Ομάδα Κινέζων χάκερ πραγματοποίησε συντονισμένες κυβερνοεπιθέσεις στο Ισραήλ, οι οποίες επηρέασαν δεκάδες ισραηλινές κυβερνητικές και ιδιωτικές οργανώσεις, σύμφωνα με έκθεση της αμερικανικής εταιρείας ασφαλείας FireEye που δημοσιεύθηκε την Τρίτη.
Ισραηλινοί κυβερνητικοί θεσμοί, πάροχοι πληροφορικής και εταιρείες τηλεπικοινωνιών βρέθηκαν στο στόχαστρο της ομάδας σε μια ευρεία εκστρατεία κατασκοπείας που ξεκίνησε τον Ιανουάριο του 2019, ανέφερε η εταιρεία κυβερνοασφάλειας με έδρα την Καλιφόρνια στην έκθεσή της, σημειώνοντας ότι οι χάκερ πραγματοποίησαν συλλογή δεδομένων και αναγνώριση.
Η FireEye, η οποία συνεργάστηκε με τις ισραηλινές αμυντικές υπηρεσίες για τη διερεύνηση των κυβερνοεπιθέσεων, σημείωσε ότι δεν είχε επαρκή στοιχεία για να συνδέσει την κινεζική ομάδα κατασκοπείας, που ονομάζεται UNC215, με το κινεζικό κομμουνιστικό καθεστώς. Πρόσθεσε, ωστόσο, ότι η ομάδα στοχεύει σε δεδομένα και οργανισμούς που «παρουσιάζουν μεγάλο ενδιαφέρον για τους οικονομικούς, διπλωματικούς και στρατηγικούς στόχους του Πεκίνου».
Το UNC215 είναι μια κινεζική επιχείρηση κατασκοπείας που είναι ύποπτη για τη στόχευση οργανώσεων σε όλο τον κόσμο τουλάχιστον από το 2014, αναφέρει η έκθεση.
Στις αρχές του 2019, η ομάδα εκμεταλλεύτηκε ένα τρωτό σημείο του Microsoft SharePoint και χρησιμοποίησε προσαρμοσμένα εργαλεία κακόβουλου λογισμικού, που ονομάζονται FOCUSFJORD και HYPERBRO. Στη συνέχεια, οι χάκερ έκλεψαν τα διαπιστευτήρια των χρηστών και διεξήγαγαν εσωτερική αναγνώριση δικτύου.
Η ομάδα έλαβε μέτρα για να παραπλανήσει σκόπιμα τους ερευνητές και προσπάθησε να κρύψει την εθνικότητά τους. Προσπάθησαν να το κάνουν αυτό χρησιμοποιώντας μεθόδους όπως η χρησιμοποίηση των Φαρσί στα μέρη του κώδικα που θα μπορούσαν να ανακτηθούν από ομάδες αντιμετώπισης συμβάντων και χρησιμοποιώντας εργαλεία κακόβουλου λογισμικού τα οποία είχαν προηγουμένως διαρρεύσει στο διαδίκτυο και που συνδέονται με ιρανικές ομάδες, δήλωσε η FireEye.
«Η χρήση Φαρσί, οι φάκελοι που περιέχουν το /Iran/, και τα Webshells (ένας κώδικας που επιτρέπει την απομακρυσμένη διαχείριση ενός διακομιστή) που σχετίζονται δημόσια με ιρανικές ομάδες APT [Προηγμένη Επίμονη Απειλή] ενδέχεται να είχε ως στόχο να παραπλανήσει τους αναλυτές και να προτείνει απόδοση ευθυνών στο Ιράν», ανέφερε η έκθεση της εταιρείας.
Ο Γενς Μονράντ, ο οποίος ηγείται του τμήματος κατασκοπευτικών απειλών Mandiant της FireEye στον ΕΜΕΑ, δήλωσε στο Sky News ότι η προσπάθεια της ομάδας να συγκαλύψει την εθνικότητά τους ήταν «λίγο ασυνήθιστη».
