הפריצה הגדולה למשרדי ממשלה בחו"ל

בימים האחרונים אנחנו שומעים על כך שהתגלתה פריצה לארגונים ומשרדים ממשלתיים בארה"ב, בבריטניה ובמקומות אחרים, והאצבע מופנית כלפי הרוסים, ספציפית כלפי קבוצת APT29.

אחד הדברים היחודיים בפריצה הזו היא הדרך הגאונית שבו החליטו לפרוץ לאותם משרדים ממשלתיים ולתשתיות. ב-APT29 לא ניסו לפרוץ חומות אש, או כל דבר מבחוץ. הם החליטו לעשות שיעורי בית ולבדוק לגבי מכנה משותף בין משרדי ממשלה, ארגונים בטחוניים ועוד – מהו הכלי/פלטפורמה/תוכנה שרובם משתמשים?

התשובה היתה: פלטפורמת Orion של Solarwinds לניטור המערכות של הארגון.

אחרי שהם הבינו זאת, ב-APT29 פשוט פרצו אל Solarwinds ולקחו שליטה על שרת העדכונים, ומדי פעם הם החליפו את קבצי העדכונים בקבצים שהם Weaponized (כלומר – קבצים הכוללים כלי שליטה ושלל כלים אחרים עבור הפורצים). מערכת ה-ORION היתה מקבלת שדרוג מהשרת הפרוץ, השדרוג היה מותקן אוטומטית בארגון (שום מערכת IPS/IDS לא קופצת על עדכונים כאלו, כי אין להן שום דרך לדעת על העדכון), ולאחר מכן הקבוצה יכלה "לדבר" עם שרת הניטור דרך C&C, לשלוח פקודות, לקבל פלט, לקבל קבצים ומידע וכו'. הכניסה הזו הוותה בעצם "שער אחורי" שממנו הקבוצה חקרה את התשתית הפנימית של הארגון והחלה "לעבוד".

מדוע אני חושב ששיטה זו "גאונית"? הסיבה לכך פשוטה: לא חשוב כמה הארגון הגדיר את התקשורת ואת חוקי ה-Firewall או ה-IPS/IDS בארגון. בדרך כלל נותנים גישה לתוכנת הניטור לכל שרתי הפרודקשן. אינני מדבר על גישת username/password אלא גישה ספציפית לנטר את השרת, הן מבחינת משאבים (דיסק, רשת, CPU וכו') והן מבחינת שרותים שרצים על השרתים. במילים אחרות, גם בלי Agent בכל שרת, במערכת הניטור יש מספיק ידע כדי לדעת מה השרתים שיש, כמה, ומה רץ עליהם, ובחלק מהמקרים מוגדרים שם משתמש וסיסמא כדי להיכנס לשרות. במקרים שיש Agent מותקן, אז כל מה שצריך הוא להכניס Agent "נגוע" לשרת הניטור שיפיץ את ה-Agent לכל השרתים המנוטרים ומשם אפשר להיכנס ולשאוב את המידע מבלי "להקפיץ" מערכות אבטחה. זיכרו: התקשורת בדרך כלל בין שרת הניטור לשרתים האחרים ברוב הארגונים אינה מנוטרת מבחינת אבטחה/רוחב פס, DLP וכו'.

אבל כאן זה לא נגמר.

בימים האחרונים התברר לחרדתם של אותם משרדי ממשלה, שהרוסים "ישבו" על השרתים זמן רב – שנע בין חודשים לשנים, ולכל ארגון או משרד ממשלתי, הם עשו עבודה רצינית של מיפוי, בדיקת חולשות ופריצה שלא הקפיצה שום מערכת IPS/IDS. קחו לדוגמא את המקרה שחברת האבטחה Volexity מצאה כי APT29 מצאו שיטות לעקוף MFA, וגניבת תעודות פנימיות על מנת ליצור/לעקוף חתימות ובכך להיכנס למערכות פנימיות מסווגות. ניתן לקבל עוד פרטים בקישור הזה ואני מאמין שאחרים יוסיפו קישורים נוספים עם יותר מידע.

אז מה ניתן לעשות?

אם אתם משתמשים ב-Orion, כדאי בדחיפות לבדוק איזו גירסה יש לכם ולעקוב אחר ההוראות של Solarwinds. במקביל, אני ממליץ לעבור על קבצי LOG לבדוק התנהגות חשודה (לא שתגלו הרבה אם זה APT29, הם עושים את כל המאמצים לא להתגלות ולא להקפיץ מערכות). בנוסף, יכול להיות שהגיע הזמן לרכוש ביטוח סייבר ולמצוא חברה רצינית (לא אדם יחיד) לבצע בדיקות Penetration Testing לארגון.

לסיכום: קבוצות במימון ממשלתי כמו APT29 הן קבוצות שעובדות בשקט ואינן מחפשות (בדרך כלל) לסחוט או להטמיע תוכנות כופרה בארגונים שהם פורצים אליהם. המטרה הראשית – לגנוב מידע, לזהות חולשות, ורק ב"יום הדין" – להשתמש בחולשות כדי "להכות" בארגון (רק כשמגיעה הוראה מגבוה). זו הזדמנות מצוינת לבדוק את המערכות, ולרענן נהלים שיקחו בחשבון טכנולוגיות של השנים האחרונות, במקום "לשנות סיסמא", ואולי – רק אולי, לקחת את עניין האבטחה בחלק מהארגונים – קצת יותר ברצינות.