דיווח: סין גנבה את התכניות של כיפת ברזל
לפי דיווח באתר krebsonsecurity קבוצת האקרים סינית הידועה במספרה 61398 הצליחה לפרוץ למספר תעשיות ביטחוניות בארץ ולגנוב את התכניות של כיפת ברזל והחץ 3
לפי דיווח באתר krebsonsecurity, האקרים סיניים פרצו לשלושה קבלני ביטחון ישראליים האחראים על פיתוח "כיפת ברזל" וגנבו מאות מסמכים רגישים הנוגעים לטכנולוגיית ההגנה בפני טילים. מידע אודות החדירות שלא פורסם בעבר בתקשורת, אשר התרחשו בין השנים 2011 ו-2012, ממחישות את האתגרים של קבלני ביטחון וחברות אחרות מול האקרים מאורגנים שמטרתם גניבה של מידע קנייני.
לדברי חברת Cyber Engineering Services Inc , בין התאריכים 10 באוקטובר 2011 וה-13 באוגוסט 2012, האקרים שנראה כי פעלו מחוץ לסין [על מנת להסוות את מקור התקיפה] פרצו לרשתות הארגוניות של שלוש חברות ביטחוניות ישראליות ביניהן אלישרא, תעשייה אווירית לישראל ורפאל.
באמצעות גישה לתוך תשתית התקשורת הסודית שהוקמה על ידי ההאקרים, CyberESI קבעה כי התוקפים הצליחו למשוך כמויות גדולות של נתונים משלוש החברות. רוב המידע היה קניין רוחני הנוגע לפרויקט החץ 3, כלי טיס בלתי מאוישים (מל"טים), טילים בליסטיים, ומסמכים טכניים אחרים באותו תחום המחקר.
Joseph Drissel, המייסד והמנכ"ל של CyberESI, אמר כי האופי של הנתונים שנמשכו והתעשייה שחברות אלה מעורבות בה מצביע על כך שההאקרים הסיניים מחפשים מידע הקשור למערכת ההגנה האווירית של ישראל שנקראת כיפת ברזל.
לא אלישרא ולא רפאל הגיבו לבקשות אתר krebsonsecurity. דוברת התעשייה אווירית הגדירה את הממצא של CyberESI - "חדשות ישנות". החברה סירבה לתת תשובות ישירות לשאלות של האתר. "באותו הזמן, הנושא טופל כנדרש על פי הכללים והנהלים החלים [במקרה כזה]", אמרה דוברת התעשייה האווירית אליענה פישלר בהודעת דואר אלקטרוני לKrebsOnSecurity. "המידע דווח לרשויות המתאימות. תעשייה אווירית התחייבה לפעולות מתקנות על מנת למנוע תקריות כאלה בעתיד".
Drissel אמר כי רבים מהמסמכים שנגנבו מקבלני ההגנה נושאים סימנים המצביעים על כך שהגישה והשיתוף שלהם מוגבלת על ידי תקנות ITAR - נהלי מחלקת המדינה האמריקנית המסדירים את נושאי ייצוא הנשק של התעשייה הבטחונית האמריקאית. לדוגמא, אמר Drissel, בין הנתונים שהאקרים גנבו מהתעשייה האווירית יש מסמך בן 900 עמודים המספק שרטוטים ומפרטים של טיל החץ 3.
מה נגנב, ועל ידי מי?
לדברי CyberESI, התעשייה האווירית ?פרצה ביום ה-16 באפריל 2012 על ידי סדרה של התקפות של דוא"ל מתחזה בעל מבנה מיוחד. Drissel אמר כי בכל ההתקפות היו סימני ההיכר של "צוות התגובה" (Comment Crew), קבוצת האקרים הפועלת בחסות מדינה וקשורה לצבא הסיני (PLA) עם עבר של גניבת טרות של נתונים מקבלני הגנה ותאגידים אמריקאים.
צוות התגובה הוא אותה קבוצת האקרים שההופיעה בדו"ח של חברת Mandiant בפבואר 2013 על ידי אשר התייחסה לקבוצה בשם יחידה 61398. "בחודש מאי 2014, משרד המשפטים האמריקאי תבע חמישה אנשי צבא סין בולטים מתוך צוות התגובה עם שורה של עבירות פריצה וריגול פליליים נגד חברות אמריקאיות".
לפי הדיווח, ברגע שנכנסו לרשת של התעשייה האווירית, חברי צוות התגובה בילו את ארבעת החודשים הבאים בשנת 2012 בגישה שלהם להתקנה של כלים שונים ותוכנות סוס טרויאני על מערכות ברחבי הרשת של החברה והרחבת הגישה שלהם לקבצים רגישים, אמרו ב-CyberESI.
