קבוצת ההאקינג הסינית משיקה את ההתקפות הגלובליות מחדש VPNoverview.com

חברת אבטחה הולנדית, בשם Fox-IT, פרסמה היום דוח בעקבות חקירתם בנושא ריגול הסייבר הסיני. בשנתיים האחרונות הותקפו מערכות המחשוב של עשרות חברות ומוסדות ממשלתיים ברחבי העולם. ההולנדים סיכמו בדרגת וודאות גבוהה כי קבוצת פריצה סינית עומדת מאחורי הפיגועים.


קמפיין ריגול סייבר גלובלי התגלה

החקירה בשם “מבצע Wocao” (我 操, “Wǒ cāo” בסינית, סלנג ל”חרא “או” ארור “) התרחשה לאורך כמעט שנתיים. חוקרי ביטחון הולנדים אומרים כי כל הראיות מצביעות על קבוצת פריצות סינית מוצלת בשם APT20, אשר ככל הנראה פועלת לטובת ממשלת סין..

חברת Fox-IT גילתה את קמפיין ההאקינג של הקבוצה בקיץ 2018, תוך כדי ניתוח של מערכות מחשב שנפרצו עבור אחד מלקוחותיה. הם הצליחו לעקוב אחר השביל וחשפו עשרות מתקפות דומות שבוצעו על ידי אותה קבוצה.

בדו”ח הארוך, ההולנדים מסבירים כי “מעט מאוד ידוע או מתפרסם בפומבי על השחקן שאנו מתארים, אך במקום לתת לשחקן זה כינוי משלנו, בחרנו לפנות לשותפים בתעשייה. זה עזר לנו לייחס כמה מהטכניקות והכלים שלא פורסמו בעבר בדו”ח זה, בביטחון בינוני, לשחקן איום סיני המכונה APT20. בהתבסס על הקורבנות שנצפו של שחקן זה אנו גם מעריכים כי ככל הנראה שחקן איום זה עובד לטובת ממשלת סין. “

המטרה אינה כסף, אלא ידע

ההאקרים לא גונבים כסף ולא מתקינים תוכנת ransomware. הם מחפשים אך ורק מידע וידע רגיש לעסקים, דבר שממשלת סין בפרט הייתה מעוניינת בו.

לא ניתן לוודא כמה נתונים הצליחו התוקפים למסוק בשנים האחרונות. מה שידוע הוא שבין 2009 ל -2014, APT20 (המכונה גם כינור פנדה ו- th3bug) נקשרו לקמפיינים לפריצות המוקדמים לאוניברסיטאות, לצבא, לארגוני בריאות וחברות טלקומוניקציה..

על פי פוקס-IT, קבוצת ההאקינג הסינית נרדמה במשך מספר שנים. עם זאת, לאחרונה הוא צץ מחדש וממקד בשקט אל חברות וסוכנויות ממשלתיות.

השתמשו בכמה טכניקות רומן

הדו”ח מספק סקירה של הטכניקות שחוקרי האבטחה ההולנדיים יודעים ש- APT20 משתמשת בה. נקודת הגישה הראשונית היא בדרך כלל שרת אינטרנט פגיע או כבר נפגע. ברגע שהם בפנים, האקרים עוברים דרך הרשת בשיטות ידועות. בסופו של דבר הם יכולים להשתמש בתעודות גנובות כדי לגשת לרשת הקורבן באמצעות VPN של החברה.

באחד המקרים, קבוצת ההאקרים אף הצליחה לעקוף צורה של אימות דו-גורמי שנועד למנוע התקפות כאלה. לשם כך, האקרים פיתחו טכניקה לאחזור שני קודי הגורם להתחברות לשרת ה- VPN של החברה ולתת לעצמם אישור להתחבר. עוד התגלו כלים אחרים בהתאמה אישית..

בשלב הבא, ההאקרים השתמשו בכמה כלים של דלת אחורית וקוד פתוח כדי להסתנן עוד יותר לרשת כדי לזהות ולאסוף מידע ידנית. לאחר הורדת הנתונים, כל העקבות נמחו על מנת להפריע לחקירה משפטית מעמיקה, והדלת האחורית נסגרה.

מספר רב של קורבנות ברחבי העולם

פוקס-IT לא רוצה להזכיר את שמות הקורבנות. אבל ההולנדים אכן נתנו רשימה של מגזרים בהם APT20 פעילים.

בין הקורבנות ניתן למצוא חברות תעופה, חברות בנייה, משק האנרגיה, מוסדות פיננסיים, ארגוני שירותי בריאות, חברות הנדסה בחו”ל, מפתחי תוכנה וחברות תובלה.

המדינות שנפגעו כללו את ברזיל, סין, צרפת, גרמניה, איטליה, מקסיקו, פורטוגל, ספרד, ארה”ב ובריטניה.

כמה טעויות עשה קבוצת ההאקינג הסינית

במהלך עבודת הריגול שלהם, האקרים עשו כמה טעויות והשאירו אחריהם “טביעות אצבעות”..

לדוגמה,

  • היו כמה הגדרות שפה שהודלפו, מה שמעיד שההאקרים הפעילו דפדפן עם הגדרת שפה סינית.
  • בהרשמת שרת שכור, ההאקרים סיפקו כתובת אמריקאית שאינה קיימת, אך שלא כתבו בשוגג את שם מדינת לואיזיאנה בתווים סיניים.
  • בשלב מסוים האקרים השתמשו בקוד שניתן למצוא רק בפורום סיני.

כעבור זמן מה, חוקרי האבטחה ההולנדים גם החלו לשים לב שההאקרים דבקו בקפדנות בשעות המשרד הסיניות.

שם החקירה של Fox-IT “מבצע Wocao”, הייתה אחת הפקודות שביצעו האקרים בניסיון מתוסכל לגשת למגני רשת שנמחקו, לאחר ש- Fox-IT הפך את הפריצה הדיגיטלית.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me