מרוסיה באהבה: האקרים רוסים מכוונים את המאמצים שלהם לענן

האקרים רוסים מעבירים את הפוקוס שלהם לענן ופרצו בהצלחה תשתיות ענן של ארגונים וגופים שונים – זה מה שפורסם לאחרונה בדו"ח מיוחד של מרכז אבטחת הסייבר הלאומי של בריטניה, ה-NCSC, וכן על ידי ה-NSA ,CISA ,FBI וסוכנויות אבטחת סייבר מאוסטרליה, קנדה וניו זילנד (שירותי הביון של המדינות הידועות גם בשם "חמש העיניים").

הדו"ח כולל טקטיקות, טכניקות ונהלים עדכניים (TTPs) של קבוצת הפריצה הרוסית המוכרת בשם APT29, הידועה גם בכינוי The Dukes ומזוהה עם ה-SVR – שירות המודיעין הרוסי.

ה-SVR הוא תוקף מתוחכם ובעל יכולת. כעת הוא ממקד את מאמציו בתשתית ענן, וכן בשיטות פריצה מסורתיות יותר

עד לאחרונה, תוקפי סייבר של ה-SVR פגעו בעיקר בגופים ממשלתיים, בארגוני בריאות, בצוותי חשיבה ובמתקני אנרגיה, זאת על מנת להשיג מידע רגיש ביותר למטרות מודיעין. אבל כעת, שחקני SVR אלה מרחיבים את טווח התקיפה שלהם לווקטורי התעופה, החינוך, אכיפת החוק, למועצות מקומיות ומדינתיות, למחלקות פיננסיות ממשלתיות וכן לארגונים צבאיים.

ההתקפות הבולטות ביותר שבוצעו על ידי הקבוצה הזו בעבר כוללות מתקפת שרשרת האספקה, שפגעה בחברת התוכנה סולארווינדס (SolarWinds), וקמפיין שכוון לארגונים המפתחים חיסון נגד קורונה.

תוקף בעזרת ארגוני פרוקסי תשתיות ענן. ה-SVR – שירות המודיעין הרוסי. צילום: ויקיפדיה

APT29 – פועלת עם ה-SVR ומתפתחת במתקפותיה כבר 16 שנים

קבוצת התקיפה APT29 קיימת מאז 2008, והתפתחה מפריצה לרשתות מקומיות להתקפות שרשרת אספקה, וכעת לניצול שירותי ענן.

הדו"ח שפורסם מתאר מספר אופני פעולה המשמשים את APT29 כדי לקבל גישה ראשונית לסביבות ענן. בין האופנים השונים צוינו:

גישה דרך שירות וחשבונות רדומים – קבוצת התקיפה מינפה מתקפות Brute Force לפיצוח סיסמאות, כדי לגשת לחשבונות שירות המשמשים בדרך כלל להפעלה וניהול של יישומים ושירותים. מאחר שלעתים קרובות הם גם בעלי זכויות יתר, השגת גישה לחשבונות כאלה מספקת לתוקפים גישה ראשונית מיוחסת לרשת הקורבן, המאפשרת לבצע פעולות נוספות. בנוסף, קמפיינים של SVR כוונו גם לחשבונות רדומים, השייכים למשתמשים שכבר אינם עובדים בארגון, אך החשבונות שלהם נשארו פעילים.

שימוש באימות ענן מבוסס טוקן כדי לעקוף אישורים – גישה לחשבונות משתמש מבוססי ענן מאומתת בדרך כלל על ידי אישורים (שם משתמש וסיסמה) או טוקנים (אסימוני גישה) שהונפקו על ידי המערכת. שחקני SVR השתמשו באסימונים כדי לגשת לחשבונות של הקורבנות שלהם, ללא צורך בסיסמה.

רישום מכשירים חדשים לענן – ה-SVR הצליח לעיתים לעקוף אימות סיסמא בחשבונות אישיים באמצעות "ריסוס סיסמאות" ושימוש חוזר באישורים, ולעיתים באמצעות טכניקת הרוויה של מנגנון האבטחה רב-שלבי (Multi factor Authentication), שבה התוקף דוחף שוב ושוב בקשות אימות רב-שלבי למכשיר של הקורבן, עד שהקורבן מאשר את ההודעה. אז התוקף רושם את המכשיר שלו כמכשיר חדש אצל ספק הענן, ומקבל גישה לרשת.

מהוות מטרה לסייבר רוסי. תשתיות ענן. צילום: אילוסטרציה. Shutterstock

מניעת התקפה, זיהוי התקפה

הדו"ח מכיל המלצות אופרטיביות לצמצום הסיכון לפגיעה מתוקף מתוחכם זה, וביניהן ההמלצות הבאות להקשחת תצורת המערכת:

• שימוש באימות רב-שלבי (MFA)
• הטמעת מדיניות סיסמאות חזקה
• השבתת חשבונות לא פעילים
• הטמעת הרשאות עבור חשבונות שירות
• הגדרת מדיניות רישום מכשירים

בנוסף, הדו"ח מציע לנטר באופן פעיל פעילויות חשודות, כולל ניטור של מגוון מקורות מידע (כגון אירועי יישומים ויומנים מבוססי מארח).

לסיכום ניתן לומר שה-SVR הוא תוקף מתוחכם ובעל יכולת. כעת הוא ממקד את מאמציו בתשתית ענן, וכן בשיטות פריצה מסורתיות יותר.

אם לצטט את הדו"ח, "עבור ארגונים שעברו לתשתית ענן, קו הגנה ראשון נגד שחקן כמו SVR צריך להיות הגנה מפני השיטות שלו לחדירה ראשונית. ברגע שה-SVR  מקבל גישה ראשונית, הוא מסוגל להשתמש בכלים מתוחכמים מאוד על מנת לחקור את סביבת הענן ולבצע את הפעולות הזדוניות שלו".

המשמעות היא שכדי לצמצם מתקפות מצד תוקפים ברמת התחכום של ה-SVR ארגונים חייבים לשפר את רמת האבטחה בענן שלהם ואת יכולות הזיהוי של איומים שרצים בענן, בזמן אמת.

הכותב הוא מנכ"ל חברת אבטחת הסייבר בענן סקייהוק סקיוריטי