מתקפת סייבר של 4 חודשים על חברה אמריקאית חושפת איום מתקדם הקשור להאקרים סינים

מתקפת סייבר שנחשפה לאחרונה הביאה לידי ביטוי מבצע מתוחכם ביותר המכוון לארגון אמריקאי גדול, עם ראיות המצביעות על האקרים מסין בחסות המדינה. החדירה המדאיגה הזו, המפורטת בדו"ח של Symantec שבבעלות ברודקום, נמשכה לפחות ארבעה חודשים השנה, החל מאפריל ואולי מוקדם יותר. היקף המתקפה ושיטותיה מדגישים את האסטרטגיות המתפתחות של יריבי סייבר ואת הסיכונים העומדים בפני ארגונים קריטיים ברחבי העולם.

טקטיקות וכלים מתוחכמים מדגישים איומים מתקדמים

סימנטק זיהתה לראשונה סימנים לפריצה ב-11 באפריל 2024, ומצאה שהמתקפה נמשכה עד אוגוסט. במהלך תקופה זו, התוקפים עברו לרוחב על פני הרשת של הקורבן, ופגעו במכונות רבות. חלק מהמערכות הממוקדות היו שרתי Microsoft Exchange, מהלך המצביע על כך שהתוקפים ביקשו לאסוף מודיעין על ידי גישה לנתוני דוא"ל רגישים.

כלי סינון שנפרסו במהלך הקמפיין מאשרים עוד שמידע יקר ערך הוצא מהתשתית של הקורבן. ההאקרים השתמשו בשילוב של כלים בקוד פתוח וכלי עזר מובנים של Windows כדי לקדם את ההתקפה שלהם. כלים כמו FileZilla, Impacket ו-PSCP נפרסו לצד טכניקות לחיות מחוץ לאדמה, תוך מינוף Windows Management Instrumentation (WMI), PsExec ו-PowerShell כדי לבצע פקודות זדוניות ולהתמזג בפעילות רשת לגיטימית.

תפקידה של סין והשימוש בטכניקות ריגול סייבר

למרות ששמו של הארגון הממוקד לא נחשף, פעולותיו המשמעותיות בסין מוסיפות משקל לחשדות כי התוקפים היו קשורים לקבוצות בחסות המדינה הסינית. מתקפת הסייבר הסתמכה במידה רבה על טעינת צד של DLL, טקטיקה מובהקת של צוותי פריצה סיניים. חפצים מהפריצה עולים בקנה אחד עם אלה שנצפו ב"ארמון ארגמן", מבצע קודם שנתמך על ידי המדינה. בנוסף, ארגון זה היה מטרה בעבר בשנת 2023 על ידי קבוצה הידועה בשם Daggerfly, המכונה גם ברונזה היילנד, פנדה מתחמקת ו-StormBamboo.

השלכות רחבות יותר על אבטחת סייבר

הפרה זו משקפת מגמות רחבות יותר בתוך מערכת האקולוגית של התקפי הסייבר של סין, ש-Orange Cyberdefense ניתחה בפירוט. פעולות בחסות המדינה הסינית לעתים קרובות מטשטשות את הקווים בין גופים ציבוריים לפרטיים, ממנפות אוניברסיטאות למחקר מתקדם ומעסיקות קבלנים לביצוע התקפות. חברות מזויפות מוקמות לעתים קרובות על ידי אנשים המחוברים ליחידות הצבא או המודיעין הסיני כדי לטשטש ייחוס, לרכוש תשתית דיגיטלית ולגייס האקרים מבלי לעורר חשד.

ממצאים אלו מדגישים את האופי המתמשך והמתקדם של פעולות הסייבר הסיניות. הקמפיין המכוון לחברה אמריקאית זו משמש תזכורת מוחלטת לנוף האיומים המתפתח ולחשיבותן של הגנות אבטחת סייבר חזקות כדי להגן על נכסים קריטיים מפני יריבים של מדינות לאום.