סיירת הסייבר הסינית

יותר טובה מ-8200? קבוצת חוקרי אבטחת מידע זיהו את Axiom - קבוצת ההאקרים הסינית המתוחכמת ביותר שנחשפה עד היום. מתוחכמת יותר אפילו מיחידה 61398 הידועה לשמצה. מטרת הקבוצה היא איסוף מודיעין רוחבי כולל ריגול עסקי, צבאי, ממשלתי ומעקב אחר מתנגדי משטר בסין ומחוצה לה

עמי רוחקס דומבה | 02/11/2014 09:48

photo by: shutterstock.com מערכת IsraelDefense

קואליציה של חוקרי אבטחה זיהתה קבוצת האקרים סינית שנראית כמתוחכמת ביותר מכל יחידות הסייבר הסיניות שנתגלו עד כה. לפי הממצאים, מדובר בקבוצה שמטרתה איסוף מידע לא רק בארה"ב וסוכנויות ממשלתיות במערב, אלא גם מידע הקשור למתנגדי משטר בתוך ומחוץ לסין. כל על פי דיווח של אתר הוושינגטון פוסט.

החדשות לגבי קבוצת ההאקרים בחסות המדינה שזכתה לכינוי "אקסיומה" (Axiom) מגיעה שבוע לפני הגעתו המתוכננת של מזכיר המדינה קרי, ושבועיים לפני הגעתו של הנשיא אובמה, לסדרה של שיחות בדרג גבוה בבייג'ינג, לרבות בנושא אבטחת מידע.

יותר מתוחכמת מיחידה 61398

בדו"ח שפורסם בשבוע שעבר (לחץ לצפייה בדו"ח), אמרו החוקרים שגילו את הקבוצה, כי הקבוצה מנסה להשיג מודיעין שעימו יכול השלטון המרכזי בבייג'ינג לשפר את המדיניות הסינית המקומית והבינלאומית. מדובר בגישת איסוף מודיעין מרחיבה (across-the-waterfront) שמשלבת ריגול מסחרי, מודיעין זר וריגול נגדי, עם ניטור של מתנגדי משטר.

לפי ההתראה של ה- FBI בדבר פעילות הקבוצה, עבודתה של אקסיומה,, יותר מתוחכמת מזו של יחידה 61398 - יחידת האקרים צבאית של סין שהודגשה בדו"ח בשנה שעברה. חמישה מחברי היחידה הועמדו לדין בשנה זו על ידי חבר מושבעים בארה"ב. החוקרים מסכימים עם המסקנה של ה- FBI, וציינו כי, שלא כמו יחידה 61398, אקסיומה עוסקת גם בריגול על מתנגדי משטר, כמו גם בריגול וגניבה של קניין רוחני מתעשיות.

"נראה כי פעילותה של אקסיומה נתמכת על ידי מדינת לאום במטרה לגנוב סודות מסחריים ולנטר אחר מתנגדי המשטר, ארגונים פרו-דמוקרטיים וממשלות", אמר Peter LaMontagne, מנכ"ל Novetta, חברת אבטחה מקוונת בצפון וירג'יניה שעומדת בראש הקואליציה של החוקרים. "אלה טקטיקות ריגול בסייבר המתוחכמות ביותר שראינו מסין".

דובר השגרירות הסינית, גנג שואנג, אמר בהודעת דואר אלקטרוני כי "אם לשפוט על פי ניסיון העבר, דיווחים או טענות אלה הם בדרך כלל פיקטיבים". הוא חזר על עמדתה של בייג'ינג כי החוק הסיני אוסר על פשעי אינטרנט, וכי הממשלה הסינית "עשתה מה שביכולתה כדי להילחם בפעילויות כאלו".

בכירי ממשל אובמה קראו בפומבי בשנה וחצי האחרונה כי על סין להפסיק את המנהג של גניבת סודות מסחריים בארה"ב לטובת התעשיות שלה. סין מצדה לא נשארה חייבת, ובעקבות גילויים של סנאודן בשנה שעברה על המעקב של הממשל האמריקאי אחר חברות סיניות, דחפה בחזרה את הטענות של ממשל אובמה, בטענה שזו ארצות הברית שצריכה לרסן את עצמה.

גנג אמר בדואר האלקטרוני שלו: ". סין היא קורבן של סוגי התקפות כאלה, על פי גילויי סנאודן". בעקבות כתבי אישום שהוצאו נגד חברי יחידת 61398 בחודש מאי האחרון, בייג'ינג הפסיקה את השיחות הדו-צדדיות שנועדו להקל את המתחים במרחב הקיברנטי.

