כל מה שרצית לדעת על הפריצה לפייראיי ולא העזת לשאול
ענקית הגנת הסייבר פרסמה דו''ח המנתח את הפריצה אליה - צעד שעורר הערכה בענף ● היא שחררה אמצעים נגד המתקפה, "כדי לאפשר לקהילת האבטחה, במובנה הרחב ביותר, להגן על עצמם מפני הכלים שנגנבו"
בצעד שעורר הערכה בתעשיית הגנת הסייבר, פייראיי הנפיקה דו"ח שמנתח את כל הידוע עד כה על הפריצה אליה, שפורסמה אתמול (ג').
הדו"ח נושא את הכותרת "גישה לא מורשית לכלי הצוות האדום של פייראיי". נכתב בו כי "יריב, גורם איום שלוח-מדינה מתוחכם, גנב כלים של הצוות האדום של החברה. כיוון שאנחנו מאמינים שהיריב מחזיק בכלים אלה ואיננו יודעים אם בכוונתו להשתמש בכלים הגנובים בעצמו, או לחשוף אותם בפומבי, אנחנו משחררים מאות אמצעי נגד בבלוג זה, כדי לאפשר לקהילת האבטחה, במובנה הרחב ביותר, להגן על עצמם מפני כלים אלה. שילבנו את אמצעי הנגד במוצרים שלנו ושיתפנו אמצעי נגד אלה עם שותפי וסוכנויות ממשלתיות. זאת, כדי להגביל משמעותית את יכולתו של השחקן הרע לנצל את כלי הצוות האדום. רשימה של אמצעי הנגד נמצאת במאגר גיטהאב. פרסמנו מאות צעדי נגד, עבור טכנולוגיות זמינות לציבור, כמו OpenIOC ,Yara ,Snort ו-ClamAV".
החוקרים הסבירו בבלוג כי "צוות אדום הוא קבוצת מקצועני אבטחה, המוסמכים וביכולתם לחקות יכולות התקפה או ניצול של יריב פוטנציאלי כנגד מצב האבטחה של הארגון. מטרת הצוות האדום שלנו היא לשפר את אבטחת הסייבר הארגוני על ידי הדגמת ההשפעות של התקפות מוצלחות ועל ידי תדרוך המגינים, הצוות הכחול, כיצד להתמודד איתם. אנחנו מבצעים הערכות צוות אדום עבור לקוחות ברחבי העולם יותר מ-15 שנים. במהלך התקופה בנינו מערך של סקריפטים, כלים, סורקים וטכניקות, שיעזרו בשיפור האבטחה של הלקוחות שלנו. למרבה הצער, כלים אלה נגנבו על ידי תוקף מתוחכם ביותר".
"הכלים הגנובים", ציינו, "נעים בין סקריפטים פשוטים המשמשים לסיור אוטומטי, ועד למסגרות עבודה שלמות, שדומות לטכנולוגיות הזמינות לציבור כגון CobaltStrike ו-Metasploit. רבים מכלי הצוות האדום כבר שוחררו לקהילה ומופצים במכונה הווירטואלית מבוססת הקוד הפתוח שלנו, CommandoVM. חלק מהכלים אלה כלים זמינים לציבור, ששונו כדי להתחמק ממנגנוני זיהוי אבטחה בסיסיים. כלים ומסגרות עבודה אחרים פותחו אצלנו, עבור הצוות האדום שלנו".
"הגניבה לא תקדם מאוד את יכולות התוקף"
החוקרים הוסיפו כי "כלי הצוות האדום שהתוקף לא הכילו פרצות יום אפס. הכלים מיישמים שיטות ידועות ומתועדות, שמשמשות צוותים אדומים אחרים ברחבי העולם. על אף שאיננו מאמינים כי הגניבה תקדם מאוד את יכולות התוקף, אנחנו עושים כל שביכולתנו כדי למנוע תרחיש כזה". "חשוב לציין", כתבו, "כי לא ראינו את הכלים האלה מופצים, או שנעשה בהם שימוש על ידי גורמי איום כלשהם, ונמשיך לעקוב אחר כל פעילות שכזו".
לסיכום, כתבו החוקרים כי "מוצרי פייראיי מגנים על לקוחות מפני כלים אלה. צוותים ברחבי החברה עבדו לבניית אמצעי הנגד, כדי להגן על לקוחותינו ועל קהילת אבטחת המידע הרחבה יותר. שילבנו אמצעי נגד אלה במוצרינו ושיתפנו אותם עם שותפינו, כולל המשרד להגנת המולדת (של ארצות הברית – י"ה), ששילבו את אמצעי הנגד במוצריהם, כדי לספק כיסוי אבטחה רחב לקהילה".
תגובות
(1)כתיבת תגובה
ידיעות מובילות
האקרים מנצלים את טכנולוגיית ה-eSIM כדי לחטוף מספרי טלפון
"העובדה שישראל לא מובילה ב-AI – תעודת עניות למדינה"
אברא יישמה מערכת לניהול עתירות משפטיות בוועדת הבחירות המרכזית
מיהם.ן המנמ"ריות והמנמ"רים שזכו בתחרות מצטייני המחשוב?
סיסקו מתמודדת עם שני אירועי סייבר
אני חייב לציין שמגיע לחברה שאפו גדול על הטיפול במקרה, הפתיחות והישירות. פייראיי היא חברה שגם נמצאת ראש בראש עם קבוצות התקיפה הכי הכי, וגם עובדת מאוד צמוד עם ממשלות, סביר שתהיה מטרה. בסוף כולנו כסיסואים צריכים ללמוד מהמקרה איך מנהלים אירוע. לא רק למנוע, אלא להתכונן ליום שאחרי.