לקראת אירוע | מה עומד מאחורי פעילות הסייבר הסינית
מאת גבי סיבוני
מזה מספר שנים מפתחת סין יכולות מבצעיות בתחום לוחמת סייבר. למרות הכחשות של הממשל הסיני, הרי שבקרב החוקרים מקובלת התפיסה שסין עומדת אחרי שורה של מתקפות סייבר בארצות הברית, יפן ומדינות מערביות נוספות. הפעילות הסינית מנוהלת בצורה אינטנסיבית ואגרסיבית תוך שקשה לזהות את המניע העומד שורת ההתקפות. לכאורה נדמה שהפעילות הסינית מתמקדת באיסוף של מידע מודיעיני בצורה רחבה ובמגוון תחומים החל בחברות בעלות ידע טכנולוגי ייחודי, עבור לניסיון התקיפה של מערך הסיסמאות של Google וכלה בתקיפת קרן המטבע הבין לאומית בסוף 2011.
חוסר הבהירות באשר למטרות הפעולה ובחירת המטרות הרחבה מעלה את הצורך לזהות מה עומד מאחורי רצף המתקפות והאם ניתן לזהות את המתווה האסטרטגי שלאורו פועלת סין במערב בכלל ובארצות הברית בפרט. ברקע הדברים מוזכרות שתי תקיפות: הראשונה הנה תקיפת Shady RAT, סדרה של תקיפות שהתרחשו בין אמצע 2006 לפברואר 2011. השנייה הנה מבצע Aurora שהיה מתוחכם ותקף בין היתר גם את חברת Google. תקיפות אלה התרחשו מאמצע 2009 ועד לדצמבר אותה שנה. התקיפה השלישית והרחבה ביותר הייתה על חברת RSA שהנה חברה העוסקת באבטחת מידע ושרתי אינטרנט והמספקת, בין השאר, שרותי SecureID והרשאות כניסה חד פעמיות (One Time Password – OTP).
בבסיס האסטרטגיה הסינית עומדת ההבנה שלצבא הסיני נחיתות מובנה מול צבאות מערביים דוגמת ארצות הברית בכל הקשור ללוחמה קינטית. לאור זאת התגבשה ההבנה שכדי להתמודד מול יריב בעל יתרון טכנולוגי הנדרש לתעבורת מידע רחבה, יש לשבש את יכולתו לגשת למידע הזה. התפיסה נוגעת למתן מהלומה משולבת מקדימה הכוללת: מתקפת סייבר, מתקפה אלקטרונית ומתקפה קינטית על רשת המידע ומוקדי הטכנולוגיה הצבאית של היריב. מהלומה זו תאפשר ליצור "נקודות עיוורות" שיאפשרו לכוחות הצבא הסיני לפעול ביתר יעילות. ההבנה הסינית הנה כי ניתן על ידי פעולות שיבוש תעבורת המידע, לפגום משמעותית ביכולות היריב המתוחכם ולייצר יתרון בשלבים ראשונים של עימות.
האסטרטגיה שפותחה בסין במהלך העשור האחרון רואה במבצעי רשת מוכללים כפלטפורמה מרכזית לפיתוח התחום תוך שילוב ארבע סוגי מבצעים: תקיפת רשתות מחשבים, לוחמה אלקטרונית הכוללת אמצעי נגד אלקטרוניים ומכ"ם, הגנת רשת מחשבים וניצול רשתות מחשבים (exploitation). תפיסה משולבת זו מקנה לסין יכולת מבצעית רב תחומית המאפשר מיצוי הכוח לטובת תקיפת היריב. בבסיס האסטרטגיה הסינית עומדת ההנחה שבעת עימות, היכולת לפגוע בתעבורת המידע תוכל לאפשר לסין ליצור יתרון בשדה הקרב הפיזי.
בחמש השנים האחרונות התגלו לא מעט תקיפות סיניות בסייבר. החשיפה של מבצעים אלו שופכת אור על שיטות הפעולה הסיניות. מבצעים אלו היו מבצעי איסוף אשר באמצעותם ניתן לזהות את טכניקות התקיפה הבסיסיות ומהם ניתן להקיש על מדיניות ועל שיטות פעולה של התוקף, במקרה הזה סין. מהתקיפות ניתן ללמוד על גישה של מעצמה שמטרתה להשיג נגישות תשתיתית נרחבת מאוד ולא להסתפק ביעד בודד. אוסף פעולות מאורגנות ושיטתיות אלו שבוצעו לאורך השנים האחרונות מחזקות את הטענה שהתקיפות מאורגנות ובעלות מקורות דומים ושוללת את הטענה שתקיפות אלה בוצעו על ידי אוסף פצחנים מזדמן.
המאמר המלא יפורסם בגיליון הקרוב של כתב העת "צבא ואסטרטגיה" במכון למחקרי ביטחון לאומי.
ניתן להצטרף לרשימת התפוצה של פרסומי המכון בכתובת הבאה
ד"ר גבי סיבוני עומד בראש התכניות צבא ואסטרטגיה ולוחמת סייבר במכון למחקרי ביטחון לאומי (INSS).