קבוצת תקיפת הסייבר הסינית הפניום (Hafnium) הקימה תשתית ריגול דרך ספקיות סלולר בעולם, כך עולה ממחקר של חברת אבטחת המידע הישראלית סייבריזן (Cybereason). החוקרים גילו כי התוקפים הסינים הצליחו להתבסס ברשת במשך שנים ולחדור למידע השייך למיליוני מנויים מבלי להיחשף. המידע הגנוב שימש לריגול אחר חברות, פוליטיקאים, פקידי ממשל, רשויות אכיפת חוק ופעילים פוליטיים שמעניינים את הממשל הסיני.
עוד כתבות בנושא סייבר:
לפי הדו"ח, תשתית הריגול מורכבת משלוש קבוצות תקיפה שונות שפעלו במקביל. קבוצות התקיפה הצליחו לפעול מבלי להיחשף החל משנת 2017 וייתכן שאף קודם לכן, ולגנוב מידע קריטי משרתים המכילים מידע רגיש של מיליוני משתמשים. החוקרים קובעים כי הכלים והטכניקות שמשמשים את קבוצות התקיפה מעידים, שהן פועלות לטובת אינטרס ממשלתי סיני.
באמצעות תקיפת רשתות של ספקיות הסלולר התוקפים משיגים נגישות למידע של מיליוני משתמשים, וכך מוקמת תשתית מודיעינית אפקטיבית בה ניתן לרגל בצורה יומיומית אחר מטרות ריגול של הממשל הסיני, לאתר את אנשי הקשר איתם עם משוחחים (Call Detail Record-CDR) ולהרכיב תמונה מודיעינית רחבת היקף: עם מי היעדים דיברו, באילו שעות וימים, ומהו המיקום הגיאוגרפי בכל רגע נתון.
פרופיל נמוך
בסייבריזן אומרים כי הטריגר לחקירה הנוכחית היה תקיפת הסייבר הגדולה על שרתי מיקרוסופט בחודש מרץ השנה, שיוחסה להפניום. במהלך החקירה, שנמשכה מספר חודשים, צוות סייבריזן חשף קמפיין תקיפה רחב היקף כנגד ספקיות סלולר באסיה, שבה נוצלו אותן חולשות אבטחה במשך שנים קודם לכן, במטרה לקבל מידע על מיליוני מנויים. צוות המחקר Nocturnus בסייבריזן, שביצע את החקירה, מורכב מחוקרים מומחים, יוצאי יחידות צבאיות וממשלתיות מובחרות. הצוות מבצע מעקב יומיומי אחר איומי סייבר גלובליים ומאפשר מתן תגובה בזמן אמת.
אסף דהן, ראש קבוצת מחקר איומי סייבר בסייבריזן, אומר: "התוקפים פעלו בחריצות על מנת לטשטש פעילותם, לשמור על פרופיל נמוך, ולחמוק ממאמצי האבטחה של ספקיות הסלולר, כל אלו מצביעים על כך שיעדי הריגול הם בעלי ערך רב לתוקפים. אמנם רוב התקיפות שנחשפו במחקר התמקדו בספקיות סלולר אסיתיות אך הקלות בה חדרו לרשת הארגונית והחשיבות האסטרטגית של תשתיות ריגול אלו עבור הממשל הסיני, יכולה להצביע על סבירות גבוה שהם פועלים במקומות נוספים בעולם ברגעים אלו".
ליאור דיב, מנכ"ל ומייסד סייבריזן, אומר: "פעילות ריגול בחסות מדינה מהווה איום לא רק עבור לקוחות ספקיות הסלולר, אלא טמון בו גם פוטנציאל איום על ביטחון המדינות בהם התוקפים התמקדו ואי-יציבות אזורית".
הבהרה: בגרסה הראשונה של הכתבה נכתב כי "בחודש שעבר טענה מיקרוסופט כי חברת הסייבר ההתקפי הישראלית קנדירו מכרה לקבוצת הפניום את כלי התקיפה שלה, DevilsTongue". מדובר בטעות ואנו מתנצלים על כך.