יחידה 61398: ההאקרים הסינים נגד האמריקנים

מהפצחן שחובב הארי פוטר ועד למשחקי הבדמינטון וגן הילדים המצוין. כך פועלת יחידת ההאקרים של צבא סין שפרצה ליותר מ-140 חברות תשתית וטכנולוגיה אמריקניות וישראליות ונחשפה השבוע

APפורסם: 21.02.13 , 12:53

במשך עשור גייסה יחידה 61398 של הצבא הסיני מומחי מחשבים לשורותיה. חיי החברה בה, שכוללים משחקי בדמינטון וגן ילדים, היו גלויים לכול, אבל רק השבוע נחשפה לעולם מטרתה הצבאית – מבצע פריצה דיגיטלית רחב ממדים ליעדים בצפון אמריקה ואף לשלוש חברות ישראליות. הדו"ח שפרסמה חברת "מנדיאנט" האמריקנית ומידע נוסף שהגיע לידי סוכנות AP יוצרים תמונה מפורטת של קהילת לוחמי הפצחנים (האקרים) המנוסים הפועלים מבניין לבן בפאתי שנגחאי.

יחידה סודית בצבא סין פרצה למחשבים בארה"ב

הבניין שממנו פועלת היחידה(צילום: AP)

הגיוס

יחידה 61398, כנראה אחת מכמה יחידות פצחנים של צבא סין, מגייסת את אנשיה ישירות מאוניברסיטאות. היא מחפשת מומחיות בענייני מחשבים וכישורי אנגלית גבוהים. במודעה שפורסמה באתרים בסין ב-2003 מטעם היחידה נכתב כי היא מחפשת בוגרי תואר שני במחשבים ומציעה מלגת לימודים בתמורה לעבודה במשרדיה לאחר סיום הלימודים.

סביבת העבודה

מנדיאנט, שהתחקתה אחר עקבותיהן של עשרות מתקפות סייבר על חברות תשתית והגנה אמריקניות, הצביעה על בניין בן 12 קומות בשנגחאי כמקור להן. הבניין ממוקם ברובע פּוּדוֹנג בעיר, בבניין משרדים שיכולים להכיל 2,000 עובדים. בשכונה מסביב בנייני מגורים, בתי תה, חנויות ומועדוני קריוקי.

חיי הקהילה

בעוד המבצעים שעליהם אמונה היחידה סודיים ביותר, המעמד החברתי של יחידה 61398 ידוע לכול. שמה מופיע בהמוני אזכורים באינטרנט בסין בהקשר של אירועים קהילתיים. בין היתר דווח בשנה שעברה על חתימת הסכם עם רשות מקומית להקים מרכז קהילתי לתכנון משפחתי. בדיווחים אחרים מתוארות חתונות המוניות של קצינים, תחרויות בדמינטון ואפילו שבחים ל"גן הילדים של יחידה 61398". לרשות אנשי היחידה עומדים גם מרפאה, שירות הסעות ומלון אורחים – מאפיינים סטנדרטיים לקהילות הצבאיות הסגורות ברחבי סין.

צינור המידע

הדו"ח מתאר הסכם מיוחד בין היחידה לחברת "צ'יינה טלקום" לאספקת תשתית מיוחדת בשכונה שבה ממוקמת יחידה 61398, שמעיד על הצורך שלה ברוחב פס ועל מעמדה. בחוזה נכתב שהחברה הסכימה למחיר שהציע הצבא בשל עניינים הנוגעים ל"בנייה לצורך הגנה לאומית".

בניין היחידה. קהילה צבאית סגורה שמספקת את צורכיה(צילום: רויטרס)

אופן הפעילות

על הכוונת של מרגלי הרשת היו בעיקר חברות העוסקות בטכנולוגיית מידע, ואחריהן חברות בתחום התעופה והחלל. הדבר מצביע על תחומי העניין המרכזיים של בייג'ינג, העמלה לפתח כלי טיס חדישים משלה, למטרות צבאיות ואזרחיות. ההתקפות נעשות בדרך כלל באמצעות מייל שמוסווה בצורה מתוחכמת, שמפתה עובד בחברת היעד ללחוץ על קישור שמופיע בו או לפתוח צרוּפה. אלה פותחים את השער לפצחנים, שהוציאו מידע לרוב במשך קצת פחות משנה, אך בחלק מהמקרים גם לאורך יותר מארבע שנים.

כינויים

מנדיאנט זיהתה כינויים של שלושה פצחנים. אחד מהם, " UglyGorilla" (גורילה מכוערת), אותר לראשונה ב-2004 בפורום. הוא או היא שאלו אז מומחה לאבטחת מידע ברשת אם לדעתו סין צריכה להקים כוח מיוחד להתגונן מפני מתקפות סייבר מצד ארה"ב. פצחן אחר, שמשתמש בכינוי " Dota", הוא כנראה חובב ספרי הארי פוטר. אנשי מנדיאנט אמרו כי בשאלותיו בנושאי אבטחה מופיעים אזכורים רבים של הדמויות בסדרה. חברות האבטחה נהגו לכנות את הפצחנים "צוות הטוקבקיסטים" בגלל מנהגם להשתמש בקודים שהוטמעו בתגוביות באתרים.

הבניין מעוטר בסמל הקומוניסטי. "בחירות אבטחה לא טובות"(צילום: רויטרס)

הציוץ החושפני

מה סייע למנדיאנט לאתר את מקור הפריצה למחשבים של יותר מ-140 חברות וארגונים בארה"ב ומחוץ לה? פייסבוק וטוויטר.

הפילטרים שסין מפעילה על האינטרנט בתחומיה אמנם מסננים את הרשתות החברתיות האלה, אבל הפצחנים ביחידה 61398 עקפו זאת על ידי גישה ישירה לרשתות דרך המערכת של היחידה. מנדיאנט יכלה לראות שחשבונות טוויטר ופייסבוק הופעלו מכתובת IP שקשורה ליחידה. לא ברור אם הם נועדו למטרה מבצעית או לשימושם הפרטי של הפצחנים. הדו"ח מסכם: "בחירות האבטחה המבצעיות שלהן היו גרועות, והדבר הקל עלינו לחקור ולאתר את פעילותם".

מצאתם טעות בכתבה? כתבו לנו