חן בורשן, מנכ״ל סקייהוק סקיוריטי, באדיבות סקייהוק סקיוריטי
איך הצליחו הסינים לחדור את כל תשתית התקשורת של ארצות הברית ואיך דווקא זה ישפר את הפרטיות של אזרחי ארה”ב?
זה עבר קצת מתחת לרדאר של כולנו, אבל ייתכן מאוד שנחשפנו לאחרונה לקמפיין הסייבר הגדול של כל הזמנים, שבו סין הצליחה לחדור באופן מוחלט את תשתית התקשורת של יריבתה הגדולה ארצות הברית, ועל ידי כך להשיג נגישות לכמויות עצומות של מידע שלא יסולא בפז. המתקפה כל כך חמורה שהממשל האמריקני בפאניקה של ממש- כלל הסנאטורים תודרכו על ידי ה-FBI וה-NSA, הוקם צוות משימה בין- משרדי שנפגש שלוש פעמים בשבוע, ועדת המשנה למסחר בסנאט תקיים שימוע מיוחד ב-11 בדצמבר כדי לדון באיומי אבטחה על רשתות תקשורת ולבחון שיטות עבודה מומלצות לספקים להפחתת סיכונים לצרכנים, ובצעד חריג, ה-FBI ו-CISA המליצו לציבור להמנע משיחות טלפון ושליחת הודעות SMS לא מוצפנות ומעבר לשימוש באפליקציות תקשורת הכוללת הצפנה מקצה לקצה (E2EE) כגון Signal ו-WhatsApp.
מה קרה שם?
קמפיין הסייבר של קבוצת ההאקרים “Salt Typhoon”, אשר מזוהה כקבוצה הנתמכת על ידי משרד הביטחון הסיני, התגלה לראשונה במרץ 2024 על ידי חברת מיקרוסופט. החברה זיהתה פעילות חשודה ברשתות של ספקיות תקשורת מובילות בארצות הברית, כולל Verizon, AT&T ו-Lumen Technologies. . בנוסף, על פי הדיווחים, ההאקרים חדרו למערכות ההאזנה ואיסוף המידע (בעגה המקצועית Lawful interception- איסוף מידע חוקי על אזרחי המדינה) של משרד המשפטים האמריקאי, מה שאפשר להם גישה לרשימות טלפונים ולתכנים רגישים. החדירה נמשכה זמן ממושך לפני שהתגלתה (כנראה מתחילת שנת 2024), מה שהדגיש את התחכום של המתקפה והקושי בזיהוי מוקדם יותר.
שיטת החדירה הראשונית
ההאקרים השתמשו בטקטיקות מתקדמות כמו ניצול פרצות בתוכנה ובחומרה של נתבים ושרתי רשת. לפי הדיווחים, נעשה שימוש בניצול חולשות של מערכות Cisco לשם השגת גישה ראשונית, ולאחר מכן בוצעו פעולות מתוחכמות של גניבת זהויות ושימוש בכלי תוכנה לגיטימיים לשליטה ועדכון מרחוק (Living off the land) להעמקת החדירה. אן נויברגר, סגנית היועצת לביטחון לאומי לסייבר וטכנולוגיה מתפתחת, הדגישה את חומרת הפריצה במהלך תדריכים לעיתונות שנתנה בימים אחרונים. היא אישרה כי המתקפה פגעה בשמונה חברות טלקום אמריקאיות, תוך ניצול ארבע פגיעויות Zero-Day שלא היו ידועות בעבר.נויברגר הצהירה כי ככל הנראה התוקפים ניצלו נקודות תורפה במערכות של חברות פרטיות במשך שנה עד שנתיים. היא הדגישה כי היקף המתקפה המלא עדיין בחקירה וכי עדיין קיים סיכון לניצול פרצות שלא נתגלו.
ייתכן מאוד, שהתוקפים ניצלו פגיעויות מובנות שקיימות ברשתות התקשורת של ארה”ב – כאלו שנועדו לאפשר גישה לצורכי מעקב ממשלתי. חולשות אלו היוו לכאורה נקודת תורפה מרכזית שאותה ניצלו התוקפים. אם זה אכן המצב ייתכן שלא כל המתקפות נחשפו ושיעבור עוד זמן רב עד שיוודעו המימדים האמיתיים של המתקפה.
קורבנות ונזקים
- תעשיית הטלקומוניקציה: הנזק היה רחב היקף, בעיקר בספקיות תקשורת גדולות כמו Verizon ו-AT&T,המספקות את רוב תשתית התקשורת בארצות הברית. הקבוצה הצליחה לגשת למידע רגיש על מאות מיליוני משתמשים פרטיים ומוסדיים.
- מערכות ממשלתיות: הקמפיין פגע ברשומות מעקב של סוכנויות אמריקאיות, מה שעלול להשפיע על יכולתן לעקוב אחר חשודים בפעילות פלילית או ריגול.
- מטרות פוליטיות: ההתקפה כוונה גם למכשירים של אישים פוליטיים, כולל אנשי צוות של המועמדת לנשיאות האריס, המועמד טראמפ ואנשים בכירים בקמפייני הבחירות.
- מערכות קריטיות נוספות: מעבר לתקשורת, ההאקרים הצליחו לחדור לארגונים שונים באסיה ובארצות הברית, דבר שהעלה חששות לגבי חדירה רחבה יותר המשפיעה על תשתיות קריטיות כמו חשמל ומים.
