סין לא לבד: התגלתה מתקפת סייבר איראנית רחבת היקף נגד ישראל

חוקרי קלירסקיי הישראלית הבחינו באחרונה במתקפה, שמכוונת נגד גופים וארגונים בישראל ומהווה חלק משרשרת התקיפות ההדדיות בין ישראל לאיראן ● בלי קשר, זוהתה גם מתקפת סייבר רחבת היקף שהובילה סין כנגד עשרות ארגונים ישראליים

מתקפות סייבר על ישראל מצד סין ואיראן. אילוסטרציה: BigStock

סין אינה המדינה היחידה שבאחרונה התגלו ראיות לתקיפות סייבר שהיא מבצעת נגד ישראל: לאנשים ומחשבים נודע כי גם איראן פצחה באחרונה במתקפת סייבר רחבת היקף על ישראל.

חוקרי קלירסקיי הישראלית הבחינו באחרונה במתקפת סייבר איראנית רחבת היקף כנגד גופים וארגונים בישראל – כך נודע לאנשים ומחשבים. טרם הוברר האם שרשרת המתקפות החדשה קשורה לתקיפת הספינה הישראלית במפרץ עומאן בשבוע שעבר. "אם היינו רוצים להתעמת עם אויבינו, היינו עושים זאת בגלוי. הסיפור שהאויב המציא הוא חלק מלוחמה פסיכולוגית", כך אמר דובר בכיר בכוחות המזוינים של איראן, בהכחשה בנושא מסוף השבוע. עוד נבדק קשר, כי המתקפה, שממצאיה יפורסמו בימים הקרובים, קשורה למאבק החשאי בין ישראל ואיראן, ששורשיו במתקפת התולעת סטוקסנט לפני יותר מעשור במתקן הגרעין האיראני בנתאנז, והמשכו במתקפת סייבר איראנית על מתקן מים ישראלי בשנה שעברה, ופגיעת נגד ישראלית במערכות המחשוב של נמל איראני.

בתוך כך, ובלא קשר בין המתקפות ומעבר לסמיכות הזמנים, סין הובילה מתקפת סייבר רחבת היקף כנגד עשרות ארגונים ישראליים, כולל גופי ממשל, כך לפי מחקר חדש של פייראיי (FireEye). אחר מתקפת הסייבר הסינית המתואמת עקבו החוקרים במשך שנתיים. לדבריהם, מדובר במתקפת הסייבר הסינית הנרחבת הראשונה אשר נצפתה כנגד ישראל, והיא מהווה חלק מקמפיין תקיפת סייבר רחב, שכוון אף נגד גופים באיראן, ערב הסעודית, אוקראינה, אוזבקיסטן ותאילנד. על פי המחקר, שחקן האיום הסיני תקף גופים ממשלתיים בישראל, חברות IT והיי-טק, וכן ספקיות טלקום. "השחקן מקפיד מאוד לטשטש עקבות, למחוק ראיות פורנזיות ואף לשתול מסרים כוזבים בכלים שלו, כדי ליצור רושם שמדובר בשחקני איום אחרים, בפרט איראן. כך, ההאקרים שתלו בקובצי קונפיגורציה של הכלים שלהם מילים בפרסית, בהינדי, ואף הודעות שגיאה בערבית. הם אף השתמשו ב- webshellבשם SEASHARPEE, ששימש שחקנים איראנים כמה שבועות לאחר שפרטיו הודלפו בטלגרם".

"קבוצה שקשורה למשרד לביטחון פנים הסיני"

לפי החוקרים, "מדובר בקבוצה תקיפה סינית, שאנו מעריכים בזהירות ובסבירות בינונית, כי היא קשורה למשרד לביטחון פנים הסיני (Ministry of State Security – MSS)". החוקרים כינו את שחקן האיום הסיני UN215 ואמרו, כי "ככל הנראה מדובר ב-APT27, המיוחס לממשל הסיני. השחקן תוקף ברחבי העולם, אך הדו"ח מתייחס לפעילות של השחקן שממוקדת בישראל ובמזה"ת".

