הלהיט החדש של ההאקרים: שימוש בעוגיות זמניות

חל גידול במתקפות הסייבר המשתמשות בעוגיות זמניות (Session Cookies) גנובות, כדי לעקוף מנגנוני אימות רב-גורמי על מנת להשיג גישה לרשתות ולמערכות מידע בארגון, כך לפי מחקר חדש של סופוס (Sophos).

המחקר,  שכותרתו Cookie stealing: the new perimeter bypass (גניבת עוגיות: הפירצה החדשה שקוראת לגנב), בוצע על ידי צוות מומחי הסייבר Sophos X-Ops. לפי החוקרים, בחלק מהמקרים, גניבת עוגיות זמניות היא בעצמה מתקפת סייבר ממוקדת, שמנצלת מערכות לא מאובטחות, במטרה להשתמש בהן לאיסוף עוגיות זמניות. זאת, תוך שימוש בתוכניות מחשב לגיטימיות, להסוואת הפעילות הזדונית. מרגע שהשיגו התוקפים גישה לחשבונות משתמשים ולשירותי ענן באמצעות עוגיות זמניות גנובות, הם ממשיכים לשלב הבא של המתקפה – הכולל פריצה לחשבונות מייל, שימוש בהנדסה חברתית לקבלת גישה למערכות נוספות, ואפילו ביצוע שינויים במאגרי מידע ובקוד מקור.

העוגיות הזמניות – משמשות לאימות זהות בדפדפן ונשמרות במחשב

שון גלאגר, חוקר איומים בכיר בסופוס. צילום: סופוס

לדברי שון גלאגר, חוקר איומים ראשי בסופוס, "בשנה האחרונה ראינו עלייה בשימוש של התוקפים בעוגיות זמניות גנובות. גרסאות חדשות ומשופרות של נוזקות לגניבת מידע, כמו Raccoon Stealer מקלות על התוקפים בגניבת עוגיות זמניות, הנקראות גם אסימוני גישה, המשמשות לאימות זהות המשתמשים".

לפי גלאגר, "ברגע שהתוקפים מצליחים להשיג עוגיות זמניות, הם יכולים להתחזות למשתמשים לגיטימיים וכך לקבל גישה חופשית לרשת ומערכות הארגון".

עוגיות זמניות נועדו למטרת אימות זהות, שהדפדפן שומר במחשב ברגע שמשתמש לגיטימי מתחבר לאחד מחשבונותיו. השגתן מאפשרת לתוקפים לבצע מתקפת 'העברת עוגייה', בה הם מזריקים את אסימון הגישה הגנוב לתוך תהליך עבודה חדש, וכך מצליחים להערים על הדפדפן והשרת 'לחשוב' כי מדובר במשתמש לגיטימי שכבר אימת את זהותו. כיוון שעוגיות זמניות נוצרות ונשמרות במכשיר גם כחלק מתהליך האימות הרב-גורמי, גניבתן מאפשרת לתוקפים לעקוף גם את מנגנון האימות הזה, שנועד לשפר את אבטחת חשבונות המשתמשים. לפי החוקרים, "איום זה מתעצם לנוכח העובדה שיישומי רשת ושירותי ענן רבים משתמשים בעוגיות בעלות זמן תפוגה ארוך, ולעתים אפילו בעוגיות בלא תאריך תפוגה". הם הוסיפו כי "התפתחות תעשיית הנוזקה כשירות (MaaS) – בה מוצעות נוזקות מוכנות לשימוש לכל המעוניין, מאפשרת גם לעברייני סייבר חסרי ידע להצטרף למאמצי גניבת פרטי ההזדהות".

שני מקרים בהם נעשה שימוש בתוכנה מבית מיקרוסופט

בשני אירועי סייבר שחקרה סופוס באחרונה, נקטו התוקפים בגישה ממוקדת יותר. באחד מהם, הם שהו ברשת המותקפת במשך חודשים, כשהם אוספים עוגיות מדפדפן אדג' (Edge) של מיקרוסופט. הפריצה הראשונית לרשת הארגון התבצעה באמצעות ערכת ניצול מוכנה, ומרגע שחדרו לרשת, השתמשו התוקפים בכלי פרצה דוגמת Cobalt Strike ו-Meterpreter, כדי להסוות את פעילות איסוף עוגיות הזמניות.

במקרה אחר, השתמשו התוקפים ברכיב לגיטימי בתוכנת Visual Studio של מיקרוסופט, כדי להחדיר לרשת הארגון נוזקה שאספה עוגיות זמניות במשך שבוע.

"אם בעבר גניבת העוגיות הייתה פעילות ללא מטרה מוגדרת, כיום נוקטים התוקפים בגישה הרבה יותר מדויקת וממוקדת", סיכם גלאגר. "כיוון שבימינו נעשית רוב העבודה מהדפדפן ובענן, גניבת עוגיות פותחת בפני התוקפים אינספור אפשרויות זדוניות. הם עלולים לחבל בתשתית הענן של הארגון, לפרוץ למייל הארגוני, להניע עובדים בארגון להוריד נוזקות, ואפילו – לבצע שינויים זדוניים בקוד המקור של מוצרים. השמיים הם הגבול והתוקפים מוגבלים רק על ידי היצירתיות שלהם".