חברת הסייבר הישראלית Cybereason חשפה תקיפה מתקדמת של ספקיות סלולר בעולם. התוקפים הצליחו להתבסס במשך מספר שנים בתוך הרשתות בלי שיחשפו עם גישה למידע רגיש על מיליוני מינויים, כשמתוכם הם "סימנו" קבוצת של עשרות אנשים ספציפיים שעניינו אותם באופן אישי לצורך מעקב.
שיטות התקיפה והכלים בהם נעשה שימוש מצביעות על כך שמדובר בתוקפים סיניים. המידע שנגנב מהחברות שימושי ביותר לארגוני מודיעין היות והוא מאפשר לאתר אנשים על פי מיקום פיזי ולמצוא את ״מעגלי התקשורת״ שלהם, כלומר עם מי הם מדברים, באילו שעות ואיפה. שיטות אלו אופייניות למעקב אחר פוליטיקאים, מנהלים בכירים, מתנגדי משטר וכו׳
מהחקירה שניהלה סייבריזן, שזכתה לקוד הפנימי Operation SoftCell, התברר שהתוקפים השתלטו לחלוטין על הרשת של החברה והתקינו לעצמם חשבונות מנהלים, גישה מוצפנת באמצעות VPN ומגוון דרכי גישה אחרות לרשת.
עמית סרפר, ראש תחום מחקר בסייבריזן ומי שהוביל את החקירה הוסיף: ״התוקפים גנבו מהחברה את כל בסיס הנתונים של שרת ה-Active directory של החברה, דבר אשר מאפשר להם להשתמש בכל שם משתמש וסיסמא בארגון. לתוקפים היתה גם אפשרות להפריע לתפקוד התקין של רשתות התקשורת ולגרום לנזקים כלכליים אדירים, אולם הם לא ניצלו זאת כדי שלא להיחשף". להערכת חוקרי סייבריזן הפריצה לרשתות החלה כבר לפני שבע שנים. בהתחלה היא היתה מצומצמת לשלוש חברות בלבד ובהמשך התרחבה ליותר מ-12 ספקיות, כפי הנראה מאחר ויעדי התקיפה החליפו מדינות וחברות סלולר והתוקפים המשיכו בעקבותיהם.
ליאור דיב, מנכ״ל ומייסד סייבריזן הסביר כיצד הצליחו התוקפים לחיות בתוך הרשתות האלו שנים מבלי שנחשפו: ״התוקפים השתמשו בפרדיגמת תקיפה איטית אשר תכליתה היא לעשות צעדים איטיים בתוך סביבה ובכך 'לקבור' או להסתיר את עצמם בתוך מאות ההתראות שהאנליסטים של חברות הסלולר טיפלו בהם. דיב הוסיף כי לאנליסטים לא הייתה יכולת טכנולוגית לקשור אירועים שונים שהתפרשו על פני חודשים לכדי סיפור תקיפה אחד. למערכת סייבריזן יש את היכולת לחזור אחורה בזמן, לנתח את כמויות המידע האלו בעזרת למידת מכונה וניתוח כמויות אדירות של מידע.״
חוקרי סייבריזן מצאו עד כה כי קמפיין התקיפה מתפרש על פני אירופה, אסיה, המזרח התיכון ואפריקה. עם חשיפת היקף התקיפה ערכו ראשי סייבריזן תדרוך ל-25 ספקיות הסלולר הגדולות בעולם, חשפו בפניהם את שיטות התקיפה, דרכי הפעולה וכיצד ניתן להתגונן ולאתר את התוקפים.
סייבריזן נוסדה ב־ 2012 על ידי ליאור דיב (CEO), יוסי נער (CVO), ויונתן שטרים עמית (CTO). החברה מפתחת מערכת האוספת מידע מכל תחנות הקצה בארגון: מחשבים ושרתים, ומנתחת את פעולותיהן. בעזרת המידע הרב הנאסף גם בזמן אמת, המוצר מזהה התנהגויות זדוניות ומציג באמצעות ממשק פשוט ואינטואיטיבי את השתלשלות האירועים מרגע תחילת ניסיון התקיפה. הפלטפורמה מאפשרת לארגונים לפקח באופן רציף אחר המערכות השונות בארגון, וכן לזהות, לחקור, לבודד ולעצור התקפות בזמן אמת. בין לקוחות החברה ניתן למצוא חברות מובילות מכל התחומים, מרשימת ה- Fortune 500 כולל בנקים ותאגידים פיננסים בינלאומיים, יצרני תרופות, חברות תוכנה ושרותי IT, חברות מזון, Retail ועוד.
מנכ"ל סייבריזן, ליאור דיב, ידבר על התקיפה והחשיפה בהופעתו בכנס בסייבר וויק הישראלי ביום שלישי, 25 ביוני.