X

גוגל מזהירה: מאות חברות נגועות ברוגלה סינית מסוכנת

האקרים הקשורים לממשל הסיני הצליחו לחדור למערכות ארגוניות ולהישאר בהן במשך יותר משנה • גוגל משיקה כלי חינמי לאיתור התוכנה הזדונית • "אנו צופים גילויים נוספים של התוכנה הזדונית בשנתיים הקרובות"

רועי בית לוי
, עודכן
0השמעה
עובד של חברת גוגל בסין (ארכיון). צילום: רויטרס

על פי דיווח חדש של גוגל, ארגונים וחברות בארה"ב, וכנראה שגם במקומות אחרים בעולם, עלולים לגלות בשנתיים הקרובות עקבות של קמפיין פריצה נרחב המקושר לסין. מדובר בתוכנה זדונית שהצליחה לחדור לרשתות במשך יותר משנה וייתכן שעדיין לא התגלתה במקומות רבים.

חטיבת המודיעין של גוגל, שמובילה את המעקב אחר האיום, זיהתה את התוכנה הזדונית, המכונה BRICKSTORM, ככלי ריגול המאפשר גישה אחורית (Backdoor) למערכות הקורבנות.

חטיבת הייעוץ של גוגל לאבטחת סייבר, מנדיינט (Mandiant), החלה לחקור את הפריצות כבר במארס 2025. על פי הממצאים, מטרות ההתקפה היו מגוונות וכללו שירותים משפטיים, חברות המספקות תוכנה כשירות (SaaS) ואת שירותיהן לעסקים, חברות מיקור חוץ תהליכים עסקיים, וכן חברות טכנולוגיה. בחקירה התגלה שהתוקפים התמקדו בחברות משפטיות כדי להשיג מידע הנוגע לביטחון לאומי וסחר בינלאומי של ארה"ב, ובספקיות SaaS על מנת להשתמש בהן כשער גישה ללקוחותיהן.

מתקפת סייבר סינית (אילוסטרציה). ההתקפה יוחסה בעיקרה לקבוצה המכונה על ידי גוגל UNC5221, צילום: נוצר על ידי בינה מלאכותית - Google AI Studio

חברות טכנולוגיה נפרצו כדי לנתח קניין רוחני, לרבות קוד מקור, מתוך כוונה לאתר פערים ופרצות אבטחה נוספים במערכותיהן.

ההתקפה יוחסה בעיקרה לקבוצה המכונה על ידי גוגל UNC5221, ולקבוצות נוספות המזוהות עם גורמים בסין. חוקרי האבטחה ציינו כי שווי המידע שהושג עולה על משימות ריגול רגילות וכי ייתכן שהוא שימש לפיתוח פגיעויות יום-אפס (Zero-day) ולביסוס נקודות פריצה נוספות. פגיעות יום-אפס היא פרצת אבטחה במערכת תוכנה או חומרה שאינה מוכרת למפתחים. תוקפים יכולים לנצל אותה לפני שהמפתחים מספיקים לתקן אותה, מה שמותיר להם "אפס ימים" לטפל בבעיה.

היכולת של התוקפים להישאר נסתרים למשך זמן רב נובעת מהדרך שבה פרסו את התוכנה הזדונית. במקום להתקין את BRICKSTORM על מחשבים או סמארטפונים, שם פועלות תוכנות אבטחה מסורתיות, הם התמקדו במכשירים שאינם ניתנים לגילוי בקלות. בין היתר, הם תקפו נתבים, חומות אש, ושערי אבטחה של דואר אלקטרוני. 

על מנת לסייע לארגונים לזהות את נוכחות התוכנה הזדונית ברשתות שלהם, גוגל השיקה סורק חינמי, שעובד על ידי חיפוש אחר שילוב של טקסטים וקודים ייחודיים ל-BRICKSTORM.

צ'רלס קרמקאל, מנהל הטכנולוגיות הראשי של ייעוץ במנדיינט, אמר בראיון ל"The Register" כי הוא צופה ש"נשמע על איום הסייבר הזה למשך זמן רב". הוא הוסיף כי "ככל שיותר חברות יסרקו את המערכות שלהן, אנו צופים שנשמע על הקמפיין הזה בשנה-שנתיים הקרובות. אין לנו ספק שחברות ישתמשו בכלי וימצאו פריצות פעילות או היסטוריות".

טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו
גוגלמתקפת סייברסין

כדאי להכיר