«Κατά καιρούς, έχουμε δει μερικές ψευδείς απόπειρες. Είδαμε μια κατά τη διάρκεια των Ολυμπιακών Αγώνων στη Νότια Κορέα», εξήγησε. «Μπορεί να υπάρχουν διάφοροι λόγοι για τους οποίους ένας χάκερ θέλει να κάνει μια ψευδή απόπειρα – προφανώς κάνει την ανάλυση λίγο πιο περίπλοκη».
Η έκθεση ανέφερε ότι οι στοχευμένες επιθέσεις πραγματοποιήθηκαν στο πλαίσιο των επενδύσεων πολλών δισεκατομμυρίων δολαρίων της Κίνας που σχετίζονται με την Πρωτοβουλία Belt and Road Initiative (BRI) και το ενδιαφέρον της για τον ισχυρό τομέα τεχνολογίας του Ισραήλ.
Το BRI είναι το πρόγραμμα υποδομών πολλών τρισεκατομμυρίων δολαρίων του κινεζικού καθεστώτος που ξεκίνησε το 2013 για να επεκτείνει την εμπορική και πολιτική επιρροή του σε όλη την Ασία, την Αφρική και την Ευρώπη. Επικριτές έχουν υποστηρίξει ότι το BRI έχει θέσει τις αναπτυσσόμενες χώρες σε «παγίδες χρέους».
«Η Κίνα έχει πραγματοποιήσει πολυάριθμες εκστρατείες εισβολής κατά μήκος της διαδρομής του BRI για να παρακολουθεί πιθανά εμπόδια [συμπεριλαμβανομένων] πολιτικών, οικονομικών και ασφάλειας», δήλωσε η FireEye.
Η εταιρεία δήλωσε ότι αναμένει το Πεκίνο να «συνεχίσει να στοχεύει κυβερνήσεις και οργανισμούς που εμπλέκονται σε αυτά τα κρίσιμα έργα υποδομής».
Ο Σανάζ Γιασάρ, ο οποίος ηγήθηκε της έρευνας της FireEye για ισραηλινούς στόχους, δήλωσε στη Haaretz ότι ενδέχεται ισραηλινές εταιρείες να εμπλέκονται στους τομείς που βρίσκονται στον πυρήνα των κινεζικών συμφερόντων, όπως αντικατοπτρίζεται στα πενταετή σχέδιά τους.
«Στόχος τους δεν είναι απαραίτητα πάντα να κλέβουν πνευματική ιδιοκτησία -είναι πιθανό να ψάχνουν πραγματικά για επιχειρηματικές πληροφορίες»,δήλωσε ο Γιασάρ. «Κατά την κινεζική άποψη, είναι θεμιτό να επιτίθεσαι σε μια εταιρεία ενώ διαπραγματεύεσαι μαζί της, ώστε να ξέρουν πώς να τιμολογήσουν σωστά τη συμφωνία».
Η έκθεση έρχεται λίγες εβδομάδες μετά την υπογραφή μνημονίου από τον Πρόεδρο Τζο Μπάιντεν, το οποίο αποσκοπεί στην ενίσχυση της κρίσιμης υποδομής των Ηνωμένων Πολιτειών ενάντια στις κυβερνοεπιθέσεις.
Ο πρόεδρος προειδοποίησε στις 27 Ιουλίου ότι εάν οι Ηνωμένες Πολιτείες καταλήξουν σε έναν «πραγματικό πόλεμο» με μια «μεγάλη δύναμη», θα μπορούσε να έρθει ως απάντηση σε μια σημαντική κυβερνοεπίθεση.
Η ασφάλεια στον κυβερνοχώρο έχει καταστεί βασική προτεραιότητα για την κυβέρνηση Μπάιντεν μετά από σειρά επιθέσεων υψηλού προφίλ τους τελευταίους μήνες, συμπεριλαμβανομένης της εταιρείας διαχείρισης δικτύων SolarWinds, της εταιρείας Colonial Pipeline, της εταιρείας επεξεργασίας κρέατος JBS και της εταιρείας λογισμικού Kaseya.
