גלובס - עיתון העסקים של ישראלאתר נגיש

מתקפות סייבר / צילום: Shutterstock

NSO לא לבד: לאחר החשיפה והתחקיר הטוענים כי תוכנת פגסוס של חברת הסייבר הישראלית שימשה ממשלות וארגוני ביון לעקוב אחר עיתונאים ופוליטיקאים, חברת הסייבר ההגנתית סייבריזן (Cybereason) חשפה תשתית ריגול סינית דומה, שבמקום לפעול נקודתית, פשוט חדרה לספקיות סלולר בעולם ואספה מידע על מנוייהן.

התוקפים הצליחו להתבסס ברשת במשך שנים ולהשיג מידע השייך למיליוני מנויים מבלי להיחשף, והם קשורים ככל הנראה לארגוני ריגול ממשלתיים סינים. החברה פרסמה היום (ג') דוח המתאר את החדירה הסינית למליוני מכשירי סלולר במדינות שונות בדרום-מזרח אסיה בעיקר, וישראל אינה ביניהן.

במרץ האחרון התגלתה תקיפה המכונה Hafnium, שבה נחשפה החולשה בשרתי האימייל של Microsoft Exchange. צוות המחקר של סייבריזן עקב אחרי הפעילות של קבוצת התקיפה המדוברת כדי לאתר תקיפות נוספות. במהלך חקירה שנמשכה מספר חודשים, נחשף קמפיין תקיפה רחב-היקף נגד ספקיות סלולר באסיה, שבה נוצלו אותן חולשות אבטחה במשך שנים קודם לכן, במטרה לקבל מידע על מיליוני מנויים.

מהדוח של סייבריזן עולה כי תשתית הריגול מורכבת משלוש קבוצות תקיפה שונות, שלעתים פעלו גם במקביל. קבוצות התקיפה הצליחו לפעול מבלי להיחשף במשך שנים (לפחות משנת 2017), וכך הצליחו לגנוב מידע קריטי משרתים המכילים מידע רגיש של מיליוני משתמשים.

בנוסף, החפיפה הברורה שנראתה בין הכלים והטכניקות ששימשו את קבוצות התקיפה השונות מצביעה על סיווגן כקבוצת תקיפה סיניות הפועלות לטובת אינטרס ממשלתי סיני. הקבוצות שלפי הדוח עומדות מאחורי התקיפות הן Soft Cell, Naikon and Group-3390.

תקיפת הרשתות הארגוניות של ספקיות הסלולר אינה מקרית, שכן הנגישות למידע של מיליוני משתמשים מהווה תשתית מודיעינית אפקטיבית בה ניתן לרגל בצורה יומיומית אחר יעדים של הממשל הסיני, לאתר את "מעגלי התקשורת" שלהם (Call Detail Record (CDR ולהרכיב תמונה מודיעינית רחבת-היקף: עם מי היעדים דיברו, באילו שעות וימים, ומהו המיקום הגיאוגרפי בכל רגע נתון.

ב2019 איתרה סייבריזן מתקפה ככל הנראה של סין, שחדרה ל-25 חברות מפעילות סלולר ברחבי העולם, ובאמצעותה קיבלה גישה לכל המידע של מאות מליוני הטלפונים הסלולריים המסונפים לחברות שהותקפו. בעקבות חקירה שניהלה החברה ב-9 החודשים האחרונים, במהלכה התגלו מתקפות סייבר שפגעו במפעילות ברחבי העולם. על-פי סייבריזן, המתקפה אפשרה לתוקפים גישה מלאה לסיסמאות המחשבים הארגוניים של הספקיות והעניקה להם גם גישה לכל המידע על יעדי השיחות והסמסים של לקוחות החברה ואת מיקומם.

בהתבסס על מידע מתוך מחקר על קבוצת Soft Cell שנחשף לראשונה על-ידי סייבריזן ב-2019, ועל-פי מחקרים נוספים על קבוצות תקיפה אלה, ניתן להסיק כי המידע הגנוב משמש לטובת פעולות ריגול של יעדים נבחרים. יעדים אלה עשויים לכלול תאגידים, דמויות פוליטיות, פקידי ממשל, רשויות אכיפת חוק ופעילים פוליטיים שמעניינים את הממשל הסיני.

לדברי ליאור דיב, מנכ"ל ומייסד סייבריזן, "מדובר בתקיפות מדאיגות, מאחר שהן מערערות את ביטחונם של ספקי תשתיות קריטיות וחושפות את המידע הסודי והקנייני של ארגונים ציבוריים ופרטיים אשר תלויים בתקשורת מאובטחת לניהול עסקי שוטף. פעילות ריגול בחסות מדינה מהווה איום לא רק עבור לקוחות ספקיות הסלולר, אלא טמון בה גם פוטנציאל איום על ביטחון המדינות בהן התוקפים התמקדו ואי-יציבות אזורית". 

אסף דהן, מנהל קבוצת המחקר של סייבריזן, אומר כי בבדיקה הנוכחית נמצאו עוד שתי קבוצות האקרים סיניות המקושרות לממשלת סין לגופי מודיעין שלה. לדבריו, פוטנציאלית יש להם גם יכולת להשבית ולנתק את הרשתות ולפגוע בתשתיות קריטיות, בעיקר בדרום-מזרח אסיה.