|
19-02-2013, 11:52
|
מומחה לתעופה, תעופה צבאית, חלל ולווינות. חוקר בכיר במכון פישר
|
|
חבר מתאריך: 02.07.05
הודעות: 11,689
|
|
יחידה 61398 - יחידת סייבר של צבא סין
דיווח מעניין באתר "הארץ":
http://www.haaretz.co.il/captain/net/1.1932894
בפרוורי שנגחאי, בשכונה מוזנחת שבליבה בניין משרדים בן 12 קומות, יושב הבסיס של חיל הסייבר הגדל של צבא סין. הבניין בדרך דאטונג מוקף במסעדות, מכוני מסאג' ויבואני יין הוא המטה של יחידה 61398. ראיות מצטברות, שאושרו בידי בעלי תפקידים במודיעין האמריקאי שאומרים שהם עקבו במשך שנים אחרי פעילות של היחידה, כמעט שלא מותירות מקום לספק כי חלק ניכר ממההתקפות על חברות אמריקאיות, ארגונים וסוכנויות ממשל הגיעו מהמגדל ומסביבתו.
דו"ח מפורט בן 60 עמודים של חברת האבטחה Mandiant עוקב לראשונה אחרי חברים במה שמכונה “Comment Crew” (צוות התגובות) או “Shanghai Group” (קבוצת שנגחאי) עד למפתן הבניין. החברה לא הצליחה למקם אותם בתוכו, אבל היא טוענת כי אין כל הסבר הגיוני לכך שמספר רב כל כך של התקפות הגיע מאזור כה קטן. הסיבה לשם הוא החיבה של אנשי הקבוצה להשתלת קוד זדוני בתוך תגובות באתרים תמימים. Mandiant גם חקרה את התקיפה של האקרים סינים נגד הניו יורק טיימס, אולם לא מדובר באותה קבוצה.
"או שהן מגיעות מתוך יחידה 61398, או שלאנשים שמפעילים את רשת האינטרנט הכי מפוקחת והכי שמורה בעולם אין מושג על אלפי אנשים שמוציאים מתקפות משכונה אחת", נכתב בדו"ח. החברה זיהתה שתי סדרות של כתובות IP שהגיעו מאותה שכונה בה נמצא הבניין.
חברות אבטחה נוספות שעקבו אחרי ה-“Comment Crew” אמרו כי גם הן מאמינות כי הקבוצה נתמכת בידי מדינה. בהערכת מודיעין לאומי שהוצאה על דעתן של 16 סוכנויות מודיעין נטען כי קבוצות כאלה מנוהלות בידי קציני צבא, או בידי קבלנים העובדים בשביל יחידות צבאיות כמו יחידה 61398.
“Comment Crew” גנבה טרה בייטים של מידע מחברות כמו קוקה קולה, אבל לאחרונה היא מתמקדת יותר בחברות הקשורות לתשתיות הקריטיות של ארה"ב, רשת החשמל שלה, רשת צינורות הדלק ותשתיות המים. לפי חוקרי אבטחה, בין החברות המותקפות היתה חברה שיש לה אפשרות לגישה מרחוק ליותר מ-60% מצינורות הדלק והגז בצפון אמריקה. היחידה היתה גם בין אלה שתקפו את חברת האבטחה RSA, שהטכנולוגיה שלה משמשות להגנה על מאגרי מידע ממשלתיים וארגוניים.
בשגרירות הסינית בוושינגטון התעקשו שהממשלה שלהם אינה מעורבת בפריצות למחשבים, וכי פעילויות כאלה אינן חוקיות. אך במנדיאנט זיהו יותר מ-140 פריצות של Comment Crew מאז 2006, מתוכן שלוש בישראל. סוכנויות מודיעין וחברות פרטיות שעוקבות אחרי כ-20 קבוצות סיניות אומרות כי נראה שהן קבלניות הקשורות ליחידה.
הבית הלבן מסר כי הוא מודע לדו"ח של מנדיאנט. טומי וייטור, דובר המועצה לביטחון לאומי, אמר כי ארה"ב העבירה את מסרים בנושא לדרגים הגבוהים ביותר בסין, כולל בצבא, והיא ממשיכה לעשות זאת. ארה"ב לא התייחסה ישירות ליחידות בצבא סין. "יש כאן רגישיות דיפלומטיות אדירות", אמר בכיר מודיעין שהתסכול נשמע בקולו. אולם בכירים אחרים אמרו כי הם מתכננים להגיד לעמיתים בסין כי הכמות והתחכום של מתקפות הפכו כה גדולים עד שהם מאיימים על היחסים בין וושינגטון לבייג'ינג.
יחידה 61398 תוארה בידי מוסד המחקר Project 2049 ב-2011 כישות המרכזית המתקיפה את ארה"ב וקנדה. לדברי החוקרים, היא מתמקדת במודיעין פוליטי, כלכלי וצבאי. במחקרה בדקה חברת מנדיאנט 141 תקיפות מתקדמות ומתמשכות אותן היא מגדירה ברמה הגבוהה ביותר של סיכון - APT 1. "אבל אלה רק המתקפות שהצלחנו לזהות", נכתב בדו"ח. מומחי אבטחה נוספים מעריכים כי הקבוצה אחראית לאלפי התקפות.
מנדיאנט ציינה עוד כי לפני שנתיים מספר ההתקפות קפץ. הקבוצה היתה נשארת בתוך רשת אליה פרצה במשך שנה בממוצע. בזמן זה היא גנבה מידע וסיסמאות. אחת התקיפות נמשכה ארבע שנים ו-10 חודשים.
בין היתר נגנבו קבצי שרטוט טכנולוגיים, תהליכי ייצור, תוצאות מחקרים קליניים, מסמכי תמחור, אסטרטגיות משא ומתן ומידע אחר מיותר מ-100 מלקוחותיה, בעיקר בארה"ב. מנדיאנט זיהתה התקפות על 20 תעשיות, מקבלניות צבאית ועד מפעלים כימיים, חברות כרייה וחברות לוויינים ותקשורת.
הכל מתחיל מאימייל אחד
מנדיאנט בדרך כלל לא מציינת שמות של קורבנות. מתקפה שבוצעה ב-2009 נגד קוקה קולה התאימה לזמן שבו החברה ערכה ניסיון כושל לרכוש את חברת Huiyuan Juice Group הסינית בעבור 2.4 מיליארד דולר.
כמו מאות לפניה, המתקפה התחילה באימייל תמים למראה לבכיר בחברה, שהיה בעצם מה שנקרא התקפת spear phishing (דיג בצלצל) כשהבכיר לחץ על לינק בהודעה, זה נתן לתוקפים גישה לרשת של קוקה קולה. מבפנים הם שלחו קבצים של החברה דרך מבוך של מחשבים חזרה לשנגחאי על בסיס שבועי, בלי שאיש הבחין בנעשה.
שנתיים לאחר מכן Comment Crew היתה אחת משלוש קבוצות סיניות שהפעילו מתקפה דומה נגד RSA, חברת האבטחה שנמצאת בבעלותה של EMC. חודשיים לאחר מכן האקרים פרצו ללוקהיד מרטין, הקבלנית הגדולה ביותר בתחום הביטחון, בין היתר בזכות מידע שהם אספו מההתקפה על RSA. הדבר עורר בשעתו גם חששות בישראל.
הדו"ח עוקב גם אחרי האקרים ספציפיים בקבוצה. אחד הבולטים ביותר שהדו"ח עוקב אחריו הוא UglyGorilla, שהופיע לראשונה בפורום צבאי סיני בינואר 2007, ושאל אם לסין יש כוח דומה לצבא הסייבר שארה"ב בונה. עד 2007 הוא כבר יצר חבילת תוכנות זדוניות עם חתימה ייחודית.
האקר אחר שזכה לכינוי DOTA בידי החברה יצר שורה של כתובות אימייל ששימשו להחדרת תוכנות זדוניות. הוא השתמש פעמים רבות בסיסמה שנראה היה שהתבססה על מספר היחידה שלו. שניהם עקפו את אמצעי החסימה הסיניים והשתמשו פעמים רבות בחשבונות פייסבכוק וטוויטר - מה שסייע לגלות את הזהות האמיתית שלהם.
סכנה אמתית לתשתיות
מה שהכי מדאיג את החוקרים הוא הגל האחרון של המתקפות שמגיע מיחידה 61398 שממוקד בחברות תשתיות, ומאפשר לא רק לגנוב מידע, אלא גם להשתלט על תשתיות קריטיות כמו רשת החשמל ומתקנים נוספים.
חברת Digital Bond, שמתמחה בהגנה על מתקנים כאלה, הותקפה באמצעות אימייל שנשלח לעובד מהבוס שלו. באימייל באנגלית מושלמת, שעסק בפרצות אבטחה במערכות תשתית, שולב לינק שהעובד התבקש ללחוץ עליו כדי לקבל מידע נוסף. בבדיקה התברר שהלינק כלל קוד לשליטה מרחוק על מחשב העובד. חקירה נוספת גילתה כי השרתים ששימשו במתקפה הופעלו גם נגד חברות נוספות כמו קבוצת צ'רטוף, שבראשה עומד שר ביטחון המולדת לשעבר מייקל צ'רטוף וגופים נוספים.
נשיא ארה"ב אובמה התייחס לנושא בנאומו לאומה, בלי לנקוב בשמה של סין או במדינות אחרות. "אנחנו יודעים שמדינות וחברות זרות גונבות את סודות החברות שלנו. כעת אויבנו פועלים להשיג את היכולת לפגוע ברשת החשמל שלנו, במוסדות הכלכליים שלנו, במערכות הבקרה האווירית שלנו. אנחנו לא יכולים להיזכר בכך בעוד שנים ולשאול מדוע איננו עושים כלום". אובמה עומד בפני בחירה קשה: במצב היחסים עם סין, האם כדאי להסתכן בעימות רציני בין הכלכלה הגדולה בעולם והכלכלה השנייה בגודלה?
לפני כמה שנים בכירים בממשל אמרו כי גניבת קניין רוחני היתה מטרד שהוביל לאובדן מיליארדי דולרים בהכנסות. אבל ברור שמשהו השתנה. "כרגע אין לסינים שום תמריץ להפסיק", אומר מייק רוג'רס (רפ') יו"ר ועדת המודיעין של בית הנבחרים. "אם לא נגבה מחיר גבוה, זה רק ימשיך להסלים".
----------------
הדו"ח המצוטט על ידי הארץ: http://intelreport.mandiant.com/Man...APT1_Report.pdf
|
|