גורמי ריגול סייבר, ככל הנראה סינים, נמצאים כעת במתקפה רחבה על משרדי ממשלה, מרכזי מחקר אוניברסיטאיים וחברות תקשורת והייטק ישראליות - כך מעריכים גורמים במערכת הביטחון הישראלית. זאת בהמשך למתקפה הממושכת בשנים 2019-2020 שעליה דווח הלילה בדה מרקר. עם זאת, במערכת הביטחון סבורים כי לא היתה חדירה למידע הקשור לביטחון ישראל.
עוד כתבות שיעניינו אתכם:
החברה שפרסמה את הדו"ח היא השלוחה הישראלית של חברת הסייבר האמריקאית הגדולה FireEye. ראש חטיבת המודיעין והמחקר בחברה, סנז ישר, אומרת כי גורמי המודיעין הסינים הצליחו להוציא מישראל נתוני לקוחות של חברות תקשורת וחברות סלולר, של חברות ביטוח, מידע פנימי על התנהלות מכרזים, בהם מכרזים שהשתתפו בהם חברות סיניות, וכמו כן הרבה מידע טכנולוגי על מחקר ופיתוח, פטנטים ומחקרים באקדמיה. בין השאר מדובר בטכנולוגיות תקשורת, נהיגה אוטונומית ואנרגיה מתחדשת.
גופי ביטחון ישראליים מעורבים גם הם כל העת בחקירה, ושם גם התקבלה ההחלטה לחשוף טפח מהמתרחש בפני הציבור. הבעיה העיקרית שמטרידה את גופי הביטחון היא שקשה לאמוד את היקף הנזק: מתברר שאנשי הסייבר הסינים מצליחים לגנוב את המידע ולהיעלם בלי להשאיר עקבות וכך לא ניתן לדעת איזה מידע בדיוק נמצא בידי המדינה הקומוניסטית. הפרשה כולה נשמרה בסודיות עד היום, אך כעת החליטו במערכת הביטחון על פרסום חלק מהדברים כדי להגביר את המודעות ואת ההתגוננות בקרב גורמים במשק.
רם לוי, מנכ"ל חברת הגנת הסייבר קונפידס ומי שהיה מרכז ועדת הסייבר במשרד ראש הממשלה, אומר: "זה לא מפתיע. מה שכן מפתיע, זה שגילו את זה בכלל. ריגול של גורמים סינים קורה בישראל כל הזמן, אבל קמפיין ריגול מדינתי לא אמור להתגלות". אביעד הסניס, סמנכ"ל טכנולוגיות בחברת הסייבר סיינט (Cynet), אומר: "נתקלנו בניסיונות חדירה לחברות ישראליות, בעיקר חברות הייטק מפורסמות, כאלה שנסחרות בבורסה. במהלך המתקפות היה שימוש ב-webshell, סוס טרויאני שמאפשר להריץ פקודות מרחוק, וזיהינו שהוא קשור לקבוצת הפניום הסינית".
לדברי סנז ישר, התוקפים הסינים היסוו את פעילותם בין השאר באמצעות התחזות לאיראנים, ואף השתמשו במילים בפרסית בקוד כלי התקיפה. בכך הם הטעו את החוקרים והביאו להפצת הערכה שגורמים איראנים מנסים להשפיע על מערכת הבחירות בישראל (בסיבוב הראשון ב-2019). "היינו בטוחים שמדובר בקבוצה איראנית ורק אחרי שנתיים של מחקר אנחנו מבינים שזה היה קצה קרחון של קמפיין סיני רחב", אומרת ישר. לדבריה, טקטיקה דומה שימשה את הסינים בתקיפה בסעודיה. בטורקיה, לעומת זאת, הם התחזו לתוקפים הודים.
מהתלים בחברות גדולות
במערכת הביטחון אומרים שהמתקפה הנרחבת הסינית מלמדת על הרמה הגבוהה של הסייבר ההתקפי הסיני, שמוציאה תקיפות סייבר מתוחכמות שמאד קשה מאוד לאתר אותן, ומהתלת בחברות גדולות ומוגנות היטב. העובדה שהסינים מרגלים בישראל ידועה מזה זמן, אבל איתור המתקפה הזו איפשר להבין טוב יותר מה מעניין את הסינים: מחקרים בחזית הטכנולוגיה, חדשנות בכל תחום, תחומי מחקר אזרחיים כמו בתחום האקלים. ההערכה היא שהמתקפות יימשכו והדרך לנסות ולהתמודד עם המתקפות הוא בהעלאת המודעות של החברות במשק ושל הציבור.
לפי הערכות גורמי מודיעין, מקור המתקפות הסיניות בעולם הוא בשלוש סוכנויות ממשל: האחת היא הסוכנות הצבאית, המקבילה ליחידה 8200 בצה"ל, השנייה היא יחידת הסייבר של השב"כ הסיני, והשלישית היא יחידת הסייבר של המוסד הסיני (MSS), שממנו יצאו התקפות הריגול הנוכחיות על ישראל. הגוף הזה גם מפעיל את קבוצת תקיפת הסייבר הפניום, שלפי דו"ח של סייבריזן חדרה לחברות תקשורת וסלולר כדי להתחקות אחר פרטי המנויים ואנשי הקשר שלהם.
ישר אומרת כי הקמפיין המתנהל בימים אלה עושה שימוש בכלי תקיפת סייבר בעלי יכולות גבוהות, שמצליחים בין השאר להיכנס לזכרונות הנדיפים של השרתים ולשלוף מידע שלא נגיש באמצעות מערכת ההפעלה. היכולת לאתר כלי תקיפה בזכרונות נדיפים כמעט ולא קיימת ומרבית כלי הגנת הסייבר לא יבחינו במתקפה. ככל הנראה מדובר במתקפה שממוקדת בגופי אקדמיה. עם זאת, היא אמרה כי אין ודאות מלאה שמדובר שוב בגורמים הסינים וייתכן שמדובר בגורמים איראנים.
ישר מתריעה כי יכולתם של גורמי הסייבר הסינים להצליח בביצוע מתקפות מרחיקות לכת מתגברת כעת, עם אישורו של חוק חדש שמחייב כל חברה סינית שמאתרת חולשת הגנה במערכת כלשהי למסור את פרטי החולשה לממשלה לפני שהיא מדווחת עליהם לחברה האחראית. התוצאה, לדבריה, היא שממשלת סין יכולה לעשות התקפות "יום אפס" (Zero day) עם חולשות שלא מוכרות לשירותי ביון אחרים.