למרות זאת, החוקרים לא נקבו מפורשות בזהות הגופים ממשלתיים. "היו כמה תקיפות בתחומים שונים", אמרו חוקרי פייראיי, "היו מקרים שבהם התוקף זוהה מהר יחסית, והיו מקרים שבהם התוקף שהה ברשת יותר זמן ואף הצליח לבצע תנועה רוחבית בין השרתים. באופן כללי, הריגול של סינים בארץ מתאפיין בגישה רחבת היקף לשרתי מיילים ומסמכים: נראה שהם ממש קוראים את ההתכתבויות כדי לדעת איך לגשת למכרז מסוים, או להתעדכן בענייני מדיניות".

המניע למתקפה, ציינו החוקרים, "הוא שילוב אינטרסים גיאו-פוליטיים. האינטרסים של סין באזור הם רבים, גם במסגרתBelt and Road Initiative , שעובר גם בישראל: מדובר בהקמה של מקביל לדרך המשי של פעם – רק בנתיב ימי. זה מתקשר למכרזים ענקיים של תשתיות שהסינים מקימים בישראל – רכבות, נמלי ים, מנהרות, ועוד. עניין נוסף של סין בישראל הוא במגזר הטכנולוגי במגינה. ישנן חברות רבות ישראליות שעוסקות בדיוק בתחומים שהם בליבת הצי"ח (ר"ת "ציון ידיעות חשובות" בעגה המודיעינית, משמע, להיכן יש למקד את העניין של גורמי האיסוף המודיעיניים השונים, י.ה.) של הסינים, כפי שמשתקף מתוכניות החומש שלהה. לצד השקעות כספיות רבות של סין בסטארט-אפים ובאקסלרטורים בארץ, המטרה שלהם היא לא בהכרח גניבה של קניין רוחני, אלא יתכן שהם מחפשים דווקא מידע עסקי".

לדברי החוקרים, "מבחינת הסינים זה לגיטימי לתקוף חברה במסגרת תהליך מו"מ עימה, על מנת שהם יידעו לתמחר נכון את העסקה. במלחמה הקרה שיש בין סין לארה"ב, שהיא ממש לא הולכת לשקוט בקרוב, יש תחרות מאוד מאוד גדולה על הקמת מאחזים ועסקים עם מדינות במזרח התיכון ובאירופה. כך, ישראל בעצם 'נקלעת' חזק לתוך האסטרטגיה הסינית. בזמן שהממשל הישראלי הוא בעל נטייה מערבית מאוד, לשוק האזרחי יש שיקולים אחרים, ולכן ניתן לראות שהסינים משיגים ניצחונות רבים בארץ".

בהיבט התזמון, ציינו החוקרים, כי התקיפות התקיימו החל מינואר 2019 ועד אמצע-סוף 2020. "היו כמה תקיפות במקביל, חלק קצרות וחלק ארוכות יותר. אנחנו מאמינים שהתוקף עדיין פעיל באזור ישראל והמזה"ת, רק שהוא שינה את וקטור החדירה שלו ולכן קשה יותר לאתר אותו. אנחנו יודעים שהכלים שבהם נעשה שימוש במתקפות ממשיכים להיות מפותחים ומשודרגים על ידי הסינים".

בהיבט הטכנולוגי, הוסיפו החוקרים, "יותר ויותר תוקפים סינים משתמשים בחולשות 'יום אפס', כאלו הקשורות לפריצות שהיו על סולארווינדס (SolarWinds), פולס סקיור (pulse secure) ועל מערכות אקסצ'יינג'. במסגרת גל התקיפה השחקן השתמש בחולשה סגורה ‘(1-day) המאפשרת הרצת קוד בשרתי שרפוינט, על מנת להתקין webshell וכלים ייעודיים, המכונים Focusjord ו-Hyperbro. לאחר הגישה הראשונית השחקן גנב אישורי גישה וביצע מיפוי מעמיק של הרשת כדי להתפשט בה – תוך שימוש בכלים פומביים, וכן בכלי סריקה. באמצעות כלי הסריקה הללו השחקן זיהה נכסים אסטרטגיים נוספים והשתלט עליהם".

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים