פריצה לספקיות סלולר: אנשי מפתח במעקב

האקרים סינים הצליחו לחדור למערכות המידע של 12 חברות תקשורת בעולם ולעקוב אחר פעילותם של אנשים מסוימים שאותם סימנו - כך חושפת הבוקר (יום ג') חברת הסייבר הישראלית סייבריזן (Cybereason). החברה גילתה כי המתקפה נמשכת גם כעת והחברות טרם הצליחו לחסום אותה.

מתקפת סייבר(צילום: shutterstock)

בסייבריזון לא חושפים את שמות הקורבנות, אך מבהירים כי נכון לעכשיו אין לסיפור קשר לישראל. הכלים ששימשו את התוקפים מצביעים על אחת מקבוצות התקיפה המזוהות עם סין - APT10, שבעברה מספר תקיפות על תשתיות טלפוניה. עם זאת, אי אפשר לפסול את האפשרות כי מדובר במסך עשן שמטרתו להסוות את זהות התוקף האמיתי.

מבחינה טכנית, מדובר בתקיפה של מערכות ארגוניות. לא בוצעה כאן חדירה לתוך מערכת התקשורת עצמה. לפיכך, המידע שנגנב הוא "מטאדאטה" - מידע אודות מידע. זה אומר שהתוקפים לא יכלו להאזין לשיחות, אך כן הורידו כמויות עתק של רישומים שמתארים מאיפה הפעילות - שיחה, שליחה וקבלה של הודעות, שימוש בשירות סלולר אחר - בוצעה, בין אילו מכשירים, ובאיזה מיקום גיאוגרפי. הרישומים הללו יכולים לשמש כדי להבין תנועות של אנשים, וכן עם מי הם מתקשרים.

המתקפה עדיין לא נעצרה(צילום: EPA)

מספר הקורבנות של התקיפה אינו ידוע, בין השאר כי היקף הפעילות המלא טרם נחשף. בסייבריזון גורסים כי מעל 12 ספקיות סלולר בחמש יבשות נפגעו בתקיפה, והחברה תדרכה את 25 הספקיות הגדולות בעולם כדי שאלה תוכלנה לבדוק סימנים לפריצה. בגלל שחלק ניכר מהתחקור של הפריצות דורש ניתוח של מידע היסטורי, שאינו מלא בדרך כלל, ניתן לומר רק כי בחצי השנה האחרונה טווחו על ידי הפורצים מספר עשרות בודדות של קווי סלולר, שמיתרגמים למספר נמוך מאוד של אנשים.

אחד הדברים שעלולים להיראות מפתיעים בתקיפה הזו הוא, שלמרות ההיקף שלה, ופוטנציאל הנזק העצום, שליטה במערכות ארגוניות של חברת סלולר יכולה להיות מנוצלת להרבה דברים הרסניים - התוקפים לא השתמשו בפרצות שלא ידועות לאנשי אבטחה ואין בפניהן הגנה. הארסנל של התוקפים התבסס על יישומי קוד פתוח שניתנים להורדה בקלות מהאינטרנט, וכן מתודולוגיות עבודה סדורות שמטרתן להסוות פעילות זדונית תוך התקדמות איטית בתוך מערכות החברה.

האקרים סיניים?(צילום: shutterstock)

התקיפה גם מדגימה כיצד בהינתן התעניינות מגורמים בעלי משאבים מספקים, קשה מאוד למנוע מעקב ופלישה לפרטיות. הטלפונים של הקורבנות לא נפרצו, אך השובל הדיגיטלי שלא היה בשליטתם הוביל למעקב. כמובן שיש דרכים להתגונן - מהחלפה תדירה של כרטיסי סים ועד לשימוש בשירותי שיחות מקוונים - אך גם אלה לא תעזורנה אם תוקף מספיק נחוש יבקש לתקוף.

לדברי החברה, התוקפים הצליחו להתבסס במשך מספר שנים בתוך הרשתות בלי שייחשפו עם גישה למידע רגיש על מיליוני מינויים, כשמתוכם הם "סימנו" קבוצת של עשרות אנשים ספציפיים שעניינו אותם באופן אישי לצורך מעקב.

עמית סרפר, ראש תחום מחקר בסייבריזן ומי שהוביל את החקירה אומר: "התוקפים גנבו מהחברה את כל בסיס הנתונים של שרת ה-Active directory של החברה, דבר אשר מאפשר להם להשתמש בכל שם משתמש וסיסמא בארגון. לתוקפים היתה גם אפשרות להפריע לתפקוד התקין של רשתות התקשורת ולגרום לנזקים כלכליים אדירים, אולם הם לא ניצלו זאת כדי שלא להיחשף".

להערכת חוקרי סייבריזן, הפריצה לרשתות החלה כבר לפני שבע שנים. בהתחלה היא היתה מצומצמת לשלוש חברות בלבד ובהמשך התרחבה ליותר מ-12 ספקיות, כפי הנראה מאחר ויעדי התקיפה החליפו מדינות וחברות סלולר והתוקפים המשיכו בעקבותיהם.

ליאור דיב, מנכ"ל ומייסד סייבריזן, מוסיף: "התוקפים השתמשו בפרדיגמת תקיפה איטית אשר תכליתה היא לעשות צעדים איטיים בתוך סביבה ובכך 'לקבור' או להסתיר את עצמם בתוך מאות ההתראות שהאנליסטים של חברות הסלולר טיפלו בהם. דיב הוסיף כי לאנליסטים לא הייתה יכולת טכנולוגית לקשור אירועים שונים שהתפרשו על פני חודשים לכדי סיפור תקיפה אחד. למערכת סייבריזן יש את היכולת לחזור אחורה בזמן, לנתח את כמויות המידע האלו בעזרת למידת מכונה וניתוח כמויות אדירות של מידע".

חוקרי סייבריזן מצאו עד כה כי קמפיין התקיפה מתפרש על פני אירופה, אסיה, המזרח התיכון ואפריקה. עם חשיפת היקף התקיפה ערכו ראשי סייבריזן תדרוך ל-25 ספקיות הסלולר הגדולות בעולם, חשפו בפניהם את שיטות התקיפה, דרכי הפעולה וכיצד ניתן להתגונן ולאתר את התוקפים.