איראן ניצלה את החולשה החמורה Logs4j – ותקפה בישראל

האקרים הפועלים בשליחות מדינות דוגמת סין, איראן, צפון קוריאה וטורקיה ניצלו בימים האחרונים את החולשה החמורה שנתגלתה בסוף השבוע האחרון, וניסו לפרוץ לארגונים רבים, כך לפי צוות מחקר האיומים של מיקרוסופט (Microsoft).

לפי צ'ק פוינט, אתמול (ד') האקרים איראנים ניצלו את החולשה של Logs4j וניסו לתקוף שבע מטרות ממשלתיות ועסקיות בישראל.

כזכור, בסוף השבוע האחרון, מערך הסייבר הלאומי הוציא התרעה דחופה על חולשה חמורה בקוד הפתוח החינמי, שממנה עלולות להגיע חדירות למערכות המחשוב הארגוניות. לפי חוקרי צ'ק פוינט, הם צפו ביותר מ-840 ניסיונות ניצול של החולשה, משמע – היא עלולה לפגוע בכ-40% מהרשתות הארגוניות בעולם. החולשה התגלתה באחת מהתוכנות הפופולריות ביותר, האמונות על תיעוד פעילות המשתמשים בשירותים אינטרנטיים. התוכנה – Logs4j שהיא לכאורה לא מוכרת, משובצת כמעט בכל שירות אינטרנטי או אפליקציה המוכרים לנו, כולל טוויטר, אמזון, מיקרוסופט, מיינקראפט, שרתי iCloud, כמו גם בפתרונות IT ואבטחה ארגוניים – דוגמת VMWare Horizon, Palo Alto Panorama, נט-אפ (NetApp) ו-Qradar, וכן במצלמות CCTV ומדפסות. זאת משום שהחבילה הפגיעה משמשת במיליוני יישומי ג'אווה.

מאות מיליוני מכשירים נמצאים בסיכון

הודעת מיקרוסופט אתמול (ד') הגעה במקביל להודעת פקיד סייבר בכיר בממשל ארה"ב, לפיה למרות שאף סוכנות פדרלית לא נפגעה, הממשלה עדיין חוששת מהתקפות, ומאות מיליוני מכשירים נמצאים בסיכון.

לפי מיקרוסופט, "האנליסטים שלנו צפו בקבוצות פריצה ידועות ורבות, הפועלות בשליחות מדינה, שעובדות עם החולשה. פעילותן נעה על הטווח שבין ניסויים לשילוב בקמפיינים פעילים ועד לניצול מטרות". החולשה הינה כה חמורה, הזהירו מומחי אבטחה, עד ש"מתקפה מוצלחת עלולה לגרום להשתלטות על כלל המערכת שהותקפה".

אחת הקבוצות שזוהו היא פוספורוס (Phosphorus, שפירושו 'זרחן'), המכונה גם החתלתול המקסים, שפועלת מאיראן. היא ערכה שינויים בכלי הפריצה שלה באמצעות Log4j, אמרו אנליסטים. קבוצת האקרים סינית, HAFNIUM שמה, נצפתה גם היא תוקפת תשתית וירטואליזציה עם הפגיעות. קבוצת האקרים אחרת נצפתה משתמשת בחולשה לטובת ניצול מחשבים לכריית קריפטו.

לפי צ'ק פוינט, החוקרים שלה איתרו וחסמו ניסיונות לייצר תקשורת בין המטרות הישראליות לבין שרת שנמצא בשימוש קבוצה אירנית מוכרת – APT35, המכונה גם היא charming kitten, החתלתול המקסים. לקבוצה זו יוחסו בעבר קשרים למשטר האיראני.

מאז חשיפת החולשה, ביום ו' אחרון, חוקרי ענקית האבטחה הישראלית איתרו ועצרו יותר מ-1.8 מיליון ניסיונות לנצל את החולשה ב-Llog4j ברחבי העולם. מדובר בקרוב למחצית (46%) מהרשתות הארגוניות בעולם ויותר ממחצית (54%) מהרשתות הארגוניות בישראל. "האקרים ימשיכו לעשות שימוש בחולשה ולתקוף את מי שלא מוגן ממנה. עד כה זוהו יותר מ-60 וריאנטים שונים של ניצול החולשה, מה שמקשה על ההגנה מפניה", כתבו החוקרים.

"איום גדול הפועל נגד כולנו"

לדברי שון גלגהר, חוקר איומים בכיר בסופוס, "התוקפים יגבירו ויגוונו את שיטות ההתקפה, ואף ירחיבו את הסיבות לתקיפה במהלך הימים והשבועות הקרובים, כולל האפשרות למנף את ההתקפה לצורך הפעלת כופרות". הוא ציין כי "מאז ה-9 בדצמבר זיהינו מאות אלפי ניסיונות להפעיל קוד מרחוק דרך פגיעות Log4Shell (שמה הנוסף של Logs4j). בהתחלה, היו אלה בדיקות להוכחת היתכנות (PoC) שנעשו על ידי חוקרי אבטחה ותוקפים שונים, וכן סריקות מקוונות רבות שנעשו לאיתור הפגיעויות במערכות. זמן קצר לאחר מכן הגיעו ניסיונות להתקין כורים של מטבעות קריפטוגרפיים, כולל של הבוטנט Kinsing. המודיעין העדכני ביותר מצביע על כך שהתוקפים מנסים לנצל את החולשות כדי לחשוף מפתחות המשמשים חשבונות ב-AWS. ישנם גם סימנים לכך שהתוקפים מנסים לנצל את הפגיעות כדי להתקין כלים לגישה מרחוק ברשתות של הקורבנות. בין היתר את Cobalt Strike, כלי מרכזי במסגרת מתקפות כופרה רבות".

הוא סיכם בציינו כי "חולשות Log4Shell מייצרת אתגר מסוג שונה למגינים. ברגע שהמגינים יודעים מהי התוכנה הפגיעה, הם יכולים לבדוק ולעדכן אותה. עם זאת, Log4Shell היא ספריה המשמשת מוצרים רבים. לכן היא עלולה להופיע בפינות האפלות ביותר של התשתית הארגונית, כולל בתוכנות שפותחו על ידי החברה עצמה. מציאת כל המערכות הפגיעות ל-Log4Shell צריכה להיות בעדיפות עליונה עבור צוותי אבטחה. ברגע שלתוקף יש גישה מאובטחת לרשת, כל סוג של הדבקה עלול להגיע לאחר מכן. צוותי אבטחת IT צריכים לבצע סקירה יסודית של פעילויות לרוחב הרשת, ולזהות ולהסיר כל עקבות של תוקפים. המספר העצום של המקומות השונים בתעבורת הרשת בהן הקוד יכול להופיע, והמגוון העצום של השרתים והשירותים העלולים להיפגע, הופכים יחד לאיום גדול הפועל נגד כולנו. התגובה הטובה ביותר היא ברורה לגמרי: עדכון המערכות שלך ברגע זה".