ההאקרים השיגו גישת אדמין, גנבו סיסמאות ואספו קבצע מערכת ומידע ברשת על מספר מערכות. השחקנים גם יישמו בהצלחה כלים לגניבת קבצים מה-Active Directory בלפחות שני תחומים שונים ברשת של התעשייה האווירית.
בסך הכל, CyberESI היו מסוגלים לזהות יותר מ-700 קבצים בהיקף של 762 MB שנמשכו מהרשת של התעשייה האווירית. חברת האבטחה אמרה כי רוב הנתונים שנמשכו היו קניין רוחני, וסביר להניח שייצגו רק חלק קטן מכל אובדן הנתונים של התעשייה האווירית.
"הקניין הרוחני היה בצורה של מסמכי Word, מצגות PowerPoint, קבצי הפעלה בינאריים, גיליונות אקסל, הודעות דואר אלקטרוני, קבצים בפורמט PDF וסקריפטים", כתבו CyberESI בדו"ח ארוך אודות הפריצות.
"ברגע שההאקרים השיגו דריסת רגל ברשתו של הקורבן, הם בדרך כלל מסוגלים לפרוץ לחשבונות חסויים בתחום (Domain) וכאלו מקומיים, אשר לאחר מכן אפשרו להם לנוע בצורה רוחבית ברשת ולהדביק מערכות נוספות", נכתב בדו"ח. "השחקנים השיגו את האישורים של חשבונות מנהל המקומיים על ידי שימוש בכלי hash dumping tools. הם יכולים גם להשתמש באישורי חשבון מנהל מקומי כדי להדביק מערכות אחרות עם סוסים טרויאניים. הם יכולים גם להפעיל כלים כאלו בבקרי תחום, אשר פוגעים ברוב, אם לא בכל הסיסמאות הנמצאות בשימוש ברשת. ההאקרים יכולים גם לפרוס keystroke loggers במערכות המשתמש, אשר יתפסו סיסמאות למערכות שאינן מבוססות Windows אחרות ברשת".
התוקפים חדרו והעתיקו את המיילים של רבים ממנהליה הבכירים של אלישרא, כולל המנכ"ל, קצין הטכנולוגיה הראשי (CTO) וסגני נשיאים רבים בתוך החברה. התוקפים המשיכו באותו דפוס פעולה גם באלישרא, תקיפה ש-CyberESI אומרים החלה באוקטובר 2011 ונמשכה לסירוגין עד חודש יולי 2012. חברת האבטחה אמרה כי התוקפים חדרו והעתיקו את מיילים של רבים ממנהליה הבכירים של אלישרא, כולל המנכ"ל, מנהל טכנולוגיה ראשי (CTO) וסגני נשיאים רבים בתוך החברה. ב-CyberESI מציינים כי סביר להניח שהתוקפים חיפשו אנשים בעלי עניין עם גישה למידע רגיש בתוך אלישרא, ו / או שהאיסוף יהיה למטרת התקפות פישינג בעתיד.
המשך הסיפור?
לצד הדיווח באתר krebsonsecurity שמדבר על אירועים שקרו לפני שנתיים, התחילו לצוף בתקשורת הסינית בחודש אפריל השנה דיווחים כי סין החלה ניסויים במערכת יירוט טילים חדשה שהיא ההעתק של כיפת ברזל הישראלית (מקור). על פי אותו דיווח, סין ביצע ניסוי בתאריך ה-19 לפברואר השנה במערכת יירוט טילים חדשה (דיווח) שהיא העתק של כיפת ברזל בנוכחות קצין בכיר מחיל האוויר של צבא סין בשם Zhang Honghe. לפי הדיווח, הניסוי התרחש במתקן של ה-27th research institute of CETC.
אין ספק כי הקשר בין הפריצה לפני שנתיים לתעשיות ישראליות והופעת הדיווחים בתקשורת הסינית על ניסויים במערכת יירוט טילים חדשה הוא נסיבתי, אך ראינו לא מעט דוגמאות בעבר להעתקות סיניות של מל"טים, מטוסי קרב, רובי צלפים וטילי נ"ט - לפי ההיגיון הזה לא יהיה מוזר למצוא בעתיד גם כיפת ברזל סינית.
לכתבות נוספות באתר ISRAEL DEFENSE היכנסו לעמוד הפייסבוק החדש של nrg
נא להמתין לטעינת התגובות
אקו"ם