מבצע רוח דיפלומטית: ניתוח מעמיק של קמפיין ריגול סיני בסייבר נגד ממשלות במזרח התיכון, אפריקה ואסיה

יחידת המחקר של פאלו אלטו נטוורקס, Unit 42, זיהתה קמפיין ריגול סייבר סיני נגד גופים ממשלתיים | הקמפיין פעיל לפחות מאז סוף שנת 2022

מבצע רוח דיפלומטית: ניתוח מעמיק של קמפיין ריגול סיני בסייבר נגד ממשלות במזרח התיכון, אפריקה ואסיה

תמונה: פאלו אלטו

מבצע Diplomatic Specter הוא קמפיין ריגול סיברי מתקדם שמבוצע על ידי קבוצת APT סינית, המכוונת כנגד ישויות ממשלתיות במזרח התיכון, אפריקה ואסיה מאז סוף 2022. הקמפיין כולל איסוף מודיעין בקנה מידה גדול, כאשר הפעילות כוללת חדירות לשרתי דואר ושימוש בטכניקות חדשניות לחילוץ דואר אלקטרוני.

היעדים כוללים משרדי ממשלה, שגרירויות, מבצעי צבא ומפגשים פוליטיים. המידע המבוקש קשור בעיקר לעניינים גאופוליטיים נוכחיים ולקשרים דיפלומטיים וכלכליים של המדינות הממוקדות עם סין ומדינות אחרות. הקבוצה מנצלת פרצות אבטחה ידועות כמו ProxyLogon ו-ProxyShell לפריצה לשרתים ולהוצאת המידע.

במהלך הקמפיין, נצפתה שימוש במשפחת דלתות אחוריות חדשה ולא מתועדת שנקראות TunnelSpecter ו-SweetSpecter, אשר מאפשרות גישה נסתרת ושליטה מרחוק על המערכות הנפרצות. TunnelSpecter מיוחדת ביכולתה לשדר נתונים באמצעות DNS תוך שימוש בצופן חזק, בעוד SweetSpecter משתמשת בתקשורת TCP מוצפנת ומבצעת פעולות מורכבות בשרתים שנפרצו.

המחקר הדגים גם קשרים בין התשתית המשמשת את הקבוצה לתשתיות סיניות ידועות, כאשר הפעילות נעשית בשעות העבודה הרגילות של סין. כמו כן, נמצאו כלים וטכניקות שקשורים לפעילות ריגול סינית אחרת, מה שמחזק את ההערכה כי מדובר בפעילות שמופעלת על ידי או בתמיכה של הממשלה הסינית. כלים אלה כוללים גרסאות מותאמות של ה-Gh0st RAT, PlugX, ו-Htran, שהם כלים הנפוצים בקרב קבוצות ריגול סיניות.

לקבוצה זו יש יכולת להמשיך ולתקוף אפילו לאחר שפעילותה נחשפת, כשהיא משתמשת באותם כלים ושיטות על מנת לשחזר את גישתה למערכות שנפרצו. היכולת להמשיך ולתקוף מצביעה על מחויבות עמוקה ומשאבים רבים שמושקעים במעקב אחרי יעדים אסטרטגיים ובאיסוף מודיעין שיש לו ערך רב.

המחקר על הקמפיין מספק תובנות חשובות לאופן שבו גורמים סיניים מנצלים כלים דיגיטליים מתקדמים כדי לקדם אינטרסים גאופוליטיים ולשמר יתרון מודיעיני באזורים אסטרטגיים ברחבי העולם. הכרה והבנה של הטכניקות שבשימוש יכולות לסייע לארגונים להתגונן טוב יותר נגד תקיפות דומות בעתיד.

img
פרשנות | כוח צבאי משמעותי של נאט״ו יכול להקטין הסתברות למלחמה גרעינית באירופה
דעה | אופציה צבאית ישראלית תוכל לרסן את איראן 
קבוצת SQLink רוכשת את ZIGIT הישראלית
קבוצת SQLink רוכשת את ZIGIT הישראלית