חברת הסייבר הישראלית סיגניה (Sygnia) סייעה לבלום מתקפת סייבר חמורה מצד קבוצת האקרים בחסות סין המכונה Velvet Ant ("נמלת הקטיפה") אשר נחשבת לאחת המתוחכמות בעולם. בדו"ח חדש חושפת סיגניה, שלב אחר שלב, את פעולות נטרול התקיפה שבוצעה בסוף 2023 כלפי ארגון גדול שנפל קורבן ופנה לעזרת סיגניה.

החקירה חשפה קבוצת תקיפה מתוחכמת שהפגינה יכולות חזקות עם גישה שיטתית, כאשר הראיות שנאספו מצביעות על כך שהתוקפים פועלים בחסות סין. חקירת סיגניה העלתה גם כי התוקפים שמרו על נוכחות ממושכת ברשת המקומית של הארגון במשך כשלוש שנים, והצליחו להשיג דריסת רגל חזקה והיכרות אינטימית עם הרשת הארגונית, כאשר מטרתם הייתה לשמור על גישה לרשת לצורך ריגול. בדו"ח, חוקרי סיגניה מספקים עצות עבור ארגונים וחברות כיצד להתגונן מבעוד מועד מפני מתקפות דומות, בהתבסס על הפעילות ההגנתית שבוצעה עבור אותו ארגון גדול.

בסיגניה מציינים כי במהלך המתקפה עשו ההאקרים שימוש בכלים ובטכניקות שונות על מנת לחדור למערכות קריטיות של הארגון ולהשיג גישה למידע רגיש. כמו כן, משך הזמן הארוך של המתקפה איפשר להאקרים להכיר את תשתית הרשת המורכבת של הארגון, וכן להסתיר מנגנוני התמדה (persistence mechanisms) באזורים שלא נחשפו אליהם. בנוסף, ההאקרים הסינים ניצלו נקודות כניסה שונות על פני תשתית הרשת של הקורבן, דבר המעיד על הבנה מקיפה של סביבת היעד.

עוד מציינים בסיגניה, כי מקרה זה מדגיש את החשיבות של ביסוס אסטרטגיות הגנה עמידות מפני איומים מתוחכמים - במיוחד אלו שמציבות קבוצות שמאחוריהן עומדת מדינה, ובמקרה זה, סין. בחברה ממליצים לנקוט גישה הוליסטית להפחתת איומים אלו, המשלבת ניטור מתמשך של איומים עם מנגנוני תגובה יזומים - כולל ציד איומים תקופתי ושיטתי - לצד בקרות תעבורה מחמירות ונהלי הקשחת מערכות הן עבור מכשירים מדור קודם והן לציבור. על ידי אימוץ גישה כזו, ארגונים יכולים לשפר את יכולתם לזהות, להרתיע ולנטרל את האיום המתמשך מצד קבוצות האקרים הפועלות בחסות המדינה.

מהדו"ח עולה גם כי קבוצת Velvet Ant ביססה ושמרה על מספר אחיזות בסביבת החברה הנפגעת, כאשר אחד המנגנונים ששימשו לכך היה מכשיר F5 Big IP מדור קודם, שהיה חשוף לאינטרנט, ועליו התוקפים התקינו כלים אשר איפשרו להם להריץ פקודות מרחוק ולהפוך אותו לשרת שליטה פנימי. לאחר שהתגלתה ונבלמה אחיזה אחת של התוקפים, הם "התהפכו" במהירות והשיגו אחיזה אחרת, תוך שהם מפגינים זריזות ויכולת הסתגלות בהתחמקות מגילוי.

עוד ב-

אנבידיה מציגה מהפכה בעולם הסייבר: השותפה הישראלית נחשפת

לכתבה המלאה

על אף שסיגניה בלמה ונטרלה בסופו של דבר את התוקפים, בחברה מציינים כי תהליך הנטרול דמה למשחק בלתי פוסק של חתול ועכבר. למרות המאמצים החריפים של סיגניה לתקן מערכות שנפגעו ולשפר את הנראות ל-hosts ולהתקני רשת, קבוצת התקיפה עלתה שוב ושוב דרך שימוש במנגנוני התמדה רדומים (dormant persistence mechanisms) במערכות לא מנוטרות.