הפריצה הגדולה למשרדי ממשלה בחו"ל

בימים האחרונים אנחנו שומעים על כך שהתגלתה פריצה לארגונים ומשרדים ממשלתיים בארה"ב, בבריטניה ובמקומות אחרים, והאצבע מופנית כלפי הרוסים, ספציפית כלפי קבוצת APT29.

אחד הדברים היחודיים בפריצה הזו היא הדרך הגאונית שבו החליטו לפרוץ לאותם משרדים ממשלתיים ולתשתיות. ב-APT29 לא ניסו לפרוץ חומות אש, או כל דבר מבחוץ. הם החליטו לעשות שיעורי בית ולבדוק לגבי מכנה משותף בין משרדי ממשלה, ארגונים בטחוניים ועוד – מהו הכלי/פלטפורמה/תוכנה שרובם משתמשים?

התשובה היתה: פלטפורמת Orion של Solarwinds לניטור המערכות של הארגון.

אחרי שהם הבינו זאת, ב-APT29 פשוט פרצו אל Solarwinds ולקחו שליטה על שרת העדכונים, ומדי פעם הם החליפו את קבצי העדכונים בקבצים שהם Weaponized (כלומר – קבצים הכוללים כלי שליטה ושלל כלים אחרים עבור הפורצים). מערכת ה-ORION היתה מקבלת שדרוג מהשרת הפרוץ, השדרוג היה מותקן אוטומטית בארגון (שום מערכת IPS/IDS לא קופצת על עדכונים כאלו, כי אין להן שום דרך לדעת על העדכון), ולאחר מכן הקבוצה יכלה "לדבר" עם שרת הניטור דרך C&C, לשלוח פקודות, לקבל פלט, לקבל קבצים ומידע וכו'. הכניסה הזו הוותה בעצם "שער אחורי" שממנו הקבוצה חקרה את התשתית הפנימית של הארגון והחלה "לעבוד".

מדוע אני חושב ששיטה זו "גאונית"? הסיבה לכך פשוטה: לא חשוב כמה הארגון הגדיר את התקשורת ואת חוקי ה-Firewall או ה-IPS/IDS בארגון. בדרך כלל נותנים גישה לתוכנת הניטור לכל שרתי הפרודקשן. אינני מדבר על גישת username/password אלא גישה ספציפית לנטר את השרת, הן מבחינת משאבים (דיסק, רשת, CPU וכו') והן מבחינת שרותים שרצים על השרתים. במילים אחרות, גם בלי Agent בכל שרת, במערכת הניטור יש מספיק ידע כדי לדעת מה השרתים שיש, כמה, ומה רץ עליהם, ובחלק מהמקרים מוגדרים שם משתמש וסיסמא כדי להיכנס לשרות. במקרים שיש Agent מותקן, אז כל מה שצריך הוא להכניס Agent "נגוע" לשרת הניטור שיפיץ את ה-Agent לכל השרתים המנוטרים ומשם אפשר להיכנס ולשאוב את המידע מבלי "להקפיץ" מערכות אבטחה. זיכרו: התקשורת בדרך כלל בין שרת הניטור לשרתים האחרים ברוב הארגונים אינה מנוטרת מבחינת אבטחה/רוחב פס, DLP וכו'.

אבל כאן זה לא נגמר.

בימים האחרונים התברר לחרדתם של אותם משרדי ממשלה, שהרוסים "ישבו" על השרתים זמן רב – שנע בין חודשים לשנים, ולכל ארגון או משרד ממשלתי, הם עשו עבודה רצינית של מיפוי, בדיקת חולשות ופריצה שלא הקפיצה שום מערכת IPS/IDS. קחו לדוגמא את המקרה שחברת האבטחה Volexity מצאה כי APT29 מצאו שיטות לעקוף MFA, וגניבת תעודות פנימיות על מנת ליצור/לעקוף חתימות ובכך להיכנס למערכות פנימיות מסווגות. ניתן לקבל עוד פרטים בקישור הזה ואני מאמין שאחרים יוסיפו קישורים נוספים עם יותר מידע.

אז מה ניתן לעשות?

אם אתם משתמשים ב-Orion, כדאי בדחיפות לבדוק איזו גירסה יש לכם ולעקוב אחר ההוראות של Solarwinds. במקביל, אני ממליץ לעבור על קבצי LOG לבדוק התנהגות חשודה (לא שתגלו הרבה אם זה APT29, הם עושים את כל המאמצים לא להתגלות ולא להקפיץ מערכות). בנוסף, יכול להיות שהגיע הזמן לרכוש ביטוח סייבר ולמצוא חברה רצינית (לא אדם יחיד) לבצע בדיקות Penetration Testing לארגון.

