האקרים

האקרים המזוהים עם סין מגבירים את התקיפות נגד תעשיית השבבים של טאיוואן

פורסם בתאריך ע"י Techtime

גורמי סייבר הפועלים בחסות סין מגבירים את פעילותם נגד תעשיית השבבים של טאיוואן – כך עולה מדו"ח חדש של חברת האבטחה האמריקאית Proofpoint, שממצאיו פורסמו לראשונה (ה') ברויטרס. לפי הדו"ח, לפחות שלוש קבוצות פריצה שונות פעלו בין מרץ ליוני השנה נגד חברות טכנולוגיה, ספקים וגורמים פיננסיים הקשורים ישירות או בעקיפין לתעשיית הסמיקונדקטורס הטאיוואנית. במרכז התקיפות עמדו 15-20 ארגונים, בהם חברות טכנולוגיה קטנות, אנליסטים פיננסיים העובדים עם בנקים רב-לאומיים, וחברות שירותים הנותנות מענה לתעשיית השבבים.

קבוצות התקיפה השתמשו בשיטות פישינג מתוחכמות, תוך התחזות לאוניברסיטאות טאיוואניות או לחברות השקעה זרות, בניסיון לפתות קורבנות לפתוח קבצים זדוניים או למסור פרטים רגישים. החוקרים זיהוי שלוש קבוצות עיקריות: UNK_FistBump, UNK_DropPitch ו-UNK_SparkyCarp, שכל אחת מהן הפעילה שיטות שונות. UNK_FistBump התחזתה למועמדים לעבודה ושלחה קבצי קורות חיים שנראו תמימים אך הכילו קבצי ZIP ממולכדים.

בתוך אותם קבצים הוסתרו תוכנות זדוניות – בהן גרסאות של הכלים המתקדמים Cobalt Strike ו-Voldemort. תקיפות אלו השתמשו בטכניקת DLL sideloading: הפעלה של קובץ חוקי (כמו תוכנת תקשורת לגיטימית), שבאמצעותו הופעל קוד עוין. אחת הטכניקות כללה אף שימוש ב־Google Sheets כערוץ תקשורת סמוי בין התוקף לבין מחשב הנגוע.

חברת השקעות דמיונית

קבוצת UNK_DropPitch פעלה בזירה הפיננסית והתחזתה לחברת השקעות המעוניינת בשיתוף פעולה עם אנליסטים. גם כאן נשלחו מיילים עם קבצים ממולכדים, אך התקשורת עם התוקפים עברה דרך שרתי VPN מוסווים, עם תעודות אבטחה (TLS) החוזרות על עצמן – עדות לכך שמדובר בתשתית קבועה של ריגול סיני. קבומת UNK_SparkyCarp פעלה בצורה מתוחכמת במיוחד באמצעות מתקפות מסוג Adversary-in-the-Middle (AiTM). הקורבן הגיע לאתר כניסה מזויף שנראה כמו עמוד של ספק אמיתי, שם הזין סיסמה וקיבל בקשה לקוד אימות דו-שלבי. בעודו מקליד את הקוד, ההאקר גונב גם את הסיסמה וגם את ה־session – ומקבל גישה מלאה לחשבון בלא צורך לבצע פריצה ממשית.

חברת הסייבר הטאיוואנית TeamT5, שסיפקה מידע נוסף לדו"ח, הדגישה שמדובר בתקיפות ממוקדות, לא בהכרח רחבות היקף, המאופיינות בעקביות ובתחכום. אחת מהקבוצות שזוהו, Amoeba, פעלה לא רק נגד חברות טכנולוגיה אלא גם נגד חברה כימית המעורבת בייצור חומרים עבור תעשיית השבבים. למרות ש-Proofpoint לא ציינה את שמות החברות שנפגעו ישירות, הדו"ח מציין כי חברות כמו TSMC, MediaTek, UMC, Nanya ו-RealTek מהוות מטרות ברורות, גם אם לא ידוע אם נפרצו בפועל.

לחץ פוליטי, כלכלי וטכנולוגי

השיטות שהופעלו מצביעות על ניסיון מתמשך לא רק לפרוץ לחברות הגדולות – אלא גם להסתנן אליהן דרך שרשרת האספקה, ספקים קטנים ועובדים חיצוניים. הדו"ח מתריע מפני חפיפה בין תשתיות הסייבר של קבוצות התקיפה לבין קבוצות סיניות ידועות כמו APT41 ו-TA415. הוא ממליץ לארגונים בתעשיית השבבים להטמיע אמצעי הגנה מתקדמים יותר: אימות דו-שלבי עמיד בפני AiTM (למשל FIDO2), סינון מיילים חכם, ניטור תקשורת זדונית ושיתוף מידע מתואם בין חברות ואגפים ממשלתיים. שגרירות סין בוושינגטון מסרה לרויטרס בתגובה: "הטענות חסרות בסיס, סין מתנגדת נחרצות לכל סוג של תקיפות סייבר". בתעשייה מעריכים שלאור המתיחות הגוברת בין סין לטאיוואן, ומאמצי בייג’ינג להאיץ את פיתוח תעשיית השבבים שלה – ייתכן שפעולות מסוג זה הן חלק מאסטרטגיה רחבה המשלבת לחץ פוליטי, כלכלי וטכנולוגי.

