מחקר: קבוצת סייבר המיוחסת לסין גנבה גיגות מידע של קניין רוחני
על פי מחקר של סייבריזן, קבוצת התקיפה Winnti הצליחה לגנוב מאות ג'יגה בייט של מידע - בדגש על פיתוחים ייחודיים, מסמכים רגישים, שרטוטים, דיאגרמות, נוסחאות ונתונים נוספים הקשורים לפתרונות טכנולוגים
עמי רוחקס דומבה
|
09/05/2022
bigstock
בתום חקירה שנמשכה חודשים רבים, צוות המחקר של סייבריזן חשף קמפיין תקיפה רחב שמיוחס לקבוצת התקיפה Winnti הפועלת בחסות הממשל הסיני. הקבוצה פעילה מעל לעשור, מתמחה בריגול וגניבת קניין רוחני וידועה לשמצה בשל יכולות החמקנות והתחכום שלה.
עפ"י דיווחים הקבוצה פעלה בעברה גם כנגד ארגונים וחברות ישראליות, בניסיון לגנוב פטנטים טכנולוגיים ומידע רגיש. מחקר זה הוא הראשון מסוגו, בשל כך שהצליח לתעד אופרציית תקיפה מורכבת בשלמותה ולנתח טכניקות תקיפה ייחודיות שלא נצפו בעבר. על פי ממצאי המחקר, התוקפים החלו את פעולותיהם בשנת 2019 (לכל הפחות) ותקפו ארגונים במדינות שונות בצפון אמריקה, אירופה ואסיה.
המחקר החל לאחר שצוות ניהול המשברים (Incident Response) של סייבריזן הוקפץ לטפל באירוע אבטחה. לאחר חקירה מעמיקה נראה כי התוקפים הצליחו לחדור לרשת הארגון דרך חולשה במערכת ERP (מערכת לניהול ותכנון משאביי הארגון) פופולארית שהייתה בשימוש החברה.
לאחר שהתוקפים אתרו את החולשה בשרת, הם התקינו עליו דלת אחורית מסוג WebShell שאפשרה להם גישה מלאה לרשת, להתקין נוזקות נוספות ולהשיג אחיזה מלאה במערכות הארגון. התוקפים החלו לסרוק את הרשת, לגנוב פרטי הזדהות של משתמשים שונים וזאת על מנת להתקדם בין המחשבים בארגון עד למציאת המידע הרגיש.
כתוצאה מכך, הצליחו התוקפים לגנוב מאות ג'יגה בייט של מידע - בדגש על פיתוחים ייחודיים, מסמכים רגישים, שרטוטים, דיאגרמות, נוסחאות ונתונים נוספים הקשורים לפתרונות טכנולוגים.
בקמפיין זה, נעשה שימוש בנוזקות שאינן תועדו בעבר, בנוסף לגרסאות חדשות של נוזקות ידועות ואף שימוש בטכניקות תקיפה שלא נראו לפני כן, ביניהן טכניקה נדירה המנצלת מנגנון ייחודי (CLFS) במערכות Windows.
התוקפים הפעילו שרשרת הדבקה משוכללת, רב-שלבית, שהייתה קריטית כדי לאפשר לקבוצה להישאר ללא זיהוי לאורך תקופה כה ארוכה. נוסף על כך, יישמו התוקפים בפעילותם טקטיקה המוכנה "בית הקלפים"- בה כל רכיב זדוני תלוי באחר על מנת לתפקד כראוי, דבר אשר הקשה על ניתוח הרכיבים בנפרד ואפשר התחמקות מאמצעי האבטחה המסורתיים.
עפ"י הערכות מומחים בגיבוי דוח רשמי שיצא מטעם ה- FBI, גניבת קניין רוחני ע"י קבוצות תקיפה סיניות עומד כיום על שווי של מאות מיליארדי דולרים בשנה. סין הכריזה לא פעם שבכוונתה להפוך למעצמה תעשייתית וטכנולוגית, כאשר כל האמצעים כשרים להשגת המטרה.
מטעם סייבריזן נמסר: "אנו נוכחים לראות כי קניין רוחני הינו יעד עיקרי לריגול תאגידי של מדינות לאום. למרות ההסכמים וההגנות הקיימות, ישנן מעצמות אשר מעדיפות להשקיעה מאמץ ומשאבים רבים בגניבת קניין רוחני של אחרים במקום לשאוף לפתח חידושים משלהם.
״קשה לקבוע את ההשפעה הכלכלית המדויקת של גניבת קניין רוחני בשל מגוון הגורמים המעורבים, אך די לומר שאיבוד ג'יגה-בייט בודד של מידע טכנולוגי רגיש יכול להסב פגיעה קשה ואף למחוק בקלות יתרון תחרותי בשוק".
