תקדים: ה-FBI "חיטא מרחוק" אלפי מחשבים נגועים בנוזקה סינית
16 ינואר, 2025
ה-FBI דיווח ש-PlugX התפשטה בכל העולם ואיפשרה לסין לרגל אחר מטרות בארה"ב ומתנגדי משטר בסין. חברת הסייבר הצרפתית Sekoia גילתה מנגנון מחיקה-עצמית של הנוזקה, שניתן להפעיל אותו מרחוק
התמונה למעלה הופקה באמצעות מערכת DeepAI
מאת: יוחאי שויגר
משרד המשפטים האמריקאי והבולשת הפדרלית (FBI) חשפו השבוע כי בחודשים האחרונים הם ניהלו מבצע סייבר להסרת נוזקת ריגול תוצרת סין מאלפי רשתות ומחשבים אמריקאים. הנוזקה בשם PlugX, פותחה על-ידי קבוצות האקרים המזוהות עם המשטר בסין, והיא מאפשרת להשתלט על מחשבים מרחוק ולגנוב מהם מידע. בשנים האחרונות הנוזקה התפשטה ברחבי העולם ונראתה כבלתי ניתנת לבלימה. השינוי התחולל לאחר שחברת הסייבר הצרפתית Sekoia, אשר עקבה באופן עצמאי אחר התקשורת בין PlugX לבין רשת בוטים סינית, גילתה שיש דרך שבאמצעותה ניתן להסיר את הנוזקה מהמחשבים הנגועים באמצעות פקודה מרחוק – ומבלי שאותם מחשבים מותקפים יושפעו לרעה.
מהמסמכים שנחשפו כעת בבית משפט בפנסילבניה, עולה כי הרשויות בארצות הברית מייחסות את פיתוח והפצת הנוזקה לשתי קבוצות האקרים, Mustang Panda ו-Twill Thyphoon, כאשר מי שהכווין ומימן את פעילותן הוא המשטר בסין (PRC), אשר השתמש בנוזקה כאמצעי ריגול אחר מטרות בארצות הברית ואחר ממשלות וחברות עסקיות באירופה ובאסיה, וכאמצעי מעקב אחר גורמי אופוזיציה ומתנגדי משטר בסין עצמה.
מבצע ההסרה מרחוק התנהל בין חודש אוגוסט 2024 ועד תחילת ינואר 2025. בסך הכול, במבצע של ה-FBI הוסרה הנוזקה מ-4,258 רשתות ומחשבים. מדובר במבצע רגיש מבחינה משפטית, מאחר שהסרת הנוזקה כרוכה בשליחת פקודה למחשבים פרטיים – מבלי ליידע את בעליהם. לכן קדמה לו היערכות משפטית מדוקדקת כאשר המבצע עצמו התנהל בכפוף לתשעה צווים שונים מצד בית משפט בארצות הברית, שאישר כל פעולה ופעולה.
נוזקת הריגול יצאה משליטה
נוזקת PlugX הינה נוזקה מסוג "סוס טרויאני הפועל בגישה מרחוק" (RAT). היא נצפתה לראשונה ברחבי הרשת בשנת 2008, כחלק מקמפיין סייבר סיני נגד גורמי ממשל ביפן. הפיתוח שלה מיוחס לקבוצת Mustang Panda הפועלת לפי הערכת ה-FBI בגיבוי ובהכוונת המשטר בסין. הנוזקה חודרת אל המחשב באמצעות קובץ DLL נסתר ("דלת אחורית"). לאחר הפעלתה במחשב המארח, היא מאפשרת להאקר התוקף לנטר מרחוק את הפעילות של המשתמש, לרבות תצוגת מסך וההקלדות במקלדת, לגנוב מידע ואפילו לשנות קבצים והגדרות. PlugX נחשבת לנוזקה מתוחכמת בעלת יכולות חמיקה ממערכות הגנה מקובלות.
בחודש מרץ 2023 העלתה חברת הסייבר Sophos פוסט בבלוג שלה, שבו היא דיווחה על זיהוי ואריאנט מסוכן של PlugX, הכולל יכולות חדשות של שכפול-עצמי (worming), שבאמצעותן הנוזקה מתפשטת ממכשיר למכשיר דרך התקני USB. להערכת חוקרי החברה, הוואריאנט זה החל להתפשט בעולם כבר בשנת 2020, ובקצב מסחרר. בעקבות הגילוי הזה החליטה Sekoia הצרפתית להיכנס לתמונה. בספטמבר 2023 רכשה את הבעלות על שרת של כתובת IP אשר שימש ככל הנראה כשרת השליטה והבקרה של מפעילי PlugX. אנשי Sekoia החלו לצותת לתקשורת המוצפנת שבין השרת לבין רשת המחשבים הנגועים. לתדהמתה, גילתה החברה כי השרת מתקשר מדי יום עם יותר מ-100 אלף כתובות IP של מכשירים נגועים הממוקמים בכ-170 מדינות. היא החליטה לתעד את התקשורת הזו כדי למפות את היקף התפשטות הנוזקה.
להערכת Sekoia, מי שהפעיל את הנוזקה נטש את שרת השליטה והבקרה מאחר שאיבד שליטה על הנוזקה, לאחר שנוספו לה יכולות השכפול. עם זאת, עצם קיומה של רשת הבוטים מהווה סכנה, מאחר שכל מי שישתלט על שרת שליטה יוכל לרתום מחדש את רשת הבוטים לצרכים זדוניים. במהלך החקירה שלהם, גילו חוקרי Sekoia כי הנוזקה כוללת פקודת מחיקה-עצמית, וניתן באמצעות שליחת פקודה משרת השליטה לגרום הנוזקה למחוק את עצמה, ואת הקבצים שהיא יצרה, מהמחשב הנגוע, מבלי לסכן את פעולתו של המחשב הנגוע.
אולם מאחר שמדובר בפעולה מרחוק על מחשבים שאינם בבעלותם, מנהלי החברה הבינו שעליהם לפנות אל רשויות החוק. הם גיבשו מודל של "חיטוי ריבוני" (Sovereign Sanitization), שלפיו כל מדינה מקבלת לידיה את רשימת כתובות ה-IP הנגועות בשטחה, ומנהלת את "מבצע החיטוי" בכפוף להליכים החוקיים הקיימים בשטחה. מי שהוביל את שילוב הכוחות הבינלאומי היתה מחלקת הסייבר של משרד התובע בצרפת. ואמנם, לאחר שבדקו כי ההסרה מרחוק אכן אינה פוגעת במחשבים הנגועים, החלו ה-FBI בליווי משרד המשפטים האמריקאי ובפיקוח בית משפט, במבצע ההסרה בארה"ב. לדברי התובעת האמריקאית ז'קלין רומרו, "הפריצה הנרחבת והממושכת הזו של אלפי מחשבים, לרבות מחשבים ביתיים, ממחישה את חוסר האחריות והתוקפנות של האקרים המזוהים עם המשטר בסין".
פורסם בקטגוריות: אבטחת סייבר , חדשות
פורסם בתגיות: FBI , PlugX , Sekoia , סין
כתבות נוספות העשויות לעניין אותך
