יחידת הסייבר הסינית |

כבר אי אפשר להחביא צבא שלם מאחורי האקרים סוררים

הדו"ח של חברת מדיאנט על יחידה 61398 שאחראית לריגול הסייבר בצבא סין, מוכיח שגם אם הפעולות נעשות במחשכים - הן עלולות להוביל גם למלחמה

אנשיל פפר
אנשיל פפר
שתפו כתבה במיילשתפו כתבה במייל
אנשיל פפר
אנשיל פפר

קשה להפריז בחשיבות הדו"ח המפורט של חברת האבטחה Mandiant הקושר ישירות בין מאות תקיפות סייבר נגד חברות ענק וגופים ממשלתיים בארצות הברית, לבין יחידה 61398 בצבא סין המרכזת את הלחימה הממוחשבת של המעצמה הסינית. הדו"ח שעיקריו התפרסמו הבוקר (שלישי) בניו יורק טיימס הוא הראשון בו נעשה קישור ברור ובלתי ניתן להפרכה בין תקיפות סייבר וממשלה ריבונית.

ד"ר תומס ריד מהמחלקה ללימודי מלחמה באוניברסיטת קינגס קולג' בלונדון, אחד החוקרים המובילים בנושא לוחמת סייבר, אומר כי "המידע בדו"ח אולי יהיה מספיק עבור הבית הלבן להגביר את הלחץ הפוליטי על סין, אבל הוא לא מספיק טוב עדיין להכריח את סין לחדול מהכחשותיה. הבעיה היא שבמקרים של ריגול מחשבים, מידע מודיעיני אינו שווה לראיות משפטיות. וזה כנראה לא ישתנה, הדו"ח הזה הוא הטוב ביותר שנוכל לקבל". חברת האבטחה פרסמה סרטון, שמציג כיצד בדיוק פעל אחד ההאקרים הסינים:

עד כה התפרסמו רק שלוש חברות אמריקאיות שמערכות המחשב שלהם נפרצו על ידי ההאקרים של יחידה 61398 או כפי שהם כונו, "Comment Crew": תאגיד המשקאות קוקה קולה, ענקית האבטחה הממוחשבת RSA וחברת לוקהיד-מרטין, היצרנית הגדולה ביותר במערב של מטוסי קרב, ביניהם האף-16 והאף-35. אבל לפי הדו"ח מדובר ב-140 תקיפות סייבר סיניות מאז 2006 נגד חברות אמריקאיות מרכזיות, כולל כאלה השולטות על תשתיות קריטיות של אנרגיה ומים.

בשנים האחרונות התפרסמו כמה מקרים של תקיפות נגד התשתית האלקטרונית בגיאורגיה, כשמדינה זאת נלחמה נגד רוסיה ב-2008, וגם נגד המדינות הבלטיות, אף הן יריבות של רוסיה. המקור של תקיפות אלה היו ככל הנראה ארגוני פשיעה, שגם אם בסיסם ברוסיה, לא ניתן לקשר ביניהם לבין משטרו של ולדימיר פוטין.

מנגד, מתקפת הסייבר המפורסמת ביותר שהתפרסמה עד כה היא משפחת הווירוסים שפגעה בתוכנית העשרת האורניום של איראן - סטוקסנט, Flame ו-Gauss. לפי דיווחים שונים הופעל הווירוסים הללו במבצע חשאי משותף של ארה"ב וישראל, אבל עד כה לא הצליח שום גורם להצביע על ראיות ברורות לאחריות אחת משתי ממשלות אלה בייצור או הפצת הווירוס. הדבר נכון גם לגבי התקיפה ששיתקה את מחשבי חברת הנפט הלאומית של סעודיה בשנה שעברה ולטענת בכירים אמריקאיים מקורה באיראן.

מרבית מתקפות הסייבר שהתפרסמו עד היום היו יוזמות פרטיות, כמו חשיפת פרטי כרטיסי האשראי של אזרחים ישראלים בשנה שעברה על ידי האקר סעודי ופעולותיהם של האקרים המזוהים עם קבוצת "אנונימוס", שחשפו את פרטי 600 אלף משתמשים בשרות הדואר האלקטרוני של וואלה בשבוע שעבר. אתמול הם פרצו את חשבון הטוויטר של חברת בורגר קינג והפיצו את הידיעה הכוזבת שהיא נמכרה למקדונלד'ס.

