Telecom News - נחשפו פרטים חדשים על קבוצת האקרים סינית שסוחטת ארגונים בכל העולם

נחשפו פרטים חדשים על קבוצת האקרים סינית שסוחטת ארגונים בכל העולם
מאת: מערכת Telecom News, 19.10.22, 12:49 CYBER FREE

קבוצת האקרים מסין, שמכונה Emperor Dragonfly, מבצעת מתקפות כופר נגד ארגונים בכל העולם וגם בישראל. בד"כ לא נהוג לראות בנוף האיומים העולמי קבוצות תקיפה שמקורן בסין. הראיות הקושרות את ההאקרים לסין.

חברת הסייבר סיגניה (Sygnia) הישראלית של Team8 ו-Temasek חושפת פרטים חדשים על קבוצת האקרים מסין המכונה Emperor Dragonfly, שמבצעת מתקפות כופר נגד ארגונים בכל העולם וגם בישראל. בחברה חושפים, שהקבוצה, שמוכרת בתחום במספר שמות, מקושרת כעת עם קבוצה בשם Cheerscrypt וכן ראיות הקושרות את הקבוצה לסין.
CHINA FREE

במסגרת פעילותה, תוקפת הקבוצה חברות בעיקר בארה"ב ואסיה מתחומים שונים, בהם תחום הייצור, שירותים כלכליים (בנקים), שירותים משפטיים וחברות הנדסיות.

שיטת הפעולה העיקרית של הקבוצה היא תקיפת שרתים של ארגונים, שאינם מאובטחים כראוי, הצפנת המידע הרגיש ודרישה של מיליוני דולרים מהארגון המותקף בעבור השבתו של המידע.

הקבוצה, שהמניע שלה הוא כלכלי, נוהגת לסמן כמטרה חברות גדולות, שביכולתן לשלם סכומים גבוהים, לעתים יותר אף יותר מ-10 מיליון דולרים.

שיטת הפעולה של ההאקרים היא ניצול חולשות בשרתי ארגונים החשופים לאינטרנט, דרכם הם חודרים לרשת הארגונית וגונבים ממנה דאטה רב ורגיש, כאשר חבריה דורשים כופר בסך מיליוני דולרים מהארגון המותקף, אחרת יפרסמו לציבור את המידע שנגנב, בין היתר, מידע חסוי של החברה על פיתוחים שלה, וכן מידע אישי של עובדים, לרבות משכורות ובונוסים.

צוות החוקרים של החברה מסביר, שבד"כ לא נהוג לראות בנוף האיומים העולמי קבוצות תקיפה שמקורן בסין.

ראיות הקושרות את ההאקרים לסין
במקרה זה, חברי הקבוצה ניסו להישאר מתחת לרדאר ולכן החליפו מספר פעמים את שמם כדי שלא ניתן יהיה להתחקות אחר פעילותם. כעת החברה חושפת גלגול נוסף של הקבוצה, Cheerscrypt, ואת הכלים בהם משתמשים ההאקרים, לאחר שהחוקרים זיהו מספר מתקפות כופרה כשייכות לסינים, שבמסגרתן נעשה שימוש ב-3 כלים "סיניים" הזמינים באתר גיטהאב ונכתבו ופותחו ע"י מפתחים סיניים עבור משתמשים סיניים.

כך למשל, אחד מהכלים פותח לצורך מעקף של מגבלות הצנזורה, שמטיל הממשל בסין, כלים, שקבוצות כופרה אחרות אינן משתמשות בהם. גם מכלול הפעילות של הקבוצה, מציינים החוקרים, מאוד אופייני לפעילות קודמת של הקבוצה הסינית הזו, תחת שם אחר, Night Sky. אורן בידרמן יחצ

אורן בידרמן, (בתמונה משמאל), מומחה בכיר לזיהוי ותגובה לאירועי סייבר בסיגניה: "קבוצה שכזו, הפועלת בקנה מידה גלובלי, היא דבר נדיר יחסית, מאחר שהממשל הסיני מפקח על תעבורת האינטרנט בסין ומודע מאוד למה שקורה. סביר להניח, שאותה קבוצה או דומות לה, לא יכולות לפעול כך אלא אם הממשל בבייג'ינג מעלים עין.

על ארגונים להבין, שהיענות למתקפת כופר מסוג זה היא אינה גזרת גורל. ארגונים יכולים להתכונן ולהיות מוגנים יותר מפני מתקפות כאלו, באמצעות מספר צעדים בסיסים ובראשם, עליהם לדאוג, שמערכות שחשופות לאינטרנט יעברו עדכוני אבטחה בזמן. זאת, מכיוון שקבוצת ההאקרים הזו מנצלת בעיקר את האלמנט הזה. אנו רואים, שמרבית הארגונים שהותקפו לא עדכנו את שרתי הארגון כנדרש".

בחברה עדכנו גורמי אכיפת חוק גלובליים ושיתפו אותם בממצאים טרם פרסום הדברים. בחברה ממשיכים לעקוב אחר קבוצת התקיפה, שעדיין פעילה, בניסיון לסכל את המתקפות הבאות.