דו"ח סימנטק: קבוצה סינית השתמשה בכלי הריגול של ה-NSA להתקפה

קבוצת האקרים סינית השיגה גישה לתוכנות זדוניות המשמשות את הסוכנות לביטחון לאומי האמריקנית, ה-NSA, לצורכי ביון, ועשתה בהן שימוש לצרכיה. הקבוצה, שמכונה Buckeye, לא נדרשה ככל הנראה לגניבת הקוד, אלא מינפה באופן ציני למדי את הכלים של הסוכנות אחרי שהותקפה על ידיהם, כך לפי מחקר חדש שפרסמה חברת הגנת הסייבר סימנטק.

Buckeye, הידועה גם בשם APT3, היא קבוצה המקושרת למודיעין הסיני, ששלושה מחבריה הואשמו בפריצה בשנת 2018 בארה"ב.

חוקרי סימנטק גילו עדויות לכך שהקבוצה ניצלה בשנת 2016 לרעה פגיעות שלא הייתה ידועה קודם לכן, אשר הודלפה מאוחר יותר, באפריל 2017. הפגיעות והדלת האחורית ששימשו את Buckeye נכללו בארגז הכלים של קבוצת ריגול הסייבר Equation Group, שתוכנו הודלף על ידי ה-Shadow Brokers, קבוצה פריצה לא מזוהה לפני כשנתיים.

כלי ביון המשמשים סוכנויות ביון אמריקניות

מערך הכלים של Equation Group נחשב כדומה לזה שבו משמשות סוכנויות ביון אמריקניות, והוא כולל התקפה שיכולה לתכנת מחדש את הקושחה של הדיסק הקשיח. אנשי קספרסקי, שחשפו את הפריצה הזו, נמנעו מלהצביע במפורש על כך שה-NSA מקושרת לקבוצת Equation, וכך עשו גם אנשי סימנטק, אבל מקורות חדשותיים רבים וחוקרי אבטחה עשו זאת ופרסמו פרטים על הקשר הסימביוטי בין שני הגופים.

הדו"ח הנוכחי של סימנטק מציין כי ההאקרים הסינים הפעילו כלים כמו אלו שהיו בשימוש של Equation Group והחלו להשתמש בהם בכדי לתקוף אחרים. בין השאר נכללה בכלים חולשת יום אפס חדשה, אשר דווחה על ידי סימנטק למיקרוסופט בספטמבר 2018 ותוקנה במרץ 2019. חוקי סימנטק מצביעים על שתי פגיעויות במחקרם – אחת שעליה התבססו הכלים EternalRomance ו-EternalSynergy, והאחרת, החדשה יותר, דווחה כאמור למיקרוסופט.

יצוין כי היות שלפי ציר הזמן שנחשף על ידי סימנטק, לקבוצת ההתקפה Buckeye הייתה גישה לפגיעויות ולדלת האחורית לפחות שנה לפני שהכלים הודלפו על ידי ה-Shadow Brokers, משמע שהם השיגו אותם בדרך אחרת ולא עקב החשיפה.

למרות ההקשר הדי וודאי שמייצר הדו"ח של סימנטק בין הפורצים לכלי ה-NSA, ישנן תיאוריות אחרות שיכולות להסביר לכאורה את העובדה שאותם כלים נמצאים בשימוש על ידי שתי קבוצות שונות של מדינות לאום, אך אף אחת מהן לא מתאימה לפרטי הממצאים של סימנטק.

כך לדוגמה, אם המודיעין הסיני גם ניהל את ה-Shadow Brokers, זה יכול להסביר מדוע הן Buckeye והן ה-Shadow Brokers היו בעלות גישה לחולשות ולדלת האחורית המסוימות. אבל עם זאת התיאוריה הזו לא מסבירה מדוע הגרסה של הכלים ששימשו את קבוצת Buckeye לא זהה לכלים שהודלפו כעבור שנה על ידי ה-Shadow Brokers.

"הדברים יכולים לחזור נגדך"

הממצאים אודות Buckeye ופיתוח הכלים של Equation Group ושל ה-NSA אינו מפתיע למעשה, כך לדברי אריק צ'יאן, המנהל הטכני של סימנטק ששוחח עם הניו יורק טיימס. הסיבה לכך היא שחברות האבטחה נוהגות באופן קבוע ללמוד טכניקות של תוקפיהן בכדי לעדכן את יכולות ההגנה שלהם, ואז ביכולתן למעשה למנף אותן לתועלתן.

"כל תעשיית האבטחה מפרסמת מדי יום אינפורמציה על מידע שנאסף מהתקפות", אמר צ'יאן. "אנשים היו צריכים כבר להבין את זה …אם אתה מנהל איזה מבצע סייבר התקפי, הדברים האלה יכולים לחזור נגדך".

האירוע ממחיש נושא מרכזי וחשוב שעליו אנשי צבא וביטחון צריכים לתת את הדעת – ההתקפות מטעמם בעצם מלמדות את הקורבנות כיצד לתקוף. "למדנו שאינך יכול להבטיח שהכלים שלך לא ידלפו וישתמשו נגדך ונגד בעלי בריתך", הוסיף צ'יאן.