נחשפה עוד פעולת פריצה סינית עולמית ומתוחכמת
ההאקרים השתמשו בשש דלתות אחוריות כדי לפרוץ ולגנוב מידע מעשרות קורבנות, ביניהם מפעלי תעשייה וארגוני ביטחון, כולל חברת אבטחת מידע
נחשפה (עוד) קבוצת פריצה סינית שפעלה באופן מתוחכם ברחבי העולם ופרצה למפעלי תעשייה ולארגונים מהמגזר הביטחוני, לרבות ספקית פתרונות הגנת סייבר אחת – כך חשפו אתמול (ב') חוקרי קספרסקי. ההאקרים השתמשו בו זמנית בשש דלתות אחוריות שונות, שאותן הם כיוונו כלפי שלל קורבנות: מפעלי תעשייה, מכוני מחקר, סוכנויות ממשלתיות ומשרדים. הם לא בחרו צד במלחמת רוסיה-אוקראינה ותקפו מטרות בשתי המדינות, כמו גם בבלרוס ובאפגינסטן.
באמצעות הודעות פישינג – שהיו "מעוצבות בקפידה", כהגדרת חוקרי קספרסקי – ההאקרים התייחסו במיילים שנשלחו לקורבנות למידע הרלוונטי לארגון הקורבן, שעדיין לא היה פומבי. בדרך זו הם הצליחו לחדור לעשרות ארגונים, לפגוע או להשתלט על תשתיות ה-IT שלהם – בחלק מהמקרים, ולעשות זאת תוך השתלטות על מערכות המשמשות לניהול פתרונות אבטחה, הסבירו החוקרים.
הפגיעות, שנוצלה על ידי ההאקרים במסגרת המתקפה, התגלתה בינואר האחרון. חוקרי קספרסקי ציינו כי היא אפשרה לתוקפים להחדיר נוזקה ללא כל פעילות נוספת מצד המשתמש. במקרה אחד, לדבריהם, התוקפים השתלטו על מרכז שליטה של ספקית פתרונות הגנת סייבר, ששמה לא צוין. או אז, הם הפעילו מתקפת "כרטיס זהב", שהעניקה להם גישה רחבה ועקבית ברשת הקורבן.
איך החוקרים זיהו שמדובר בקבוצה סינית?
קבוצות מחקר של חברות מודיעין איומים שעוקבות אחרי פעילותה של קבוצת ההאקרים נתנו לה את השם TA428. היא זוהתה על בסיס סימנים טכניים שונים, לצד חפיפה לפעולות תקיפה קודמות. בעבר דיווחה סייבריזן הישראלית שאחד הקורבנות של הקבוצה היה קבלן הגנה רוסי בעל קשרים עם חיל הים הרוסי.
חוקרי קספרסקי ציינו בדו"ח שלהם כי "דיוג חנית (Spear phishing) נותר אחד האיומים הרלוונטיים ביותר על מפעלי תעשייה ומוסדות ציבור. התוקפים השתמשו בעיקר בנוזקות שמכילות דלת האחורית, כמו גם בטכניקות סטנדרטיות לתנועה לרוחב רשתות הקורבן ויכולת להתחמקות מפתרונות אנטי-וירוס".
עברית שפה יפה