בראשונה: הממשל האמריקני פרסם פרטי נוזקה סינית

זו הפעם הראשונה שהממשל חושף נוזקה סינית, טאידור הוותיקה ● עד כה הממשל שיתף מקצועני אבטחה בפרטי מתקפות רוסיות, איראניות וצפון קוריאניות

שוב הסינים, לפחות לפי ממשל ביידן. צילום אילוסטרציה: BigStock

הממשל בארה"ב פרסם אתמול (ב') הודעה חריגה, ובה מידע החושף נוזקה המשמשת את מאמצי הפריצה של האקרים הפועלים בחסות סין במשך יותר מעשור.

ממשלת סין משתמשת בנוזקה המכונה טאידור (Taidoor), כדי לתקוף סוכנויות ממשלתיות, גורמים במגזר הפרטי וקבוצות חשיבה – ועושה זאת מאז 2008; כך לפי הודעה משותפת של CISA, הסוכנות לאבטחת סייבר ותשתיות במשרד להגנת המולדת, משרד ההגנה, וה-FBI.

על פי השלושה, המפלגה הקומוניסטית הסינית השתמשה בנוזקה, בשילוב עם שרתי פרוקסי, "כדי לשמור על נוכחות ברשתות של הקורבנות, וכדי להמשיך ולנצל את הפרצות ברשתות שלהן". הנתונים הופקו מ-MAR, malware analysis report, דו"ח ניתוח נוזקות של הממשל.

על פי הממשל, נוזקת טאידור נשלחה באופן ממוקד לארגונים ממשלתיים ופרטיים המתמקדים בטייוואן, כך על פי ניתוח מוקדם יותר של פייראיי (FireEye). בהודעה לא אוזכר הנושא הגיאו-פוליטי: בינואר השנה צ'אי אינג-וון, נשיאת טייוואן, זכתה בניצחון מוחץ בבחירות לכהונה שנייה. אינג-וון תומכת בעצמאות האי. בתגובה, סין איימה על טייוואן כי הכרזה רשמית על עצמאות עלולה לגרור תגובה צבאית.

הנוזקה הופצה בדרך כלל לקורבנות באמצעות דיוג חנית (spearphishing) – משלוח מיילים המכילים צרופות עם נוזקות. משקיפים העריכו כי ייתכן שהפרסום בא על רקע עימותים הנמשכים זה שבעה עשורים בין סין וטייוואן.

"לשפר את ההגנות מפני פריצות סייבר סיניות"

פיקוד הסייבר בצבא האמריקני, וכן יחידת הסייבר ההתקפית של הפנטגון, שיתפו גם הם דוגמאות לפעילות של טאידור, ועשו זאת דרך פלטפורמת שיתוף הנוזקות VirusTotal, כך שאנשי אבטחת המידע יוכלו לבחון אותה לעומק.

פיקוד הסייבר מעלה דגימות של נוזקות ל- VirusTotal מאז 2018, במטרה לסייע למגזר הפרטי להתגונן טוב יותר כנגד יריבים זרים, כמו גם להרתיע את היריבים מלנהל קמפיינים לפריצה. אך נראה כי זו הפעם הראשונה מזה שנתיים, בה הפנטגון בחר לזהות נוזקה שנראה כי היא סינית. הפנטגון חשף בפלטפורמה לעתים קרובות פריצות צפון קוריאניות, כמו גם קמפיינים הקשורים לפריצות רוסיות ואיראניות.

האם מדובר בחלק מהקמפיין שלו? נשיא ארה''ב, דונאלד טראמפ. צילום: BigStock

האם מדובר בחלק מהקמפיין שלו? נשיא ארה"ב, דונאלד טראמפ. צילום: BigStock

לא ניתן היה להבין מההודעה החריגה האם מדובר בחלק מהקמפיין של נשיא ארה"ב, דונאלד טראמפ, נגד סין, או שזהו צעד עצמאי של סוכנויות הממשל. עוד לא היה ברור האם נעשה שימוש בטאידור בקמפיין ריגול בסייבר שנערך באחרונה, או במתקפה מתמשכת מסין. אולם, מבין ארבע הדוגמאות של הנוזקות שפיקוד הסייבר העלה לפלטפורמת השיתופיות, רק שתיים מהן התגלו על ידי מנועים כלשהם. מומחי אבטחה ציינו כי אפילו במקרים בהם יש למגזר הפרטי הגנות הקשורות לקמפיינים של הנוזקה טאידור, ההגנות הללו אינן נפוצות – רק לפייראיי ול-BitDefender יש הגנה חלקית מפניה.

גורם ב-CISA אמר כי ההכרזה המשותפת "נועדה לשפר את ההגנות מפני פריצות סייבר סיניות". שגרירות סין בארה"ב לא הגיבה לפרסום.

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים