קבוצת ההאקרים המכונה "APT 27", פרצה לחשבונות של עובדי חברה פרטית, ספקית מחשבים בולטת ששמה לא נמסר. העובדים נבחרו במדוייק בשל מעורבותם בפרוייקטים ממשלתיים מסויימים בהם התעניינו הסינים, ועל ידי שימוש בנתוני הזיהוי שלהם הצליחו הפורצים לקבל גישה למידע שכולל תרשימים וקוד מקור של מערכות מידע. מדובר בגישה התקפית חדשה ומסוכנת, שעוקפת את ההגנות הקיימות, אשר היו מונעות את החדירה אם היו ההאקרים מנסים לפרוץ אליהן ישירות.
"אנחנו עוקבים אחר הקבוצה הזו כבר מספר שנים ובזמן האחרון רואים עליה באגרסיביות שלהם ובכלים שהם משתמשים”, אומר דיב, “הקבוצה הזו פועלת בצורה שיטתית על פי מטרות מודיעיניות שהם מקבלים מהמפעילים שלהם. מדובר במתקפות שרשרת האספקה: במקום לתקוף את הממשלות ישירות הם משקיעים מאמץ בלהבין מי הספקים ותוקפים אותם. התוקפים הופכים להיות מאוד מתוחכמים, הם יודעים שבמורד השרשרת ההגנה נעשית פחות חזקה ובעזרת זה הם מצליחים להגיע למידע שרצו".
לדברי דיב, במקרים רבים המידע שמחפשים הסינים מגיע מחברות פרטיות, בין אם ספקיות נשק ובין אם ספקיות מערכות מידע על אזרחים, בקרת כניסה למתקנים ועוד. אומר דיב: “APT27 היא הזרוע שמבצעת ריגול של הצבא הסיני, והתפקיד שלהם להביא מקסימום מידע על ממשלות מערביות. כשבנינו את תמונת העולם המלאה אנחנו מבינים שבסוף יושב בסין מישהו, שמנחה את אותה קבוצת תקיפה בצורה סיסטמטית והם הולכים ופורצים ומביאים את המידע הזה בחזרה הביתה לסין”.
הגישה למידע הממשלתי במקרה האחרון היתה דרך חברת חומרה בינלאומית גדולה ומוכרת. החברה פנתה לסייבריזן אחרי שגילתה את החדירה לחשבונות העובדים שלה, אך לא ידעה מה מטרתם של הפורצים. דיב: “ברגע שנכנסנו, בעזרת המערכת שלנו אנחנו יכולים לעשות אנליזה מאוד אגרסיבית של כל תחנות הקצה, כל הטלפונים בזמן אמת. זיהינו שהם תחת מתקפה, והפורץ גנב פרטי כניסה של משתמשים מסויימים, שהיו חלק מהפרוייקט שעניין אותם. אז הכנסנו לתמונה את צוות נוקטורנוס, צוות המחקר שלנו, הצלחנו לדחוף את התוקף החוצה מהמערכת ובעזרת החוקרים ייצרנו תמונת מצב מלאה של מטרות הפריצה".
חלק מהמעקב אחר העובדים נעשה באמצעות חשבונות הלינקדאין והפייסבוק שלהם, אך לדברי דיב, התחכום של הפורצים התבטא שלא השתמשו בדיוג (פישינג) בלבד, אלא הצליחו גם לפרוץ למערכת אימות דו-שלבי (שמשתמשת באפליקציה בטלפון ליצירת סיסמה חדשה בכל כניסה), כלומר פרצו גם לחשבונות המחשב וגם לחשבונות הטלפון של אותם עובדים.
סייבריזן מעסיקה מעל 500 עובדים בעולם, היא גייסה עד כה 400 מיליון דולר והערכת השווי שלה חצתה את רף מיליארד הדולר. החברה ממוקמת כיום בצמרת חברות הגנת הסייבר בעולם ומתמודדת מול חברות בולטות כמו סימנטק, מאקפי, קספרסקי וקרואדסטרייק (crowdstrike). בחודשים האחרונים נכנסה החברה לפעילות משמעותית בישראל וזכתה במספר מכרזים להגנת סייבר בארגונים גדולים. על רקע זה מעניין לציין את כניסתה של חברת קרואדסטרייק לשוק הישראלי, עליו הכריזה בשבוע שעבר. החברה מוכרת כזו שאיתרה את הפריצה הצפון-קוריאנית למאגרי אולפני סוני ואת הפריצה הרוסית למחשבי המפלגה הדמוקרטית ב-2016. מעריכים כי קראודסטרייק תנסה לרכוש סטארט-אפ סייבר ישראלי ועל בסיסו להקים בישראל מרכז מו"פ לצד פעילות המכירות.