עוד יום סין: "פנדה גבולית" תקפה ספקיות טלקום בעולם

האקרים סינים תקפו ותוקפים זה ארבע שנים ספקיות טלקום ברחבי העולם, כך לפי מחקר חדש של קראודסטרייק (CrowdStrike).

פנדה גבולית, על הסף, LIMINAL PANDA, היא קבוצת האקרים הפועלת מאז 2020 לפחות, והתמקדה בחברות טלקום עם כלים מותאמים אישית להשגת גישה חשאית, שליטה ובקרה וגניבת נתונים. "הקבוצה מפגינה מומחיות עמוקה ברשתות טלקום, כולל חיבורי ספקים. חבריה ניצלו שרתי טלקום שנפרצו כדי לתקוף ספקים נוספים באזורים שונים, וסביר מאוד שהם עוסקים בפעילות חדירה ממוקדת – כדי לתמוך באיסוף מודיעין", כתבו החוקרים.

"ברמת ודאות גבוהה ובהתבסס על פרופיל המטרות שזוהה על ידי היריב, יעדי המשימה וה-TTP – טקטיקות, טכניקות ונהלים שנצפו – כולם מצביעים על ניסיונות וחדירות להשגת גישה, הנעשות בחשאיות ולאורך זמן", ציינו החוקרים, "היריב מבצע פעולות חדירה באמצעות פרוטוקולים התומכים בתקשורת ניידת, כגון חיקוי פרוטוקולי GSM להשגת שליטה ובקרה  על מכשירי הקורבנות, וכן פיתוח כלים לטובת אחזור של פרטי מנוי סלולר, מטא דאטה של שיחות והודעות טקסט (SMS)".

השבוע העיד אדם מאיירס, סגן נשיא בכיר לתפעול מבצעים נגד איומים בענקית האבטחה, בפני תת-הוועדה המשפטית של הסנאט האמריקני לפרטיות, טכנולוגיה וחוק. הוא דן על איומי סייבר סיניים על תשתיות קריטיות. בעדותו, מאיירס חשף בפומבי, בראשונה, מידע על פנדה גבולית. זו, אמר, "כנופיית האקרים הפועלת בחסות מדינתית, ואנו עוקבים אחר פעילותה זה זמן".

"יריבים מתקדמים, דוגמת פנדה גבולית, מפגינים ידע נרחב ברשתות טלקומוניקציה, כולל הבנת הקשרים בין ספקים והפרוטוקולים התומכים בטלקומוניקציה סלולרית", אמר, "באחרונה, יריב זה פגע ברשתות הללו, תוך ניצול יחסי האמון בין ארגוני טלקום מחד ותצורות אבטחה גרועות מאידך. זה אפשר להם ליצור דריסת רגל כדי לסלול נתיבי גישה רבים בארגונים רבים".

"יוזמת החגורה והדרך", או "חגורת דרך המשי הכלכלית של המאה ה-21" (Belt and Road Initiative ובקיצור: BRI) היא אסטרטגיית פיתוח, שיזם מנהיג סין, שי ג'ינפינג, לשיתוף פעולה בין סין ואירואסיה. התוכנית כוללת נתיב יבשתי וימי, ובמסגרתה בנו חברות סיניות יותר מ-1,200 פרויקטים ב-150 מדינות. "מתווה הפעילות של פנדה גבולית תואם את פעילות הסייבר של סין", כתבו חוקרי קראודסטרייק בבלוג החברה, "הם מתמקדים בארגונים הפועלים במדינות הקשורות ליוזמת החגורה והדרך".

לפי החוקרים, אחת העדויות שמדובר בהאקרים הפועלים בחסות המדינה היא "שימוש במחרוזת Pinyin (wuxianpinggu507) עבור מפתח XOR של SIGTRANslator ובסיסמה עבור חלק משירותי הפרוקסי מרחוק של פנדה גבולית. במונח 'הערכה אלחוטית 507' מסתתרת נוזקה המשמשת לפגיעה במערכות טלקום, והמונח הזה התארח בעבר בכתובת IP של הקבוצה. עוד כמה שמות דומיין אחרים חופפים לתשתית של הקבוצה, העושה שימוש במונחים במנדרינית, מה שמרמז על שפת ההאקרים. גם השימוש ב-Fast Reverse Proxy ובדלת האחורית TinyShell – נעשה בעבר על ידי קבוצות האקרים אחרות, SUNRISE PANDA ו-HORDE PANDA. עוד נעשה שימוש בתשתית VPS המסופקת על ידי Vultr, ספקית המשמשת בדרך כלל ולא בלעדית – יריבים והאקרים הקשורים לסין".

"המניעים המבצעיים והיכולות הטכניות תואמים באופן הדוק את פעולות איסוף מודיעין אותות (SIGINT) לאיסוף מודיעין (ריגול, י.ה.)", כתבו, "זאת בניגוד למתקפות המונעות מרווח כספי".

השבוע פרסמנו כי טי-מובייל הצטרפה לרשימת ספקיות התקשורת שנפגעו במתקפות על ידי קבוצת האיום טייפון מלח (Salt Typhoon), הידועה בקשריה עם הממשל בסין. ורייזון (Verizon) ו-AT&T נמנות עם ספקיות האינטרנט שנפגעו מקמפיין הריגול בסייבר.

"מדובר בקמפיין ריגול בסייבר רחב ומשמעותי", אמרו ה-FBI ו-CISA, הסוכנות לאבטחת סייבר ותשתיות – בהודעה משותפת, "הקמפיין כלל פגיעה בתקשורת פרטית של מספר מוגבל של אנשים, המעורבים בעיקר בפעילות ממשלתית או פוליטית". להאקרים הסיניים הייתה גישה למאגר משך חודשים, או יותר – והם חדרו לרשתות של AT&T, ורייזון, לומן (Lumen Technologies) וחברות אחרות. "הם עסקו במשימות חשאיות של גניבת נתונים והכנה אפשרית למתקפות סייבר עתידיות", נמסר.