logox
Youtube Linkedin Facebook
חיפוש
logox
Youtube Linkedin Facebook
חיפוש
Rss Youtube Linkedin Facebook Instagram
חיפוש
CCSN logo Hebrew white

פגמי אבטחה שנוצלו על ידי האקרים רוסים

41891912 cybersecurity mixed media with virtual padlock scaled e1668924455341

מי שעוקב אחר חדשות הסייבר, בוודאי נתקל בשלל איומי סייבר שמגיעים מכיוון איראן, רוסיה, סין וצפון קוריאה. אותם האקרים שמבקשים לפגוע בעיקר יוצאים במתקפות נגד סוכנויות ממשלתיות, כאשר המניע העיקרי הנו רווח מודיעיני. ראוי לציין שגם ישראל סבלה מכך, אם כי באופן יחסי. 

בשל המצב נערך ייעוץ משותף בין סוכנות אבטחת תשתיות הסייבר, והסוכנות לביטחון לאומי והFBI, ואף הוחלט על מעקב באמצעות שימוש בקוד פתוח, כגון Cozy Bear.

פגמי אבטחה

ממצאים מצביעים על כך שאותם האקרים מנצלים שלל פגמי אבטחה, וזאת תוך שימוש בשורה ארוכה של פגיעויות, כגון CVE-2019-9670, CVE-2019-9670 Zimbra, CVE -2019-7609 Kibana, CVE-2020-5902 F5 Big-IP, CVE-2020-14882 Oracle WebLogi' CVE-2018-13379 FortiGate וכדומה. 

היערכות מושכלת כנגד תקיפת סייבר

לאור כל זאת, התקבלה מסקנה שהכרחי לבחון ובו זמנית לעדכן גרסאות עדכניות של המוצרים המותקפים. כידוע, מערכת CVE מייצרת שיטת ייחוס לפגיעויות מוכרות מתחום אבטחת מידע, ועל כן שיתוף הפעולה שהתרחש בין סוכנויות אבטחת תשתיות הסייבר הציע להתמקד בסריקת שרתי Microsoft Exchange (מדובר בשרת שידוע כפגיע ל-CVE-2021-26855), וזאת לצד שילוב של שלושת האלמנטים הבאים:

  • CVE-2021-26857 
  • CVE-2021-26858 
  • CVE-2021-27065 

דרכי תגובה לצד אתגרים

ניתוח מבית NCSC ("מרכז ביטחון הסייבר הלאומי" של ממשלת בריטניה) ושל שותפים נוספים בנושא מצביע על כך שקיימות שלל הזדמנויות להגיב ולהקשות על תקיפות סייבר. 

בין היתר נעשה שימוש ב-Cobalt Strike, אחד מהכלים היותר פופולאריים בעולם (מסייע לבחון האם בוצעה חדירה). עם זאת, כיוון שמדובר בכלי מאוד פופולארי, גם האקרים נעזרים בו לא מעט, וזאת כדי להבין כיצד גורמי ביטחון שנמצאים בצד השני מבקשים להגן על המידע הרגיש שמצוי ברשת. שנסביר? Cobalt Strike מאפשר לדמות תקיפות ואף לבחון את יכולת ההגנה של הצד השני, כך שבהתאם למצאים נמצאות דרכים חלופיות לעקוף אמצעי הגנה. 

עוד NCSC מצאה שאותם ארגונים שמבקשים לפגוע ולהשיג מידע בדרכים עקיפות, נעזרו במערכת פיקוד ובקרה  העונה לשם Sliver . מעבר לכך, אותם האקרים בעלי כוונות זדון השתמשו בשיטות נוספות, כולל אישורים גנובים, טכנולוגיית ספיר פישינג וכמובן שגם בנוזקות  WellMess ו-WellMail (תוכנות שמיועדות לחדור למחשב. הן כדי להזיק והן כדי לאסוף מידע רגיש).

הצעות ייעול

 כיצד מתמודדים? קיימים מגוון אפיקי פעולה. מוזמנים להכיר כמה מהם:

  • הקפדה על עדכוני אבטחת מידע בתדירות גבוהה.
  • הטמעה של מערכות אבטחת רשת מובילות בתחום.
  • ניהול מתקדם של הרשאת משתמשים.
  • שימוש במתודולוגיות זיהוי, למשל ע"י בחינה של נפח הודעות, או ע"י בחינה של תעבורת רשת בהתאם לכתובות IP.
  • הטמעה של תיבת הדואר החדשה MailItemsAccessed. זו מסייעת לזהות כל מייל ומייל, ואף מייצרת הגנה משפטית כאשר מתעורר חשד למתקפת סייבר.
פרסם כאן
מה חדש?
פרסם כאן
CCSN logo Hebrew white
ניוזלטר הסייבר סקיוריטי של Cisopost
מאמרים אחרונים
קישורים
כל הזכויות שמורות ל Cisopost © 2024
דילוג לתוכן