אופס: נחשפו חורי הגנה בכלי תקיפה של קבוצת האקרים

מומחה אבטחה חשף באחרונה חולשה, פער הגנה, בכלי חילוץ הנתונים של קבוצת ההאקרים Cl0p – שעלול להפוך אותה פגיעה למתקפה.

את הפגיעות איתר ופרסם חוקר אבטחה בשם לורנצו נ', והיא פורסמה באתר CIRCL – המרכז לתגובה לאירועי סייבר של לוקסמבורג. הפגיעות היא בכלי שפותח בשפת פיית'ון, ששימש לפרוץ לכלי MOVEit Transfer של פרוגרס סופטוור האמריקנית. בשורת פריצות בשנים 2023-2024, נפרצו אלפי ארגונים ונפגעו מיליוני משתמשים.

הפגיעות סווגה כ-"באג של אימות קלט לא תקין", CWE-20, וזכתה לציון של 8.9 בדירוג החומרה שלה.

אלכסנדר דולאנוי, ראש CIRCL, אמר כי הוא "לא מצפה מהצוות שפיתח את כלי חילוץ הנתונים לנקוט בפעולה מתקנת כלשהי כדי לתקן את הפגיעות".

ה-"גולם" עלול לתקוף את יוצרו

מומחים ציינו שיריביה של Cl0p, או תוקפים אחרים, יכולים לנצל את הפגיעות על מנת לשבש את פעילות קבוצת פשעי הסייבר, או אפילו לגנוב את הנתונים שלה – כל זאת, תוך שימוש בכלי פריצת הנתונים שלה עצמה.

הפגיעות נובעת מבעיה בעת ביצוע פקודה מרחוק (RCE), לטובת השתלטות על מחשב הקורבן. ניתן לנצל אותה אם תיקיה בעלת שם זדוני נטענת על ידי Cl0p עצמה.

Cl0p נודעה לשמצה בעיקר כאשר תזמרה שורה של מתקפות מסוג שרשרת האספקה על פתרון העברת הקבצים MOVEit ב-2023. לפי חברת האבטחה אמסיסופט, עד סוף יוני 2024 הפגיעות הסבה נזק ל-2,773 ארגונים וליותר מ-95 מיליון אנשים. עם זאת, הנתונים בפועל עלולים להיות גרועים יותר באופן מהותי: ארגונים גדולים כמו זירוקס, נוקיה, בנק אוף אמריקה, מורגן סטנלי ואמזון הושפעו מהחולשה לאחר שאמסיסופט הפסיקה את הספירה.

קבוצת ההאקרים Cl0p לא נצפתה קוצרת נתונים השנה. עם זאת, ציינו מומחי אבטחה, ייתכן שהסיפור לא נגמר: חברת האבטחה גריינויז דיווחה בסוף מאי על עלייה מתמשכת, בשיעור של מאות אחוזים, בפעילות הסריקה של מערכות חשופות לציבור שנותרו פגיעות לשני הבאגים של MOVEit שנחשפו בעבר: CVE-2023-34362 ו-CVE-2023-36934.

"הסריקה לאיתור קורבנות איננה מקרית", ציינו. "היא מכוונת ומנוהלת באופן מתוכנן. זו אינה בדיקה אקראית או מבוזרת".

חברת האבטחה לא ייחסה את פעילות הסריקה לקבוצת האקרים פרטנית או למדינה אחת, אך מסרה שהמטרות הנפוצות ביותר של מי שעומדים מאחורי התקיפות נמצאות בבריטניה, ארצות הברית, גרמניה, צרפת ומקסיקו.

המקרה של שניידר אלקטריק

בסוף ינואר 2024, שניידר אלקטריק חוותה מתקפת כופרה בסייבר. המתקפה פגעה בשירותי ייעוץ המשאבים שלה. היא אישרה כי ההאקרים הצליחו להשיג גישה לנתוני החברה. כמה חודשים לפני כן, ביוני 2023, היא הודיעה כי פתחה בחקירה, לאחר ששמה הופיע באתר בדארקנט של קבוצת פושעי הסייבר הרוסית Cl0p. זו מספקת שירותי מתקפות כופרה כשירות – כלומר, האקרים יכולים לשכור את הכלים שלהם כדי לבצע מתקפות מכל מקום.

ב-2021, האקרים ששייכים לכאורה ל-Cl0p נעצרו באוקראינה, במבצע משותף שלה יחד עם ארצות הברית ודרום קוריאה. הרשויות טענו אז שהם הפילו את הקבוצה, שלדבריהם הייתה אחראית לסחיטת חצי מיליארד דולר מקורבנות ברחבי העולם. אלא שהיא קמה מאותה נפילה וכאמור, המשיכה לתקוף ארגונים במדינות שונות.