לסיכום: קבוצות במימון ממשלתי כמו APT29 הן קבוצות שעובדות בשקט ואינן מחפשות (בדרך כלל) לסחוט או להטמיע תוכנות כופרה בארגונים שהם פורצים אליהם. המטרה הראשית – לגנוב מידע, לזהות חולשות, ורק ב"יום הדין" – להשתמש בחולשות כדי "להכות" בארגון (רק כשמגיעה הוראה מגבוה). זו הזדמנות מצוינת לבדוק את המערכות, ולרענן נהלים שיקחו בחשבון טכנולוגיות של השנים האחרונות, במקום "לשנות סיסמא", ואולי – רק אולי, לקחת את עניין האבטחה בחלק מהארגונים – קצת יותר ברצינות.

4 תגובות בנושא “הפריצה הגדולה למשרדי ממשלה בחו"ל”

  1. מכנה משותף זו תמיד נקודת תורפה ולפריצה שלה יש תשואה מעולה…

    – תוספי נגישות וזה כבר קרה בארץ. יש חוק שמחייב אבל אין צל צילו של ספק שמישהו מהיוזמים והמקדמים ומה "אוכפים אזרחית" נתן דעתו על כך שהוא מכניס בדלת האחורית (תרתי משמע…) צרה צרורה.

    – דפדפנים עם עז שהושתלה בתהליך הבניה

    – כלי עדכון והפצת תוכנה כמו המקרה הזה, בייחוד כלים שלא רק בודקים ומתריעים אלא גם מתקינים.

  2. אני מוצא שהמשפט הזה, הוא איך נאמר?  מעט מגוחך… ולמצוא חברה רצינית (לא אדם יחיד) לבצע בדיקות Penetration Testing לארגון.בכל חברה, ולו תהיה הכי "רצינית" שבעולם, מה זה אומר אגב? עומד אדם שמבצע את הבדיקה. כן. אדם אחד.אלא אם מדובר ביחידות מודיעין שבהם יש חלוקה לשלבים שונים, נפרדים לגמריוזו בכלל אופרציה אחרת שאין באמת ארגונים שיכולים או מתכוונים לשלם עליה….צריך בדיקה מקצועית. וצריך לזכור שהיא לוקחת זמן.התעריפים ירדו מאודוחלק גדול בכלל ממלאים "שאלון" האם עשית את זה? כמובן Vתכלס, למצוא מקצועיות. חברה גדולה? חשבונית יותר גדולה. לא בהכרח בדיקה רצינית יותר. ברוב המקרים אולי אף פחות….אחרי הכל, יש להם "נהלים" ..

    1. אוקיי שי, תרשה לי להסביר את עצמי.
      כשאני מדבר על "אדם" ו-"חברה", אינני מדבר על כך שאני ממליץ לקחת את חברה X כי יש בה Y עובדים, ולפיכך צריך לשכור את שרותיה. אני מתכוון שבבדיקה לארגון, יש הרבה תשתיות ומומלץ לקחת חברה שמספר אנשי אבט"מ יגיעו לארגון ויתפרסו על התשתית כדי למפות ולבנות תוכנית בדיקה יסודית, במקום לסמוך רק על סריקה של כלים כמו nmap, nessus וכו'.
      המטרה שלי בכתיבת הדברים היא להתריע בפני ארגונים על מצב ה"חאפרים" הקיים ביום בשוק, שמישהו למד אבט"מ באיזה קורס כלשהו, והידע שלו בתוך OS כמו לינוקס או לעומק Windows שווה בערך לידע שיש לחתולים שלי.
      כמובן, אם אתה מציע את שרותיך לארגון שיש לו נניח 10-15 שרתים ואתה יכול לספק לו שרותים בצורה מלאה הכוללים בדיקה מדוקדקת של כל שרת וכל שרות שרץ בשרת – אז אהלן וסהלן.

  3. בהחלט המצב היום מעט בעייתי
    ראשית,
    וזה מתחיל במילוי שאלונים…."בהסמכות" ובסקרי אבטחה  ממלאים שאלונים , מפורטים, כן? 🙂
    וזה אמור להיות סקר או  חלק מסקר אבטחה 🙂

    מי בכלל בודק מה סומן שם…. סומן? זה תקין

    בדיקות החדירות עצמן, יפה כתבת בפוסטים קודמים,  אם אתה בא עם KALI כנראה שחבל על הכסף…
    אם מריצים  netsparker  וגם nessus זה צריך להיות רק ההתחלה לקבל מושג, ומשם לבדיקות אמיתיות יותר
    לא משם להוציא  דו"ח…

    אבל הגישה שלך, שנקרא לה "הוליסטית"?  היא כמובן הנכונה

    הנה, דרך כלי צד ג', בוצעה חדירה שמי יודע כמה נזק עשתה
    בלי שום  גילוי והתרעה…

    אכן, צריך לחשוב על הכל…. וזה בטח לא בבדיקת אבטחה של 8 ל 15 אלף, ו"גם זה הרבה"  🙂

    מסכים איתך לחלוטין שזה יותר ההבנה שחייבים לעבור על הכל כולל ובמיוחד מה שנראה "מובן מאיליו" עיין ערך גישה לכלי ניטור….

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אתר זה עושה שימוש באקיזמט למניעת הודעות זבל. לחצו כאן כדי ללמוד איך נתוני התגובה שלכם מעובדים.