חברות כוח אדם הפכו למטרה

בשבועות אחרונים, קונסורציום המחקר זיהה תוכנה זדונית של קבוצת אקסיומה על לפחות 43,000 מחשבים ברחבי העולם השייכים לסוכנויות אכיפת חוק וסוכנויות ממשלתיות אחרות, עיתונאים, חברות טלקומוניקציה ואנרגיה, ארגוני זכויות אדם וקבוצות פרו-דמוקרטיות.

קבוצת החוקרים אמרה שיש גם סימנים לכך שאקסיומה עשויה להיות מאחורי התקפת הסייבר נגד Google שהתגלתה בשנת 2010, שפגעה בקוד המקור של ענקית החיפוש והתמקדה במתנגדי משטר סיניים המשתמשים בשירות הדואר Gmail. לפחות מחשב אחד בשפה הסינית בארצות הברית נפגע, נאמר בדו"ח, מבלי לציין למי שייך המחשב.

מנהל טכני בכיר ב-Novetta, אנדרה לודוויג, אמר שאקסיומה מבקשת לפרוץ לסוכנויות ניהול כוח אדם כדי להשיג את המידע האישי של האנשים שיש להם גישה למידע מסווג, בהם תוכל הקבוצה להתמקד בעתיד.

רוחות רפאים

אקסיומה פועלת מזה שש שנים לפחות, ומשתמשת בטכניקות שמבליטות אותה מקבוצות האקרים אחרות, אומרים החוקרים. דבר אחד בטוח, היא מיומנת בהשתלת תוכנה זדונית בתוך תעבורה לגיטימית של רשת מחשבים, כך שאלו הבודקים את קבצי הלוג של התעבורה לא יוכלו לזהות אותה, אמר לודוויג.

תוכנה זדונית, שנקראת Hikit, יכולה ליצור מספר רב של נקודות נוכחות - מה שלודוויג מכנה בשם "פירורי לחם" בתוך הרשת, כדי לסייע לאקסיומה לנוע ולגנוב נתונים, בלי לעורר חשד. לאקסיומה גם נראה שיש "מחזור תחזוקה", שבו מעת לעת הקבוצה מחליפה את התוכנות הזדוניות, אמר לודוויג. "יש להם ספר הוראות מתוחכם מאד", הוא אמר.

בניגוד לחברת האבטחה Mandiant, שדיווחה על יחידת 61398, החוקרים לא הצליחו לזהות את המיקומים בסין שבו אקסיומה פועלת או לזהות את חבריה. החברים של קבוצת אקסיומה, אמר לודוויג, טובים יותר בהסתרת העקבות מאלו של יחידה 61398. הם, למשל, לא מחזיקים בחשבונות דואר אלקטרוני ואין להם נוכחות מקוונת שיכולה להפליל אותם.

מומחה לצבא סין, מארק סטוקס, אמר שזה "לא מפתיע" שיחידה 61398 לא מתוחכמת כמו אקסיומה. היחידה שהיא חלק מהלשכה השנייה של המחלקה השלישית של צבא סין, שהיא המקבילה של ה-NSA האמריקאית.

"הסייבר ??נראה חלק ממש קטן מתוך המשימה הרחבה יותר של הלשכה השנייה, שהוא מודיעין אותות", אמר סטוקס. "יש חלקים אחרים של המחלקה השלישית שצפויים להיות הרבה יותר מסורים לסייבר".

החוקרים יצרו "חתימות" מותאמות אישית כדי לזהות תוכנות זדוניות של אקסיומה במחשבי משתמשים. לרוב, זהו סוג נתונים שמוחלף באופן מסורתי בקבוצות שיתוף מודיעין פרטיות.

"זוהי תחילתה של מה שיהיה, בתקווה, קו מאמצים מתואמים בתעשייה כדי לחשוף קבוצות איום אלה, ולעשות זאת מבלי להשתמש בסוכנויות אכיפת החוק, כדי לסייע לחברות ולממשלות ברחבי העולם להילחם בהאקרים", אמר סטיבן וורד מנהל בכיר בחברת iSight. "זהו צעד גדול ראשון בכיוון".

רשימת החברים האחרים בקואליציית החוקרים כוללת את החברות Bit9, Cisco, FireEye, F-Secure, Symantec, Tenable, ThreatConnect, ThreatTrack Security, Volexity וחוקרים עצמאיים שביקשו להישאר בעילום שם.

הוסף תגובה

הגיבו

כתוב לעורך

שלח לחבר

שתף