכב ייחוס וזיהוי, לשמור על ביטחון תפעולי. אנו מאמינים כי יריב זה עדיין פעיל באזור.״
