על קורונה, סייבר וברבורים
גדעון ציבולסקי, מנהל צוות SOC ב-BugSec, מפרט על חמש מתקפות הסייבר המרכזיות שמשבר הקורונה הביא אתו
כמו כל מקרה של "ברבור שחור" – התרחשות של אירוע נדיר אך בעל סבירות, שמשנה תפיסות עולם בתחומים רבים בפתאומיות, גם מגפת הקורונה שינתה את חיי כולנו, בכל רחבי העולם, במהירות ובעוצמה שאין מי שציפה לה. כמו התנודות בכלכלות העולם ואי הוודאות של רבים כל כך, כמו הריחוק החברתי וקריסת תרבות הפנאי, הבידור והספורט, כמו התהפוכות במערכת החינוך, הרווחה והבריאות, כך גם המרחב הדיגיטלי עבר שינויים מהותיים בחודשים האחרונים וכחלק אינטגרלי ממנו, גם הגורמים הזדוניים הפועלים בו.
בעקבות ההגבלות שהטילו ממשלות רבות בניסיון להיאבק בהתפרצות המגיפה בשטחן, חברות וארגונים רבים נאלצו לספק, בזמן קצר וללא כל הכנה, פתרונות לסביבת עבודה שתאפשר התחברות של עובדים מרחוק, תוך כדי הנגשה של מערכות הארגון הפנימיות, במטרה לאפשר המשכיות עבודה. הצורך הפתאומי והדחוף לייצר סביבת עבודה שכזאת גרם לחברות רבות לנקוט בצעדים פזיזים, שלא הביאו בחשבון את מכלול נושאי אבטחת המידע שיש להתייחס אליהם, כגון חוסר יכולת שליטה או ניטור של מכשירי קצה בסביבת עבודתו הפרטית של העובד, הגדלת שטח התקיפה של החברה על ידי הנגשת שירותים פנימיים לחיבור מבחוץ ושימוש בתוכנות ומערכות חדשות ללא קביעת תצורת מאפייני אבטחה מתאימים, ובכך חשפו את עצמן להתקפות ואיומי אבטחת מידע חמורים, שבהינתן היערכות מספקת היו נחסכים.
הגורמים הזדוניים במרחב הדיגיטלי הגיבו להלך הרוחות ושינו את טכניקות התקיפה שלהם בהתאם. זאת, החל מנוכלים שמציעים עסקאות במחירים "אטרקטיביים" על מוצרי היגיינה מבוקשים ואז נעלמים עם התשלום ועד לקבוצות תקיפה מתקדמות, לפעמים בתמיכת ממשלות, שמבצעות תקיפות נרחבות על שרתים חדשים, חשופים ולא מעודכנים, וסורקות בקביעות רשתות שלמות, בתקווה לאתר שרת פגיע. אחת הקבוצות ששו את זה בחודשים האחרונים הייתה מוסטנג פנדה מסין.
חמש המתקפות הנפוצות שקשורות לקורונה
דיווחים מצוותים ברחבי העולם מעידים על זינוק בכמות אירועי האבטחה החל מינואר ונראה כי התוקפים מוצאים שיטות מגוונות לניצול המצב. חמש המתקפות הנפוצות הקשורות למגפת הCOVID-19, נכון לרגע זה, הן:
- פישינג / ספייר פישינג – כמו תמיד, מתקפות אלה הן הנפוצות ביותר, אך בנוסף לקמפיינים הרגילים, נצפו אלפי קמפיינים חדשים, שמציעים עדכונים, סטטיסטיקות ואפילו משחקים שקשורים למגפת הCOVID-19. המטרה של רובם ככולם של קמפיינים אלה היא אחת: לגנוב סיסמאות ושמות משתמשים.
• כופרות – קמפיינים רבים של כופרת Maze נצפו בחודשים האחרונים, וחברות וארגוני ענק בינלאומיים, כגון ארגון הבריאות העולמי, בית החולים האוניברסיטאי ברנו בצ'כיה ומספר חברות IT בארצות הברית, נפלו קורבן למתקפות שהיו בעלות נושא שקשור למגיפה. כעת הן מבצעות חקירה מקיפה ותהליכי פרסום בנושא, כנדרש על פי החוק. - נוזקות זום – הוקמו אלפי דומיינים שמתחזים לאתרים לגיטימיים ומציעים הורדה של תוכנת זום מקורית לכאורה. הקבצים בדרך כלל מכילים מספר "תוספות", לצד תוכנת הזום. כמו כן, קמפיינים נרחבים של נוזקת Emotet נגד תאגידים פיננסיים זוהו ברחבי העולם.
-
גדעון ציבולסקי, מנהל צוות SOC ב-BugSec. צילום עצמי
זום בומבינג – הצורך בתקשורת רציפה ונוחה גרם למאות אלפי עובדים ברחבי העולם לפנות לפתרונות כמו זום ו-וובקס. בשתי התוכנות הללו התגלו בעיות אבטחה קריטיות בחודשים הקודמים להתפרצות המגיפה. תוקפים רבים מודעים אליהן ומנצלים אותן למטרת גניבת מידע משיחות, אך לא רק. בסוף החודש שעבר הוצע למכירה ברחבי הדארקנט מאגר של יותר מחצי מיליון שמות משתמשים וסיסמאות לזום ולסקייפ.
- Card Skimmers – ההגבלות וההסגרים ברחבי העולם גרמו לחברות קטנות ומקומיות להציע אפשרויות רכישה אונליין ותשלום בכרטיס אשראי. קבוצות ה-Magecart השונות ודומותיהן מודעות למצב החדש ועושות מאמצים לשים ידיהן על מספרי האשראי על ידי הטמעת קוד זדוני בדפי התשלום. אתרים רבים כבר התגלו כ-"נגועים" והסברה היא שמספר זה רק ילך ויגדל בחודשים הקרובים.
- מעבר למתקפות המקוריות הנ"ל והיכולות היצירתיות של התוקפים בכל רחבי העולם, יש את הנושא של העובד עצמו – העובד הפשוט שיושב בביתו, מול צג המחשב, במרחק יד מדלת המקרר, מנסה להתמודד עם בקשות בני ביתו יחד עם המצב הטכנולוגי החדש ובינו ובין ברבורים (בטח שחורים) אין כל קשר. מבחינתו, מתקפות סייבר הן חלק מהמיסטיקה השחורה של שנות האלפיים, שלא נוגעת אליו. כל רצונו הוא לגשת לקובץ האקסל ששלח אליו המנהל תוך כדי שליחת יד לכיוון הפיצה מאתמול, שיושבת במדף השני של המקרר, ליד הפירות.
בסופו של יום, לאור המצב, המיקוד חזר אל העובד וסביבת עבודתו הביתית, על כל המשתמע מכך. צוות מקצועי עם תפיסת אבטחה הוליסטית שתגדיל את יכולות הניטור והשליטה בתשתיות ומערכות העובד, כולל הכשרת העובד עצמו למודעות, הם המפתח להתמודדות של כל חברה עם אירועים בינלאומיים, צפויים או מפתיעים, שחורים או לבנים. בהצלחה.
הכותב הינו מנהל צוות SOC ב-BugSec.
כתיבה נהדרת, תובנות נפלאות. רב תודות.