הפריצה ל-NXP: חשש מגניבת סודות טכנולוגיים

פורסם בתאריך ע"י Techtime

הפריצה של קבוצת האקרים סינית למערכת המידע של NXP מעוררת חששות מגניבה חסרת תקדים בהיקפה של סודות טכנולוגיים ושל קניין רוחני הקשור לשבבים שפותחו ומיוצרים אצל יצרנית השבבים הגדולה באירופה. הבלוג הטכנולוגי המוערך, Tom's Hardware, דיווח בסוף השבוע שקבוצת האקרים סינית בשם Chimera, הצליחה להשיג גישה לשרתי NXP בין השנים 20217-2020, ובמשך שנתיים וחצי היא ביצעה גניבת מידע עקבית שבמהלכה הועברו לסין תכנוני שבבים רבים בכמות שעדיין לא ידועה. סימנים ראשונים לחדירה התגלו רק בשנת 2019, כאשר נחשפה פריצה לאתרי חברת התעופה ההולנדית Transavia (בבעלות KLM), והתברר שהפורצים השתמשו בכתובות IP של NXP.

ראוי לציין שעדיין אין נתונים ואין התייחסות רשמית להיקף הפריצה. יחד עם זאת, לאחרונה הודתה חברת NXP שהתחוללה פריצה למחשביה. בתחילת ספטמבר 2023 היא שלחה הודעת מייל ללקוחות שהיו רשומים באתר שלה ואשר לא היו פעילים במשך 18 חודשים. החברה מסרה להם שפרטי זהות שלהם היו מעורבים ב"ארוע" שהתרחש ב-11 ביולי, ולכן היא ממליצה להיזהר מכל מייל המבקש מהם לשלוח מידע אישי סודי. "חברת NXP לא תיזום פנייה לקבלת מידע מהסוג הזה. אם אתה מקבל בקשה כזאת, או שיחה טלפונית עם בקשה כזאת שהגיעו מ-NXP, אנה התייחס אליהם כאל הונאה ותדווח לרשויות".

האם ניתן להעתיק את התוכניות?

בתגובה לשאלה של האתר TechCrunch, הודתה מנהלת יחסי ציבור מטעם חברת NXP, אנדראה למפרט, שגורם בלתי מורשה אסף מידע אישי בסיסי ממערכת המקושרת אל הפורטל של החברה. המידע כלל כתובות מייל, כתובות דואר, מספרי טלפון, שמות של החברות בהן הם עובדים, מידע על תפקידיהם בחברות והעדפות ההתקשרות שלהם. היא לא מסרה מידע על מספר האנשים שהושפעו ועל עומק הפריצה. למרות שמדובר בשני ארועים הנראים נפרדים, והמידע על הארוע הראשון הוא דל מאוד ולא מאומת, אתרים רבים המוקדשים לסוגיית אבטחת סייבר דיווחו שמאחורי שני הארועים עומדת קבוצת כימרה הסינית, אשר נחשבת למתוחכמת מאוד. פעילותה הגדולה הראשונה שנחשפה היתה תקיפה רחבת-היקף של תעשיית השבבים הטאיוואנית.

הקישור בין הארועים נובע כנראה מכך ש-Tom's Hardware מסר ש-NXP הודתה כי נגנבו שרטוטים, אולם טענה שהנזק אינו גבוה מאחר והשרטוטים מורכבים מאוד וקשה לשכפל את המוצרים, "ולכן החברה לא ראתה צורך לדווח לציבור". במייל שנישלח ללקוחות שחשבונותיהם נחשפו, דיווחה NXP שהיא הקימה צוות תגובה שנכנס מיד לפעולה, חקר את מאפייני התקיפה ונקט באמצעים לבלום אותה. "סיימנו את הטיפול בארוע ודיווחנו על כך לרשויות".

חברות האבטחה NCC Group ו-Fox-IT דיווחו שהפעילות של כימרה מאופיינת בסבלנות רבה ומבצעים רבים נמשכים תקופות זמן ארוכות של שלוש שנים ויותר. התקיפות מתחילות באיסוף מידע אישי ממקורות שהם פחות מוגנים, ואחר כך שימוש במידע הזה כדי לחדור לחברות שבהן האנשים עובדים – ומהן אל היעדים האמיתיים של התקיפה. לצד תקיפת יצרניות שבבים, הקבוצה מרבה גם לתקוף חברות תעופה ורשתות של בתי מלון, במטרה לעקוב אחר תנועותיהם של אנשים המעניינים את הקבוצה או את שולחיה.