"קוואנטאס לא אחרונה – מתקפות הסייבר הללו יימשכו"

מומחה לאיומי סייבר הזהיר, כי מתקפות סייבר על ארגונים ימשכו – בהמשך למתקפת הסייבר הגדולה שחוותה בשבוע שעבר קוואנטאס (Qantas), חברת התעופה האוסטרלית. פרטיהם האישיים של כשישה מיליון לקוחות החברה נקצרו.

לפי ברט ווינטרפורד, ראש מודיעין האיומים של אוקטה (Okta), "הקבוצה שעומדת מאחורי מתקפת הסייבר על חברת התעופה הלאומית של אוסטרליה הינה יריבה ידועה, ואנחנו עוקבים אחריה מקרוב מאוד". לדבריו, "מדובר בקבוצה של צעירים, שמפוזרים ברחבי העולם, אבל הם בעיקר במדינות המערב".

ווינטרפורד תיאר את התוקפים כ"מומחים להנדסה חברתית", שמצליחים להשיג בערמומיות מידע, שיסייע להם לקצור נתונים רגישים של מיליוני אנשים. "בדרך כלל הם מתקשרים אל מוקד התמיכה של ה-IT של ארגון היעד ומעמידים פנים שהם מנהלים בכירים מאוד בארגון. אז הם מבקשים משהו פשוט, כמו איפוס הסיסמה שלהם", אמר. לאחר קבלת הגישה האסורה לחשבון הקורבן, ההאקרים נעים לרוחב מערכות המחשוב של היעד, על מנת להשיג גישה למערכות ולנתונים הדרושים לו, כדי לבצע מתקפת כופר – ולאחריה לסחוט את הקורבן.

"מדובר בתופעה שאנו עדים לה בהיקף נרחב זה שלוש או ארבע שנים", אמר ווינטרפורד, "אנשי הקבוצה קשורים ביניהם באופן רופף, בלא היררכיה או מבנה פיקודי. במקום זאת הם מתקשרים בפורומים מקוונים ופועלים לשיתופי פעולה ול'איחוד כוחות' כדי לשבש ולהחליש חברות באמצעות מתקפות סייבר". לדבריו, "הם חולקים הרבה משאבים זה עם זה, וכאשר כל אחד מהתוקפים האלה מצליח במתקפתו כנגד ארגון מסוים, למשל ממגזר התעופה, נוצר 'אפקט העדר', שבו גם שאר ההאקרים ינסו לתקוף ארגונים אלה, ולעתים, המתקפות יהיו משותפות".

"ראינו אותם פועלים כך כנגד חברות משחקים לפני כמה שנים. באחרונה הם הוציאו לפועל גל של התקפות נגד קמעונאים בבריטניה, חברות ביטוח אמריקניות, ועכשיו – חברות תעופה". הוא ציין, כי "יש מספר גדול של תוקפים שכאלה, וגם אם כמה מהם נעצרו, לוקח זמן עד שרשויות החוק מצליחות להדביק אותם".

"ארגונים צריכים לצאת מתוך נקודת הנחה, שהמתקפות האלה יימשכו", סיכם ווינטרפורד, "גם אנחנו באוקטה מהווים מטרה לקבוצות סייבר דומות. אם את.ה לקוח.ה של קוואנטאס, הדבר החשוב ביותר לעשות הוא להישאר ערני כרגע: חשוב מאד לוודא שבכל פעם שאתם.ן נכנסים לקוואנטאס, זו היא הכתובת – Qantas.com. יש להטמיע עוד אמצעי אבטחה, יש להגביל עוד יותר את הגישה וגם צריך לחזק את הניטור והזיהוי של המערכות".

הפריצה לחברת התעופה האוסטרלית באה על רקע התרעות של הממשל הפדרלי בארצות הברית, שמגזר התעופה מצוי תחת איום סייבר מוגבר.

"ייתכן שכמות משמעותית מהמידע האישי של הלקוחות נלקחה", הודיעה קוואנטאס. הנתונים שנלקחו כוללים שמות, כתובות מייל, מספרי טלפון, תאריכי לידה ומספרי הנוסע המתמיד. חברת התעופה מסרה, שהפריצה לא כללה פרטי כרטיס אשראי, מידע פיננסי אישי או פרטי דרכון, מכיוון שמידע זה לא הוחזק במערכת. היא הוסיפה כי לא הייתה גישה לסיסמאות וכי לא נפגעו חשבונות הנוסע המתמיד (על אף שכאמור, נקצרו גם פרטים אלה).

עכביש מפוזר – ותוקף

זהות התוקפים לא נמסרה, אולם מומחים העריכו, כי למתקפה יש קווי דמיון עם דפוסי הפעולה של קבוצת הכופרה עכביש מפוזר (Scattered Spider). הקבוצה התמקדה במתקפות שאותן היא ערכה בשבועות האחרונים בחברות תעופה בארצות הברית. במתקפות אלה, ההאקרים התקשרו לתמיכת ה-IT של חברות גדולות, לעתים קרובות תוך התחזות לעובדים או לקבלנים. או אז, הם רימו את הנציגים שבמוקדי התמיכה של ה-IT ושכנעו אותם להעניק להם גישה, תוך עקיפת אימות רב-גורמי (MFA).

לפי ה-FBI, היא "צפתה באחרונה במתקפות סייבר, שדפוס פעולתן דומה לזו של עכביש מפוזר, שכוונו לארגונים ממגזר התעופה".

קבוצת עכביש מפוזר, המכונה גם UNC3944, היא קהילת האקרים, רובם דוברי אנגלית, ובדרך כלל מדובר בבני נוער או בצעירים. המניע שלהם הוא כלכלי: לגנוב נתונים רגישים מרשתות הקורבן ולסחוט אותו. הם ידועים גם בטקטיקות ההונאה שלהם – לרוב אלה מתבססות על הנדסה חברתית, פישינג ולפעמים גם על איומים באלימות כלפי מוקדי תמיכה ומוקדים טלפוניים של הקורבן. זאת, כדי לקבל גישה לרשתות שלהם, ולפעמים לפרוס כופרות.

באחרונה בוצעו לפחות שתי פריצות לחברות תעופה, שעליהן הן דיווחו: הוואיאן (Hawaiian Airlines) וכן חברת התעופה השנייה בגודלה בקנדה, ווסטג'ט (WestJet). גל חדש זה של מתקפות מגיע זמן קצר לאחר שכנופיית פושעי הסייבר התמקדה במגזר הקמעונאי בבריטניה ובתעשיית הביטוח. כמו כן, ההאקרים פרצו בעבר לרשתות מלונות, בתי קזינו וענקיות טכנולוגיה. באחרונה, חבריה פרצו ללקוחות סנואופלייק (SnowFlake)/