תגובת הממשל האמריקאי
עם היוודע דבר הפריצה החלה חקירה נרחבת של ה-FBI, סוכנות הסייבר CISA וה-NSA.
ממשלת ארה”ב הקימה קבוצת תיאום מאוחדת כדי לטפל בחדירות המסוכנת של תשתית התקשורת במדינה. קבוצה זו, שנפגשת מספר פעמים בשבוע, עובדת עם מנכ”לי טלקום ומומחי אבטחת סייבר כדי ליישם אמצעי אבטחה חזקים יותר בכל המגזר. בנוסף, סוכנויות פדרליות כמו CISA וה-FBI פרסמו הנחיות אבטחה מעודכנות כדי לעזור לספקי טלקום להקשיח את ההגנה שלהם מפני התקפות דומות בעתיד. ה-FCC (ועדת התקשורת הפדרלית- הרגולטור של שוק התקשורת במדינה) החל לעבוד להפחתת הנזק ושיפור ההגנה. יו”ר ה-FCC, ג’סיקה רוזנוורצל, הציעה כללים חדשים שיחייבו חברות טלקום לאשר מדי שנה שיש להן תוכניות להתגונן מפני התקפות סייבר. הסוכנות שואפת להבטיח כי פגיעויות רשת המנוצלות על ידי האקרים זרים יטופלו, מה שמחייב ספקים לעמוד בתקני אבטחה ספציפיים כדי להגן מפני גישה לא מורשית.
במקביל, ומתוך הבנה כי המערכות עדיין נמצאות בסיכון גבוה לחדירה נוספת (או נמשכת), ה-FBI ו-CISA המליצו לציבור להמנע משיחות טלפון ושליחת הודעות SMS לא מוצפנות ומעבר לשימוש באפליקציות תקשורת הכוללת הצפנה מקצה לקצה (E2EE) כגון Signal ו-WhatsApp (כאלו שלא חשופות לחולשות האבטחה של ספקי התקשורת הגדולים).
בנוסף, CISA וה-FBI קראו למשתמשים ליישם אימות רב-גורמי ולהבטיח שהמכשירים שלהם יקבלו עדכוני מערכת הפעלה בזמן כדי להגן מפני סיכוני אבטחת סייבר נוספים וכאלו שאינם מוכרים עדיין.
השלכות על הביטחון הלאומי של ארצות הברית
סנאטורים אמריקאים תודרכו בנושא והביעו דאגות עזות וקראו לפעולה בעקבות גילוי קמפיין הריגול הסייבר המאסיבי של סין. הסנאטור מארק וורנר תיאר זאת כ”פריצת הטלקום הגרועה ביותר בהיסטוריה של האומה שלנו” סנאטורים משתי המפלגות דורשים רפורמות מיידיות שיישפרו את מצב האבטחה של ספקיות התקשורת. הסנאטור הדמוקרטי רון ווידן החל לנסח חקיקה לשיפור אבטחת הטלקום, והסנאטור אריק שמיט דחק בפנטגון לאכוף אמצעי אבטחת סייבר חזקים יותר עבור הספקים שלו עצמו. הסנאטור הרפובליקני ריק סקוט מתח ביקורת על הממשלה על כך שלא הצליחה לזהות או למנוע את הפריצה מוקדם יותר, וקרא לאחריות ופתרונות. ישנם גם קולות הקוראים לתגובה משמעותית יותר כנגד סין עצמה.
הסוף למעקב?
המלצה של הרשויות לעבור להשתמש באמצעי תקשורת מוצפנים מקצה לקצה (שאינם מתבצעים על גבי תשתית הטלקו המסורתית) שומטת את השטיח מתחת לכוונה של המחוקק של CALEA, שנתן לרשויות בארצות הברית יכולת בלתי מוגבלת לצוטט (או ליירט תשדורות מכל סוג, באישור צו בית משפט כמובן) לאזרחיה.
חוק CALEA (ראשי תיבות של Communications Assistance for Law Enforcement Act) הוא חוק אמריקאי שנחקק בשנת 1994. מטרתו העיקרית הייתה להבטיח שספקי תקשורת יוכלו לספק גישה למידע לרשויות אכיפת החוק לצורך האזנות חוקיות. החוק נוצר בתקופה שבה טכנולוגיות דיגיטליות הפכו לדומיננטיות, והיה צורך לעדכן את היכולת של רשויות החוק לבצע ציתותים גם במערכות החדשות הללו.החוק מחייב ספקי תקשורת (כמו חברות טלפוניה, אינטרנט, ושירותי מסרים) להטמיע במערכות שלהם מנגנונים שיאפשרו לרשויות לבצע ציתותים, בתנאי שיש צו בית משפט המורה על כך. . אם אכן האזרחים ינהגו על פי ההמלצה, המעקב אחריהם יהפוך קשה יותר. ייתכן שבאופן פרדוקסלי, דווקא אחת מפרצות האבטחה החמורות בהיסטוריה, כזו שהביאה לגניבת מידע במימדים היסטורים ולפגיעה בפרטיות של מיליונים- תביא לשיפור בפרטיות של אזרחי ארה”ב (או לפחות תקשה על השלטונות שם לאסוף את המידע הזה).
