חברת הסייבר ההגנתית סייבריזן (Cybereason) חשפה הבוקר (שלישי) תשתית ריגול סינית על ספקיות סלולר בעולם. התוקפים הצליחו להתבסס ברשת במשך שנים ולהשיג מידע השייך למיליוני מנויים מבלי להיחשף.
מאז שהתגלתה במרץ האחרון תקיפת Hafnium, בה נחשפה החולשה בשרתי האימייל של Microsoft Exchange, צוות המחקר של סייבריזן עקב אחרי הפעילות של קבוצת התקיפה המדוברת כדי לאתר תקיפות נוספות.
במהלך חקירה שנמשכה מספר חודשים, צוות סייבריזן חשף קמפיין תקיפה רחב היקף כנגד ספקיות סלולר באסיה, שבה נוצלו אותן חולשות אבטחה במשך שנים קודם לכן, במטרה לקבל מידע על מיליוני מנויים.
עוד עולה מהדו"ח של סייבריזן כי תשתית הריגול מורכבת משלוש קבוצות תקיפה שונות, שלעיתים פעלו גם במקביל. קבוצות התקיפה הצליחו לפעול מבלי להיחשף במשך שנים (לפחות משנת 2017), וכך הצליחו לגנוב מידע קריטי משרתים המכילים מידע רגיש של מיליוני משתמשים.
בנוסף, החפיפה הברורה שנראתה בין הכלים והטכניקות ששימשו את קבוצות התקיפה השונות מצביעה על סיווגן כקבוצת תקיפה סיניות הפועלות לטובת אינטרס ממשלתי סיני. הקבוצות שלפי הדו"ח עומדות מאחורי התקיפות הן Soft Cell, Naikon and Group-3390. תקיפת הרשתות הארגוניות של ספקיות הסלולר אינה מקרית.
הנגישות למידע של מיליוני משתמשים מהווה תשתית מודיעינית אפקטיבית בה ניתן לרגל בצורה יומיומית אחר יעדים של הממשל הסיני, לאתר את "מעגלי התקשורת" שלהם (Call Detail Record (CDR ולהרכיב תמונה מודיעינית רחבת היקף: עם מי היעדים דיברו, באילו שעות וימים, ומהו המיקום הגיאוגרפי בכל רגע נתון.
בהתבסס על מידע מתוך מחקר על קבוצת Soft Cell שנחשף לראשונה על ידי סייבריזן ב-2019, ועל פי מחקרים נוספים על קבוצות תקיפה אלו, ניתן להסיק כי המידע הגנוב משמש לטובת פעולות ריגול של יעדים נבחרים. יעדים אלה עשויים לכלול תאגידים, דמויות פוליטיות, פקידי ממשל, רשויות אכיפת חוק, ופעילים פוליטיים שמעניינים את הממשל הסיני.
"מדובר בתקיפות מדאיגות מאחר והן מערערות את ביטחונם של ספקי תשתיות קריטיות וחושפות את המידע הסודי והקנייני של ארגונים ציבוריים ופרטיים אשר תלויים בתקשורת מאובטחת לניהול עסקי שוטף", אומר ליאור דיב, מנכ"ל ומייסד סייבריזן. "פעילות ריגול בחסות מדינה מהווה איום לא רק עבור לקוחות ספקיות הסלולר, אלא טמון בו גם פוטנציאל איום על ביטחון המדינות בהם התוקפים התמקדו ואי-יציבות אזורית".
"אירועים מסוג זה הם הסיבה שאנחנו מפעילים צוות מחקר מודיעיני העוסק בצייד פרואקטיבי אחר איומים מורכבים וחשיפת טקטיקות תקיפה, כלים וטכניקות של הקבוצות המתוחכמות ביותר בעולם, וזה על מנת לשמור על ארגונים בצורה המיטבית", הוסיף דיב.
אסף דהן, ראש קבוצת מחקר איומי סייבר בסייבריזן התייחס לקבוצות התקיפה אותן צוותו חקר במשך חודשים, הסביר כי "התוקפים פעלו בחריצות על מנת לטשטש פעילותם, לשמור על פרופיל נמוך, ולחמוק ממאמצי האבטחה של ספקיות הסלולר, כל אלו מצביעים על כך שיעדי הריגול הם בעלי ערך רב לתוקפים".