האקרים מנצלים זהויות ארגוניות פגומות "בהיקף תעשייתי"

ההאקרים מנצלים באופן רחב היקף חשבונות ארגוניים ומערכות זהות לגיטימיות – כדי לפגוע ברשתות הקורבנות. המגמה התעצמה בשנה האחרונה עד כדי כך שמתקפות מבוססות זהות הפכו להיות "בקנה מידה תעשייתי – זהו משבר התחזות המוני", כך הזהירו אנליסטים של סנטינל וואן (SentinelOne).

בדו"ח האיומים השנתי האחרון שהנפיקה חברת ההגנה הישראלית, נכתב כי "מדובר בשינוי קריטי בשדה הקרב בסייבר: שחקני איומים אינם ממוקדים רק בהשגת גישה – הם מתקדמים מעבר לפריצות ראשוניות, כדי לנצל באופן שיטתי את מערכות הזהות, התשתיות והאוטומציה בארגון".

"מצב זה יוצר בעיה: היריבים עושים שימוש באישורים תקפים ולכן אינם מזוהים כמי שחדרו בלא אישור. הם נראים כמו כל עובד רגיל, ולכן – רבות מההגנות המסורתיות לאבטחת סייבר אינן מזהות שמשהו לא תקין. מצב זה משאיר ארגונים רבים כשהם פגיעים לאיומי סייבר".

לפי המחקר, "במקרים רבים, האיום הזדוני מזוהה רק לאחר שאירוע התרחש, כגון גניבת נתונים רגישים של החברה, מערכות שהוצפנו באמצעות כופרה, או פעילות סייבר מזיקה אחרת".

"לעיתים קרובות, ההאקרים פורצים לחשבונות על ידי קמפיינים של הנדסה חברתית. הם מנצלים טכניקות תקיפה, כמו ClickFix, שנועדו להבטיח שהקורבן אינו מודע כלל לכך שהחשבון שלו נפרץ". החוקרים הדגישו כי "גם כאשר חשבונות מוגנים באמצעות אימות רב-שלבי (MFA), לתוקפים יש דרכים לעקוף אותו ולבצע את ההשתלטות".

"היו מקרים בהם התוקפים הצליחו לפרוץ לחשבונות ברמה גבוהה, ואז להשתמש בהרשאות המנהל של אותו חשבון – כדי לקבל גישה לחשבונות אחרים שמעניינים אותם, עד כדי גישות עבור קבוצות ארגוניות שלמות. זהו סיכון קיצוני: היריב עובר ממתקפה על קורבן אחד, למתקפה על מקבל החלטות, זה המחליט על כללי הגישה לכל הרשת".

"משרת החלומות"

"קמפיינים המבוססים על ישויות מזויפות, בהם תוקפים משתמשים כדי להגיש מועמדות למשרות מרחוק", נכתב, "מהווים איום הולך וגובר על ארגונים. אם הוא מופעל בהצלחה – לעיתים לאחר ביצוע ראיונות בעזרת טכנולוגיית דיפ-פייק מבוססת בינה מלאכותית – לתוקף יש גישה לגיטימית למערכות החברה והוא יכול לבצע פעילות זדונית מבפנים… האקרים צפון קוריאנים ידועים כמי שמנצלים מתקפה מסוג זה".

החוקרים עקבו אחרי יותר מאלף בקשות עבודה ו-360 ישויות מזויפות מצפון קוריאה. אלה ניסו להשיג עבודה מרחוק בחברות טכנולוגיה מערביות. המטרה הסופית של קמפיינים אלה היא בדרך כלל גניבה – של כסף, קניין רוחני או נתונים.

"כיוון שהיריב יוצר מצב מהימן, החדירה נשארת בלתי נראית, עד שהחשבון מתחיל לבצע פעולות חריגות, שאינן בתחומי התפקיד הרגיל של המשתמש: יצוא נתונים בכמויות גדולות, או שינויים לא מורשים בהרשאות".

"למול הפריצות המודרניות, צוותי האבטחה נדרשים לעבור מהגנה תגובתית לעמידות פרואקטיבית ומודעת להקשר", סיכמו החוקרים, "נוף האיומים תמיד משתנה, אבל הלקחים הבסיסיים נשארים. התוקפים נסמכים פחות על פרצות בודדות או נוזקות – ויותר על הפערים בין אבטחה לפעולות, על נקודות עיוורון במערכות מהימנות, ועל כך שהמגנים איטיים יותר באימוץ הגנות מבוססות אדם-מכונה. סגירת הפער אינה רק רדיפה אחרי כל כלי חדש ששחקני איום מפעילים, אלא בדיקה מתמשכת האם הארגון יכול לעמוד בלחץ של התקפות מודרניות".