"בתי הקברות מלאים באנשי IT שלא ידעו שהותקפו"
כך על-פי סנז ישר, אנליסטית ראשית בפייראיי ישראל ● לדבריה, "על-מנת לנצח את הרעים נדרש להיות כמוהם ולשהות איפה שהם נמצאים - יש לנו מערך אנושי במדינות שונות, המנהל שיח עם הפושעים, כדי לקבל את המידע מהר יותר"
"אחת הבעיות שאנו רואים כאשר אנו חוקרים פריצות, היא שהקורבנות כלל לא יודעים שהם נפרצו, והתוקף יכול להסתובב במערך המחשוב של הארגון ימים, שבועות וחודשים. בתי הקברות מלאים באנשי IT שלא ידעו שנפרצו", כך אמרה סנז ישר, אנליסטית ראשית, פייראיי ישראל.
ישר דיברה בכנס Cyber Defence Live Israel, שערכה ענקית אבטחת המידע. הכנס, בהפקת אנשים ומחשבים, נערך ביום ה' האחרון במלון דן אכדיה בהרצליה, בהשתתפות מאות מלקוחות החברה ושותפיה העסקיים.
"1,600 קבוצות האקרים חסרות שם"
"על מנת לנצח את הרעים", אמרה ישר, "נדרש להיות כמוהם ולשהות איפה שהם נמצאים. יש לנו מערך אנושי במדינות שונות, המנהל שיח עם הפושעים, כדי לקבל את המידע מהר יותר".
"בסוף כל אירוע אבטחה", ציינה ישר, "יש אירוע חדש, ויש לבנות לארגון את מערכת החיסון לאירוע הבא. לטובת הדבר הזה אנו חוקרים את התוקפים. לא מספיק לחקור את הנוזקות שלהם. צריך לדעת אילו כלי תקיפה הם ינצלו בעתיד. מושאי המחקר שלנו הם התוקף, הכוונות, התשתיות והכלים שהוא משתמש".
"יש לנו 1,600 קבוצות האקרים חסרות שם", ציינה, "אנו 'מגדלים' אותם כמו זרעים, עד שהם יצמחו ויזכו לקבל שם. לא מספיק 'תנ"ך' של רשעים, יש לנו גם 'פרשת השבוע' – מי פעיל בשכונה, מה הדופק של האויב, מי נעלם, מי שינה כלים".
ישר הציגה תחקור מפורט של אירוע תקיפה של ארגון בארץ. "פעלנו במרוץ נגד הזמן", אמרה, "שרשרת ההכלה של אירוע התקיפה החלה בהתרעה, לאחר מכן בתמיכת המודיעין, לאחר מכן הגיע צוות תגובה והכלה של האירוע, סיכום וייחוס לתוקף. זה כמו משחק 'סולמות ונחשים' – צעד קדימה ושניים אחורה".
שיטות של המודיעין האיראני – תקיפה סינית
"לקוח צלצל ואמר שיש אירוע שמטריד אותו", ציינה, "הצלחנו לנבור ולהבין מה קרה. זיהינו Webshell, ששימש את התוקף כנכס טכנולוגי, לשוטט במערך המחשוב של הארגון. הוא היה בשימוש קבוצת האקרים אירנית מ-2015. למרות זאת, לא הם היו התוקפים. מעט לפני האירוע הוא נחשף בסדרת הדלפות בטלגרם, שחשפה את שיטות התקיפה של המודיעין האיראני".
לדבריה, "גילינו כי לקוחות רבים קיבלו התרעה, משמע – התוקף תקף באופן רחב ולא ממוקד. הבחנו שהתקיפה החלה באמצעות ניצול חולשת יום אפס של SharePoint. כשהתוקף נכנס, הוא המשיך להתקדם ברשת הארגונית. עירבנו את איש המודיעין שלנו. באנו ללקוח להבין האם יש תקיפה, האם היא צלחה, ומה היקפה. מצאנו שהתקיפה הייתה על שרת Web פנימי, דרך לקוח צד ג'. חקרנו מה הקשר, מהי הלוגיקה העסקית בין הלקוח שלנו וצד ג'. ראינו שלא כל תחנות הקצה היו מוגנות. בשלב הזה התוקף עוד לא ידע שאנו יודעים עליו. אחרי יום של סריקות ראינו את ניצול החולשה בעוד שרתים, ורדפנו אחרי ההאקר – שרת אחר שרת. חקרנו את הקבצים וגילינו שהם מכילים נוזקות חבויות. זה מאפיין פעילות של האקרים סיניים: טעינת נוזקה בזיכרון על ידי 'התעלקות' לקבצים לגיטימיים. היה זה תוקף מהיר ונדיף".
"זיהינו תבנית ספציפית שמאפיינת קבוצת האקרים סינית ספציפית", אמרה ישר, "לא מצאנו מה יכולות התוקף המצליח להסתתר. חיפשנו את שרת הפיקוד הנותן הוראות לנוזקה. הסתבר שההאקרים היו חוצפנים: המידע שמכיל את פרטי שרת הפיקוד, הסתתר אצל הקורבן באופן מוצפן. גילינו את הנוזקה, נתנו לה שם, חתימת YARA, חיפשנו אותה בעולם והעברנו את המידע למודיעין. חמישה ימים אחרי האירוע גילינו שמשימת העל של התוקף – כשלה. בכל תחנה הוא ניסה להגיע למקום מסויים – הבנו שהוא מחפש משהו. שבוע לאחר תחילת התקיפה, הגשנו המלצות לריפוי לטווח קצר וארוך".
"לאחר שבעטנו את התוקף", סיכמה ישר, "חזרנו לשגרה מפוקחת. התברר שלפחות שני שחקני איום ניצלו את החולשה. התוקף פעל גם במקומות אחרים בעולם. הם ניצלו את החולשה, שהייתה החוליה החלשה בשרשרת. הקורבן כנראה לא היה יעד – אלא ההאקר מצא חולשה ונכנס. להערכתנו זהו תוקף סיני, כינינו את הקבוצה APT 41, הייתה זו הפעם הראשונה שהוא פעל באזור. מדובר בקבוצה שלוחת ממשל, שמטרתה ריגול וגניבת כסף. עם זאת, למפתחים יש מטרה כפולה ו'על הדרך' הם מנסים להרוויח כסף מפשעי סייבר. זהו תוקף אגרסיבי, שופע משאבי תקיפה, המשקיע המון בפיתוח טכנולוגי ובשיתוף כליו עם קבוצות אחרות. הוא תקף, להערכתנו, כי הוא היה יכול".
תגובות
(0)