This post is also available in:
English (אנגלית)
בתפנית בלתי צפויה, נראה כי קבוצת ריגול הקשורה לסין שינתה הילוך, והשתמשה בטכניקות של מתקפת סייבר עבור כופרה. תקרית שנחשפה בסוף 2024 חשפה כי כלים המשמשים בדרך כלל בפעולות מודיעין שומשו במתקפה כלכלית נגד חברת טכנולוגיה דרום אסייתית.
על פי Cybernews, ההתקפה כללה שימוש מתוחכם בכלי ריגול, מה שסימל יציאה מפעילות הריגול הטיפוסית המתמקדת באיסוף מודיעין במקום בחיפוש אחר רווח כספי. חוקרים של חברת Symantec מצאו כי התוקפים ניצלו חולשה משמעותית בתוכנת חומת האש של פאלו אלטו (CVE-2024-0012), המאפשרת להם לקבל גישה ראשונית לרשת של הקורבן. משם, הם הוציאו מידע רגיש, כולל אישורי מנהל ופרטי גישה לענן, לפני שנעלו את המערכות עם תוכנות כופר.
הכלים ששימשו בהתקפה כללו קובץ הפעלה של Toshiba, שהיה מקושר בעבר לקבוצות פריצה בחסות המדינה הסינית. פעולה זו הופעלה כדי לטעון גרסה של הדלת האחורית PlugX, שאפשרה לתוקפים לשמור על גישה מתמשכת לרשת. ברגע שנכנסו, התוקפים פרסו את תוכנת הכופר RA World, ודרשו תשלום כופר של 2 מיליון דולר, עם הנחה מוצעת לתשלום מהיר יותר.
מבחינה היסטורית, גורמי סייבר סיניים קשורים למבצעי ריגול, ומתמקדים באיסוף מודיעין לטווח ארוך ולא בתגמול מהיר האופייני לקמפיינים של כופר. עם זאת, התקרית הזו מסמנת שינוי, מה שמרמז על כך שייתכן שמקור פנימי השתמש בכלי פריצה של המדינה למטרות רווח כספי אישי. זה מעלה שאלות לגבי החפיפה בין ריגול בחסות המדינה לבין פשעי סייבר, במיוחד כאשר מניעים פיננסיים נכנסים לתמונה.
לפני מתקפת הכופר, השחקן התמקד במטרות ריגול בעלות ערך גבוה, כולל משרדי ממשלה וחברות טלקום באזורים רבים. פעולותיו בעבר נראו ממוקדות במודיעין, מה שהפך את המעבר הזה למתקפת כופר לחריג. כמה מומחים משערים כי מתקפת הכופר הייתה יכולה להיות ניסיון להסתיר עקבות של ריגול או אפילו מיזם צדדי על ידי אדם סורר שהיה מעורב בפריצה בחסות המדינה.
התקפה זו מייצגת שינוי משמעותי בטקטיקות של שחקני סייבר הקשורים לריגול, ומעוררת חששות לגבי טשטוש הקווים בין פשעי סייבר לפעולות מודיעין לאומיות.