סייבריזן תדרכה את גורמי אכיפת חוק במדינות שבהן הקבוצה תקפה.
על פי מחקר של סייבריזן, קבוצת התקיפה Winnti הצליחה לגנוב מאות ג'יגה בייט של מידע - בדגש על פיתוחים ייחודיים, מסמכים רגישים, שרטוטים, דיאגרמות, נוסחאות ונתונים נוספים הקשורים לפתרונות טכנולוגים
bigstock
בתום חקירה שנמשכה חודשים רבים, צוות המחקר של סייבריזן חשף קמפיין תקיפה רחב שמיוחס לקבוצת התקיפה Winnti הפועלת בחסות הממשל הסיני. הקבוצה פעילה מעל לעשור, מתמחה בריגול וגניבת קניין רוחני וידועה לשמצה בשל יכולות החמקנות והתחכום שלה.
עפ"י דיווחים הקבוצה פעלה בעברה גם כנגד ארגונים וחברות ישראליות, בניסיון לגנוב פטנטים טכנולוגיים ומידע רגיש. מחקר זה הוא הראשון מסוגו, בשל כך שהצליח לתעד אופרציית תקיפה מורכבת בשלמותה ולנתח טכניקות תקיפה ייחודיות שלא נצפו בעבר. על פי ממצאי המחקר, התוקפים החלו את פעולותיהם בשנת 2019 (לכל הפחות) ותקפו ארגונים במדינות שונות בצפון אמריקה, אירופה ואסיה.
המחקר החל לאחר שצוות ניהול המשברים (Incident Response) של סייבריזן הוקפץ לטפל באירוע אבטחה. לאחר חקירה מעמיקה נראה כי התוקפים הצליחו לחדור לרשת הארגון דרך חולשה במערכת ERP (מערכת לניהול ותכנון משאביי הארגון) פופולארית שהייתה בשימוש החברה.
לאחר שהתוקפים אתרו את החולשה בשרת, הם התקינו עליו דלת אחורית מסוג WebShell שאפשרה להם גישה מלאה לרשת, להתקין נוזקות נוספות ולהשיג אחיזה מלאה במערכות הארגון. התוקפים החלו לסרוק את הרשת, לגנוב פרטי הזדהות של משתמשים שונים וזאת על מנת להתקדם בין המחשבים בארגון עד למציאת המידע הרגיש.
כתוצאה מכך, הצליחו התוקפים לגנוב מאות ג'יגה בייט של מידע - בדגש על פיתוחים ייחודיים, מסמכים רגישים, שרטוטים, דיאגרמות, נוסחאות ונתונים נוספים הקשורים לפתרונות טכנולוגים.
בקמפיין זה, נעשה שימוש בנוזקות שאינן תועדו בעבר, בנוסף לגרסאות חדשות של נוזקות ידועות ואף שימוש בטכניקות תקיפה שלא נראו לפני כן, ביניהן טכניקה נדירה המנצלת מנגנון ייחודי (CLFS) במערכות Windows.
התוקפים הפעילו שרשרת הדבקה משוכללת, רב-שלבית, שהייתה קריטית כדי לאפשר לקבוצה להישאר ללא זיהוי לאורך תקופה כה ארוכה. נוסף על כך, יישמו התוקפים בפעילותם טקטיקה המוכנה "בית הקלפים"- בה כל רכיב זדוני תלוי באחר על מנת לתפקד כראוי, דבר אשר הקשה על ניתוח הרכיבים בנפרד ואפשר התחמקות מאמצעי האבטחה המסורתיים.
עפ"י הערכות מומחים בגיבוי דוח רשמי שיצא מטעם ה- FBI, גניבת קניין רוחני ע"י קבוצות תקיפה סיניות עומד כיום על שווי של מאות מיליארדי דולרים בשנה. סין הכריזה לא פעם שבכוונתה להפוך למעצמה תעשייתית וטכנולוגית, כאשר כל האמצעים כשרים להשגת המטרה.
מטעם סייבריזן נמסר: "אנו נוכחים לראות כי קניין רוחני הינו יעד עיקרי לריגול תאגידי של מדינות לאום. למרות ההסכמים וההגנות הקיימות, ישנן מעצמות אשר מעדיפות להשקיעה מאמץ ומשאבים רבים בגניבת קניין רוחני של אחרים במקום לשאוף לפתח חידושים משלהם.
״קשה לקבוע את ההשפעה הכלכלית המדויקת של גניבת קניין רוחני בשל מגוון הגורמים המעורבים, אך די לומר שאיבוד ג'יגה-בייט בודד של מידע טכנולוגי רגיש יכול להסב פגיעה קשה ואף למחוק בקלות יתרון תחרותי בשוק".
סייבריזן תדרכה את גורמי אכיפת חוק במדינות שבהן הקבוצה תקפה.
