האקר בודד, בסיוע AI, קיצר מתקפה משבועות ל-72 שעות
לפי סיגניה, "תוקף בודד השתמש בבינה מלאכותית כמכפיל כוח, לסחיטה כספית של ארגון גלובלי" ● החוקרים פירטו על האירוע, שכלל כמה תקיפות במקביל, ומסרו כי זה "תואם לתהליכי עבודה המבוססים על סוכני AI"
מתקפה רחבת היקף, שביצע האקר בודד, שנעזר ב-AI, האיצה את המעבר מחדירה ראשונית לפגיעה נרחבת בענן בתוך 72 שעות, במקום שבועות. את המתקפה חשפו היום (ד') חוקרי סיגניה.
ממצאים ראשוניים מהחקירה מעלים שתוקף בודד השתמש בבינה מלאכותית כמכפיל כוח לצורך סחיטה כספית של ארגון גלובלי, ששמו לא נמסר. החוקרים מצאו ראיות לסקריפטים שפיתח התוקף, פעילות מקבילה אינטנסיבית והתאמה מהירה לסביבות יעד בשירותי ענן. "מאפיינים אלה תואמים יחד לתהליכי עבודה המבוססים על סוכני AI, המתוכננים להוציא לפועל מתקפות במהירות ובהיקף שחורגים מהיכולת המקובלת של מפעיל אנושי בודד", כתבו חוקרי סיגניה. לדבריהם, "מתקפת הסייבר, שהמניעים שלה היו פיננסיים, כללה שימוש בסוכני בינה מלאכותית להאצת איסוף מודיעין על הקורבן, לפיתוח כלי תקיפה, לבניית פקודות ולהתאמה ספציפית לסביבת היעד".
פריצות במקביל – במקום שלב אחר שלב
לפי המחקר, במקום להסתמך על נוזקות חדשות, או חולשות יום אפס (Zero-day), התוקף השתמש ב-AI כדי להפעיל כמה טכניקות תקיפה מוכרות בענן, על פני שטח תקיפה רחב ובקצב שעלה משמעותית על יכולת התגובה של הקורבן. החדירה בוצעה בסביבת ענן ציבורי והיא לא ניצלה הגדרות תצורה שגויה (Misconfiguration). במקום זאת, התוקף שילב יחד חולשות בשירותי אפליקציה, משאבי ענן ציבורי, מאגרי קוד מקור, תהליכי CI/CD, רכיבי ריצה (Runtime) ומאגרי נתונים. במקביל, הוא ביצע במהירות גילוי הרשאות, איסוף סודות טכנולוגיים, מיפוי סביבת הענן, ניצול צינורות פריסה, שינויים בסביבת הריצה, גישה למסדי נתונים ושיבוש תפעולי.
החוקרים מסיגניה הסבירו כי "בניגוד לנתיב תקיפה מסורתי, שמבוצע שלב אחר שלב, פריצה זו, שנעזרה ב-AI, התפתחה בכמה חזיתות במקביל. כשהתוקף זיהה הזדמנויות חדשות, הוא הוציא לפועל במקביל מספר רב של טכניקות רבות, סטנדרטיות לאחר פריצה, וכך דחס פעולות, שבאופן רגיל לוקחות דקות או שעות – לתוך שניות בודדות".
עוד הם ציינו שכל מפתח גישה חדש שהושג נוצל במהירות כדי למפות הרשאות ומשאבים קשורים. זה אפשר לתוקף לזהות ביעילות את ההזדמנויות בעלות הערך הרב ביותר לתנועה רוחבית ולגישה לנתונים. בשכבת הנתונים, החקירה חשפה מאות שאילתות SQL ייחודיות שהופעלו על פני עשרות בסיסי נתונים, תוך מיפוי מהיר של סכמות וזיהוי נתונים רלוונטיים. התנהגות דומה נצפתה בשכבת האפליקציה, שם התוקף מיפה קשרים בין תורי SQS, פועלים (Workers) פגיעים, נקודות הזרקת מטענים וקבצי פריסה המשמשים לניהול אשכולות. "יחד, התנהגויות אלו מדגימות התאמה מהירה לסביבה ספציפית, התואמת לפעילות בסיוע AI או לפעילות מנוהלת מרכזית. כך היה אפשר לעבד הקשרים ולהתאים פעולות – במהירות שעולה על מפעיל אנושי", כתבו החוקרים.
"מתקפה זו מדגישה כיצד בינה מלאכותית יכולה להעצים את ההשפעה של פערי אבטחה קיימים, תוך חשיפת חסרונות במוכנות הארגונית, ביכולת הניטור ובבשלות התפעולית", אמר אבי דיין, סמנכ"ל תגובה לאירועי סייבר בסיגניה. "הממצאים מחזקים סקר שערכנו, שמצא ש-73% ממקבלי ההחלטות הבכירים בתחום אבטחת המידע לא מאמינים שהארגון שלהם ערוך לחלוטין להגיב למתקפת סייבר חמורה, אם זו תתרחש מחר. והנה, מתקפה שבאופן רגיל הייתה נמשכת שבועות – התרחשה כולה בפחות מ-72 שעות".











תגובות
(0)