תקיפות הסייבר זכו לסיווג של "לוחמה א-סימטרית", הכינוי המקצועי לקרבות שמדינות מנהלות נגד ארגוני טרור, אבל מסתבר שהסייבר כבר הפך לחלק משמעותי מהארסנל הקרבי הרשמי (גם אם סודי) של מדינות. מהדו"ח של Mandiant עולה שלמרות התחכום של יחידה 61398, הלוחמים האלקטרוניים הסינים עשו טעות מרכזית כשהשתמשו בחשבונות פייסבוק וטוויטר אישיים שלהם במסגרת פעולות הפריצה, וכך סייעו לקשור ביניהם למחשבים שפעלו מהשכונה בה נמצא בסיס היחידה בשנגחאי. יש לקוות שבעתיד, כשינתחו את פעולות הסייבר הבאות שיפגעו באיראן, לא ימצאו שם עקבות לחשבונות בווירג'יניה או באזור הרצליה. 

הפרסום גם מאתגר את המשפטנים של ממשל אובמה, המכינים כעת את ההגדרות המשפטיות שיקבעו באילו מקרים ניתן להראות במתקפות סייבר גם הכרזת מלחמה. ההגדרות ישפיעו על האופן בו אמריקה תגיב למתקפת הסייבר הבאה ותקבע את המגבלות שתטיל על עצמה. מפרסומים בתקשורת האמריקאית עולה שאובמה הטיל מגבלות כאלה כשאישר ל-CIA להשתמש בנשק סייבר נגד הגרעין האיראני בתנאי שהווירוסים לא יפגעו בתשתית אזרחית כמו מערכת הבריאות האיראנית. מעניין באיזו מידה שיקולים אלה משפיעים על ההנחיות של הדרג המדינית בישראל ליחידה 8200 באמ"ן.

את לוחמת הסייבר ניתן לסווג באופן כללי לשלושה סוגי תקיפות. התקיפה הנפוצה ביותר היא DDoS (קיצור של Distributed Denial of Service), מניעת שרות מבוזרת, הפצצת אתר אינטרנט או שרת בכמות אדירה של מידע שמביאה להפלתו. אתרים רבים של משרדי ממשלה וחברות ישראליות ישראלים ספגו מתקפות כאלה, בדרך כלל הדבר גרם לכל היותר להשבתה קצרה של האתרים ונזק מועט, אם בכלל.

תקיפה מתוחכמת יותר היא פריצה אל מאגרי המידע של חברות וארגונים גדולים, במקרים רבים באמצעות "פישינג" - שליחת הודעות דואר אלקטרוני מוסוות אל עובדים בארגון שמכילות קוד זדוני או לינקים לאתרים מאפשרת לתוקף לחדור אל מערכת המחשב של הארגון. לחילופין, הדבר מתבצע באמצעות השתלת לינקים זדוניים באתרים תמימים, למשל בתגובות. בינתיים נראה שעיקר מאמצי יחידה 61398 הייתה מוקדשת לתקיפות פישינג שכאלה.

המידע שמושג מחדירות כאלה יכול לשמש למגוון רחב של צרכים. במקרה של ארגון "אנונימוס", הוא מוצג ברבים כדי לגרום נזק ומבוכה לארגונים וממשלות המכעיסות את ההאקרים האנרכיסטים. עבור הסינים המידע לא נחשף, אלא משמש למטרות ריגול מסחרי, תעשייתי וביטחוני. (במקרה של קוקה קולה, נשאב מידע ממחשבי התאגיד במהלך ניסיון שלה לרכוש חברת משקאות גדולה בסין ובעבר התפרסם ניסיון להשיג מידע על מערכות האוויוניקה של מטוס החמקן אף-35).

החשש הגדול ביותר של ממשלות בעולם הוא מפני תקיפה מהסוג השלישי – השתלת וירוסים ו"פצצות לוגיות" במערכות המחשבים השולטות על מפעלים גדולים ותשתיות חיוניות (SCADA). סטוקסנט הייתה תקיפה כזאת. האפשרות שהאקרים השתילו מוקשים אלקטרוניים בתוכנות השליטה החיוניות להפעלת רשתות חשמל ומים, שיופעלו יום אחד מרחוק וישתקו מדינה שלמה, מדירה שינה ממומחי אבטחה במערב. הדו"ח של חברת מנדיאנט אינה מציעה תשובה ברורה לשאלה אם הסינים השתילו פצצות כאלה במערכות תשתית אמריקאיות אבל היא בהחלט מצביעה על חדירה למערכות אלה.

מאמר שפרסם בשבוע שעבר מומחה האבטחה האמריקאי, דייל פיטרסון, מסביר כיצד ניתן לייצר ולהחדיר פצצה כזאת בקלות יחסית, הקושי העיקרי הוא בשמירת הקשר החשאי מרחוק עם הפצצה, לאורך זמן, על מנת להפעילו ביום פקודה. במקרה שהסינים אכן ניסו להניח את היסודות להפצצה אלקטרונית, האם ניתן להשוות הנחת מוקשים לוגיים במערכות חיוניות להכרזת מלחמה?

עקבו אחר אנשיל פפר בטוויטר

תגובות

הזינו שם שיוצג באתר
משלוח תגובה מהווה הסכמה לתנאי השימוש של אתר הארץ