ארצות הברית הטילה סנקציות על חברת סייבר סינית

חברת אבטחת סייבר סינית ואחד מעובדיה ספגו אתמול (ג') סנקציות ממשרד האוצר האמריקני. זאת, בשל תפקידם במתקפת סייבר שאירעה באפריל 2020, שבמסגרתה נפרסו נוזקות על עשרות אלפי פיירוולים ברחבי העולם, כולל מספר "עצום" של מפעילי תשתיות קריטיות בארצות הברית.

החברה היא סצ'ואן סיילנס IT והעובד הוא טיאנפנג גואן, חוקר אבטחה ידוע, בעל הכינוי GbigMao.

לפי המחלקה למודיעין פיננסי ולמניעת טרור במשרד האוצר בוושינגטון, "גואן, שעבד כחוקר אבטחה בחברת ה-IT, מצא פרצת יום אפס באחד הפיירוולים שבשוק והשתמש בה כדי לפרוס נוזקות ב-81 אלף פיירוולים שמצויים בשימוש על ידי אלפי עסקים ברחבי העולם". זהות יצרנית הפיירוולים לא נחשפה.

בהודעת המשרד נמסר כי "גואן – שהשתתף בתחרויות אבטחת סייבר וייצג את החברה שבה הוא עובד, ופרסם פרצות יום אפס בפורומים שונים – מינף את הפריצה הזו כדי לגנוב שמות משתמשים, סיסמאות ונתונים אחרים. הוא גם ניסה להדביק את מערכות הקורבנות בכופרה Ragnarok, שמשביתה תוכנות אנטי וירוס ומצפינה מחשבים שמנסים לתקן את הפריצה".

"מתקפה שהייתה עלולה לגרום לפציעת או להרג אנשים"

המתקפה אירעה ב-22-25 באפריל 2020. מתוך יותר מ-23 אלף פיירוולים בארצות הברית שנפרצו במהלך המתקפה, 36 מערכות היו של חברות תשתית קריטית. לפי ההודעה, "אם מישהו מהקורבנות הללו לא היה מצליח לתקן את המערכות שלו כדי לצמצם את הפגיעה, או שאמצעי ההגנה שלו לא היו מזהים ומתקנים במהירות את הפריצה, מתקפת הכופרה הייתה עלולה לגרום לפציעות חמורות, או לאובדן חיי אדם".

משרד האוצר עצר את כל העסקאות והרכוש של החברה והעובד שקשורים לארצות הברית, וכן של גופים שנמצאים עימם בקשר. משרד המשפטים האמריקני הגיש כתב אישום נגד גואן, בשל חלקו באירוע. במקביל, מחלקת המדינה מציעה פרס בסך של עד 10 מיליון דולר עבור מידע עליו או על החברה.

אף שלא נמסרה זהות יצרנית הפיירוול, בכתב האישום צוין שמה של חברת אבטחת הסייבר סופוס. זו דיווחה על סדרת חדירות לפיירוול XG שלה באפריל 2020, שכללו שימוש בכופרה Ragnarok. באוקטובר פרסמה החברה שורת דיווחים על המתקפות וה-FBI ביקש את עזרת הציבור באיתור האנשים שמאחורי הפריצות.

לפי סופוס, היא "נמצאה במשך חמש שנים במאבק צמוד עם חוקרי החברה, שניסו לנצל חולשות במוצרי סופוס. היינו עדים לכך שהחברה מסרה כמה נקודות תורפה לממשלת סין. לאחר מכן, זו ניצלה את הבאגים במבצעי ריגול שבוצעו על ידי קבוצות האקרים פוריות כמו APT41, APT31 ו-Volt Typhoon".

"אם סופוס לא הייתה מזהה במהירות את הפגיעות ופורסת תגובה מקיפה, הנזק היה עלול להיות חמור הרבה יותר", נכתב בהודעת החברה.

החברה שבמוקד הפרשה – קבלנית של המודיעין הסיני

לפי פקידים אמריקניים, "החברה, שבסיסה בצ'נגדו, היא קבלנית של שירותי מודיעין סיניים, כמו המשרד לביטחון הציבור. היא מספקת לממשלת בייג'ינג יכולת לניצול לרעה של רשתות מחשבים, ניטור מיילים, פיצוח סיסמאות בכוח ומוצרים ושירותים לדיכוי רגשות הציבור. החברה מספקת ללקוחות ציוד שעוזר להם לפרוץ לנתבי רשת – טקטיקה מרכזית שבה נעשה שימוש בקמפיינים סיניים עדכניים, כמו Volt Typhon ו-Salt Typhon".

סצ'ואן סיילנס IT מוכרת היטב לחוקרי אבטחה, כי היא נקשרה בעבר לכמה קמפייני פייק שזוהו על ידי מטא. שמה הוזכר גם במסגרת שורת הדלפות שהתגלו מוקדם יותר השנה בנוגע לחברת "אבטחה" נוספת, בשם I-Soon. לפי אחד החוקרים, "סצ'ואן סיילנס IT התפצלה מחברה ממשלתית סינית גדולה יותר ב-2013 – ומאז צמחה לכמעט 300 עובדים. היא חלק משורה של חברות אבטחה סיניות שמספקות שירותי פריצה – הן לפקידים מקומיים והן לארגונים ממשלתיים לאומיים".