מתקפת Salt Typhoon, המיוחסת לגורמים סיניים הקשורים, על פי הפרסומים, ישירות למשרד לביטחון המדינה ולצבא השחרור העממי, היא ככל הנראה אחת מפעולות הסייבר המקיפות והחמורות ביותר שנראו עד כה. בעבר, רוב פעילות הריגול המדינתית כוונה למערכות ממשל, צבא ותשתיות קריטיות, אולם "טייפון המלח" מייצגת שינוי מגמה דרמטי: חדירה רחבת היקף לרשתות תקשורת, איסוף מסיבי של מידע אישי, והקמה שיטתית של תשתית התקפה לאורך שנים.
לפי נתוני ה-FBI, הקמפיין החל לפחות ב-2019 ונחשף רק ב-2023. כלומר, הסינים פעלו במשך שנים ללא הפרעה. במהלך התקופה הזו נפגעו יותר מ-200 ארגונים אמריקאים, ביניהם חברות תקשורת גדולות כמו Verizon ו-AT&T, לצד גורמים ממשלתיים בכירים. ההערכות מדברות על פגיעה ישירה ביותר ממאה נושאי תפקידים בממשלים אמריקאיים, בהווה ובעבר.
סולט טייפון לא מתמקד רק באישים בדרג גבוה. הקמפיין הסיני אסף מידע על מיליוני אזרחים: נתוני מיקום, ניטרו תעבורת אינטרנט ובחלק מהמקרים גם תוכן שיחות טלפון.
מדוע הסינים מעוניינים לאסוף מידע אישי בקנה מידה כזה?
- מודלים של בינה מלאכותית: מאגרי מידע עצומים מאפשרים לאמן מערכות AI מתקדמות, לשפר יכולות עיבוד שפה, זיהוי דפוסים ויכולות מעקב.
- מיפוי אוכלוסיות: ניתוח תעבורה, מיקום ותקשורת מאפשר להבין תנועות, קשרים חברתיים ומבנים ארגוניים.
- תשתית למבצעי עתיד: מידע אישי יכול לשמש בסיס למבצעי השפעה, סחיטה, או מתקפות ממוקדות בעתיד.
כאשר מצרפים את הנתונים לסטים קודמים של דאטה שנגנבו, ניתן להניח שהסינים הצליחו לבנות בסיס נתונים עצום על פרטים וארגונים בכל העולם.
הגילויים של Silent Push
בספטמבר 2025 פירסמו חוקרי Silent Push ממצאים חדשים על המתקפה. הם זיהו 45 דומיינים שלא דווחו בעבר, הקשורים ל-Salt Typhoon ול-UNC4841. חלקם נרשמו כבר ב-2020, מה שמעיד כי ההיערכות למתקפה החלה שנים לפני הגילוי.
UNC4841 היא קבוצת תקיפה מתקדמת (APT) שמקורה בסין, ונחשפה לאחר שניצלה פרצת Zero Day חמורה במכשירי Barracuda. החוקרים זיהו פעילות מתמשכת של הקבוצה מאז 2022, שכללה חדירות למערכות ממשלתיות, צבאיות ועסקיות ברחבי העולם. UNC4841 מפעילה מגוון כלי ריגול ותוכנות זדוניות ייעודיות שנבנו במיוחד כדי להשתלב במערכות לגיטימיות ולהבטיח שליטה ארוכת טווח בתוך רשתות יעד.
הממצאים של Silent Push מצביעים על חפיפה בין התשתיות של UNC4841 לאלו של Salt Typhoon, מה שמעיד על קשר הדוק בין הקבוצות ועל שימוש במבנה מבוזר של קבלני משנה לצורך קמפיינים גלובליים רחבי היקף.
החוקרים זיהו תבניות ברישומי WHOIS וב-SOA, שימוש בכתובות דוא"ל חד-פעמיות וזהויות בדויות בארה"ב. חלק מהדומיינים עדיין פעילים, ואחד אף נרשם באפריל 2025, מה שמעיד על כך שהפעילות נמשכת – למרות שנחשפה. Silent Push הדגישו כי מדובר ב-Indicators of Future Attack – תשתית שנבנית מראש לקראת ניצול עתידי.
Salt Typhoon חושפת את האסטרטגיה הסינית המסתמכת על חברות קבלן פרטיות לביצוע פעולות סייבר התקפיות. חברות סיניות שונות זוהו בדוחות חקירה כשחקניות שהקימו והפעילו תשתיות תקיפה באופן ישיר עבור משרד הביטחון וצבא השחרור העממי. מודל פעולה זה מאפשר לממשלת סין להתנער רשמית מפעילויות אלו, תוך שהיא נהנית בפועל מתוצרי המודיעין שנאספו.
לקחים מ"טייפון המלח"
- בחנו מחדש את שרשרת האספקה: מכיוון ש-Salt Typhoon הדגימה שימוש בקבלני משנה וצדדים שלישיים לביצוע התקפות, ארגונים חייבים להדק את בדיקות האבטחה והחוזים עם ספקים וקבלני משנה. ודאו שהספקים שלכם עומדים בסטנדרטים מחמירים של אבטחת מידע ושיש לכם נראות ובקרה על הגישה שלהם למערכות שלכם.
- השקיעו בזיהוי איומים מתקדם: התקפות שמגיעות ממדינה, גם אם הן מבוצעות דרך קבלנים, נוטות להיות מתוחכמות ומתמשכות (APTs). מומלץ להשקיע בפתרונות זיהוי איומים המבוססים על AI/ML, ניתוח התנהגות (UEBA) ומודיעין איומים כדי לזהות חריגות ופעילויות חשודות בזמן אמת, ולא להסתמך רק על חתימות ידועות.
- יישום עקרונות Zero Trust: ידוע שהתוקפים מנסים להתחזות לגורמים לגיטימיים או לנצל הרשאות קיימות, ולכן ארגונים צריכים לאמץ את גישת ה"אפס אמון". המשמעות היא לא לאפשר גישה אוטומטית למשאבים מתוך הרשת הארגונית, אלא לאמת כל משתמש ומכשיר לפני מתן גישה, לבצע מיקרו-סגמנטציה וליישם הרשאות לפי "Need to know".
- הקפידו על הכשרת העובדים שלכם: גם אם התקיפה מגיעה מגורמים מתוחכמים, חולשות אנושיות הן עדיין נקודת כניסה נפוצה למערכות. יש לבצע הכשרות סייבר שוטפות לעובדים, לדמות תרחישי פישינג וללמד אותם לזהות ניסיונות הונאה ואיומים.
- הקימו צוות תגובה מהירה: גם עם ההגנות הטובות ביותר, ארגונים צריכים להיות מוכנים לאפשרות של פריצה למערכות, דלף מידע או נזקי כופרה. יש לפתח ולתחזק תוכנית תגובה לאירועים, לתרגל אותה באופן קבוע, לוודא שיש צוות ייעודי וכלים מתאימים לטיפול מהיר ויעיל באירועי סייבר.
