ה-FBI מבקש את עזרת הציבור בזיהוי האקרים סינים

ה-FBI מבקש סיוע מהציבור בקשר לחקירה הנוגעת לפריצה של האקרים סינים "למכשירי קצה ולרשתות מחשבים של חברות וגופים ממשלתיים".

"קבוצת APT, איום מתמשך ומתקדם, יצרה ופרסה נוזקות (CVE-2020-12271) כחלק מסדרה נרחבת של חדירות מחשב, חסרות הבחנה, שנועדו לחלץ נתונים רגישים מפיירוולים ברחבי העולם", הודיעה הבולשת, "ה-FBI מחפש מידע לגבי זהותם של האנשים האחראים לחדירות הסייבר הללו".

הודעת הבולשת מגיעה בעקבות סדרה של דו"חות שפרסמה סופוס (Sophos), המתעדים שורה של קמפיינים בין 2018 ל-2023, שבהם ההאקרים ניצלו את מכשירי תשתית הקצה של הקורבנות, כדי לפרוס נוזקות מותאמות אישית, או לשנות את ייעודן ולהפוך אותן לפרוקסי – כדי להתחמק מאיתור.

הפעילות הזדונית זכתה לשם הקוד Pacific Rim (בשולי, או עיטור הפסיפיק). היא כללה מעקב, חבלה וריגול בסייבר, ומיוחסת לכמה קבוצות האקרים הפועלת בחסות סין: APT31, APT41 ו-Volt Typhoon. המתקפה המוקדמת ביותר החלה בסוף 2018, והיא כוונה נגד Cyberoam – החברה הבת ההודית של סופוס.

"היריבים תקפו תשתיות קריטיות קטנות וגדולות ומתקנים ממשלתיים, בעיקר בדרום ובדרום מזרח אסיה, כולל ספקי אנרגיה גרעינית, שדה תעופה בבירת מדינה, בית חולים צבאי, מנגנון ביטחון במדינה ומשרדי ממשלה מרכזיים", מסרה ענקית האבטחה. חלק משלל המתקפות מינף פגיעויות רבות, מסוג יום אפס, בפיירוול של סופוס.

"נראה כי מ-2021 ואילך", נכתב, "היריבים העבירו את המיקוד מהתקפות נרחבות וחסרות הבחנה – להתקפות ממוקדות מאוד, נגד ישויות ספציפיות: סוכנויות ממשלתיות, תשתיות קריטיות, ארגוני מחקר ופיתוח, ספקי שירותי בריאות, קמעונאות, פיננסים, צבא וארגונים במגזר הציבורי – בעיקר באזור אסיה-פסיפיק".

החל מאמצע 2022, נכתב, "התוקפים מיקדו את מאמציהם בהשגת גישה עמוקה יותר לארגונים ספציפיים, בהתחמקות מזיהוי ובאיסוף מידע נוסף. הם עשו זאת על ידי הפעלה ידנית של פקודות ופריסת נוזקות כמו Asnarök, Gh0st RAT ו-Pygmy Goat".

לפי החוקרים, "הקוד עצמו של הנוזקה נקי, עם פונקציות קצרות ומובנות היטב, והשגיאות נבדקו לכל אורכו, מה שמרמז על כך שהוא נכתב על ידי מפתחים מוסמכים".

את הפריצה ביצע שחקן איום סיני בשם Tstark

פעילות הפריצה מיוחסת לשחקן איום סיני בשם Tstark. חוקרי סופוס מצאו כי יש לו קישורים משותפים לאוניברסיטה למדע אלקטרוני וטכנולוגיה של סין (UESTC) בצ'נגדו, בירת מחוז סצ'ואן.

סופוס אמרה כי חסמה את מסעות התקיפה בסייבר בשלב המוקדם שלהם. היא הדביקה לנוזקות שנתגלו שתלים, ששימשו מעין רוגלות – וכך, הסבירה ענקית האבטחה, היא השיגה "ניראות לניצול ביצוע קוד מרחוק – חמקן שלא היה ידוע בעבר", כבר ביולי 2020.

מומחים ציינו, כי "מדובר בממצאים משמעותיים, בין היתר כי הם מצביעים על פעילות מחקר ופיתוח של פגיעות, אשר מתבצעת באזור סצ'ואן, ולאחר מכן מועברת לקבוצות האקרים שונות הפועלות בחסות סין – עם מטרות, יכולות וטכניקות ניצול שונות".