This post is also available in:
English (אנגלית)
לאחרונה נחשף קמפיין ריגול סייבר ארוך טווח אחר ספק טלקום אסיאתי, תוך שימוש מתוחכם ב-web shells כדי לאסוף מידע רגיש במשך כמה שנים. על פי חקירה מפורטת של חברת הסייבר הישראלית סיגניה, גורם האיום, שנקרא Weaver Ant על ידי החברה, השתמש בסדרה של טכניקות חשאיות כדי לחדור לרשת ולשמור על גישה אליה בלי שהשתגלה.
ההתקפה בוצעה באמצעות web shells מינימליים ויעילים ביותר – סקריפטים זדוניים שהוכנסו לשרתי אינטרנט שנפרצו ואפשרו לתוקף לשהות באופן מתמשך בתוך הרשת. לפי החברה, שני כלים עיקריים הופעלו: web shell מוצפן בשם "צ'יינה צ'ופר" ו-web shell מותאם אישית בשם "InMemory". האחרון הוא מדאיג במיוחד כפי שהוא פועל לחלוטין בזיכרון ולא משאיר עקבות על הדיסק, מה שהופך את הזיהוי שלו על ידי מערכות אבטחה מסורתיות קשה מאוד.
צ'יינה צ'ופר, שפותחה במקור על ידי קבוצות סייבר סיניות, ידועה ביכולתה לנהל קבצים, לבצע פקודות ולחלץ נתונים. במקרה זה, הפונקציונליות של ה-web shell הורחבה עם טכניקות התחמקות עדינות, כגון שימוש במילות מפתח שלא מעלות חשד כמו "סיסמה" ו"מפתח" כדי להסוות פקודות זדוניות. יחד, כלים אלה אפשרו לתוקפים לא רק להריץ קוד מרחוק אלא גם לנוע רוחבית בתוך הרשת, תוך עקיפת ההגנות ההיקפיות המסורתיות.
האופי החמקני של מבצע זה מודגש עוד יותר על ידי היכולת של התוקפים לא להתגלות במשך שנים ולבצע את פעילותם עם עקבות מינימליות. החקירה העלתה כי פושעי הסייבר הצליחו לשמור על גישה במשך יותר מארבע שנים, דבר המצביע על רמה גבוהה של התמדה ותחכום.
על אף שהדו"ח של סיגניה לא מציין את שמה של ספקית הטלקום המושפעת, ברור כי השימוש ב-web shells הוא מגמה הולכת וגדלה בקרב תוקפי סייבר סיניים בחסות המדינה, וטקטיקות דומות נצפו באירועים גדולים אחרים.
כפי שממחישה התקפה זו, הטקטיקות המתפתחות של גורמי סייבר גורמות לכך שארגונים נדרשים לאמץ אסטרטגיות הגנה חזקות ופרואקטיביות כדי לזהות ולמזער איומים מתקדמים כאלה.
