זה לא נגמר: האקרים ניצלו חולשות בסולארווינדס ובפולס סקיור לגניבת אישורים

במשך כמעט שנה ביצעו האקרים תקיפה על ידי כניסה לרשת הקורבן באמצעות רשת VPN של פולס סקיור, ומשם עברו לנצל חולשה נוספת בתוכנת אוריון של סולארווינדס, ואז - התקינו נוזקות מסוג Supernova וגנבו אישורי גישה

מתקפה נוספת שניצלה פגיעות בתוכנת פולס סקיור ופגיעות נוספת בתוכנת ניהול הרשת Orion של סולארווינדס. אילוסטרציה: BigStock

קבוצת האקרים מתוחכמת ניצלה פגיעות בתוכנת פולס סקיור (Pulse Secure) ופגיעות נוספת בתוכנת ניהול הרשת Orion של סולארווינדס (SolarWinds) במשך כמעט שנה, כדי לגנוב אישורים, כך לפי גורמים פדרליים.

על פי CISA, הסוכנות לאבטחת תשתיות וסייבר, קבוצת ה-APT, איום עקבי ומתקדם, התחברה בראשונה לרשת של קורבן, בלתי מזוהה, ועשתה זאת באמצעות מכשיר VPN, החל ממרץ 2020. חברי הקבוצה התחזו לעובדי חברת טלפון. משם, ההאקרים עברו באופן רוחבי אל שרתי Orion של הקורבן, התקינו נוזקות מסוג Supernova ואז גנבו את אישורי הגישה.

לא ניתן היה להבין מהודעת הסוכנות האם היא מתייחסת לדיווח של מיקרוסופט (Microsoft) מדצמבר האחרון, שלפיו גילו חוקריה, כי קבוצת האקרים – שנייה, לא מזוהה, התקינה דלת אחורית ב-Orion, שאפשרה מסע ריגול מסיבי ברשת, מכיוון שמספר הקורבנות במתקפה גדל. הדלת האחורית השנייה, שזכתה לכינוי Supernova על ידי מומחי אבטחה, נראית שונה מהמתקפה שנעשתה על ידי קבוצת ההאקרים הרוסית APT29, שהכניסה דלת אחורית בשם Sunburst לתוכנת Orion. החוקרים העלו את האפשרות, כי יריבים מרובים עשו, או יעשו שימוש בנוזקה לטובת מתקפות מקבילות, אולי בלא ידיעה או תיאום ביניהם.

סוכני CISA אמרו בסוף השבוע, כי המתקפה זו לא בוצעה על ידי SVR, שירות הביון הזר הרוסי, שהזריק את הנוזקות מסוג Sunburst לעדכוני התוכנה של Orion, שהורדו על ידי כמעט 18,000 לקוחות סולארווינדס בין מרץ ליוני 2020. במקום זאת, Supernova ממוקמת ישירות במערכת המארחת את Orion ונחזית להיות חלק ממוצר סולארווינדס, כך על פי CISA.

"ארגונים שמוצאים את הנוזקה Supernova בתוכנות סולארווינדס שהוטמעו במערכי המחשוב שלהם צריכים להתייחס לכך כתקרית וכמתקפה נפרדת מהמתקפה המקורית", כתבו חוקרי CISA בדו"ח ניתוח בן ארבעה עמודים שפורסם בסוף השבוע. לדבריהם, קבוצת ה-APT התחברה ל-VPN של פולס סקיור של הקורבנות ממרץ 2020 ועד פברואר 2021, והיא התמקדה בכמה ארגונים באותה תקופה.

ההאקרים הצליחו להשיג אימות למכשיר ה-VPN באמצעות כמה חשבונות משתמש, שאף אחד מהם לא אפשר זיהוי מרובה גורמים, MFA. חוקרי הסוכנות מסרו, כי אינם יודעים כיצד השיגו ההאקרים הללו את אישורי הגישה של העובדים. Pulse Secure וסולארווינדס לא מסרו את תגובתן לדיווח.

בשבוע שעבר דיווחה פייראיי (FireEye), כי האקרים שלוחי הממשל הסיני ניצלו, שוב ושוב, כמה פגמים ידועים ופגיעות חדשה, שהתגלתה ב-VPN של פולס סקיור, כדי לפרוץ לסוכנויות ממשלתיות, לחברות ביטחוניות ולמוסדות פיננסיים בארה"ב ובאירופה. החשד הוא, שהאקרים סינים ניצלו גם את נוזקת Supernova כדי לפרוץ למחשבים במרכז הכספים הלאומי, כך דיווחה סוכנות רויטרס בפברואר.

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים