קבוצת התקיפה APT10 תקפה לאחרונה ארגונים באמצעות תקיפת שרשרת האספקה
מאת:
מערכת Telecom News, 6.1.19, 15:27
ה-FBI הגיש כתבי אישום כנגד 2 חברים בקבוצה. איך זה עובד ומה מומלץ לעשות?
דווח, שלאחרונה פעלה קבוצת התקיפה
APT10 לתקיפת ארגונים שונים בעולם, באמצעות תקיפת ספקיות שירותי
IT (Managed Service Providers – MSP) או ספקיות שירותי ענן לאותם ארגונים. ה-
FBI הגיש כתבי אישום כנגד 2 חברים בקבוצה. מטרות התקיפה הן בעיקר גניבת מידע וקניין רוחני של חברות וארגונים במגזרים שונים.
הקבוצה פועלת מ-2006 וידועה גם בשמות נוספים כגון
Stone Panda, MenuPass, Potassium.
בשנים האחרונות, החל מ-2014 לערך, הקבוצה משתמשת בתקיפת ספקיות שירותי
IT, חלקן חברות גלובליות, כווקטור תקיפה כנגד לקוחותיהן.
השימוש בספקיות שירותי
IT כווקטור תקיפה מבוסס על האמון והגישה הרשתית, שמעניקים לקוחות ספקיות אלו, לגורמים שונים בספקיות השירות, כדי שיוכלו לספק שירותי תמיכה וניהול למערכותיהן.
בנוסף, גישה זו מייעלת את עבודת התוקף מאחר שהשגת נגישות לספקית אחת עלולה לספק גישה לעשרות או אף מאות מלקוחותיה.
עצם העובדה, שתעבורה מספקיות שירותי
IT אינה נתונה בדרך כלל לאותה רמת ניטור, שתעבורה אחרת מרשת האינטרנט כפופה לה, עלולה גם היא להקל על פעילות התוקפים.
לשם דוגמה, תקיפה של ספקית אחת בניו-יורק אפשרה לקבוצת התקיפה נגישות ללקוחותיה ב-12 מדינות לפחות, ובמגזרים שונים כגון בנקאות ופיננסים, תקשורת ומוצרי אלקטרוניקה, ציוד רפואי, ייצור, ייעוץ, שירותי בריאות, ביוטכנולוגיה, תעשיית הרכב, כרייה והפקת גז ונפט.
וקטור תקיפה הראשוני להשגת אחיזה ברשתות ה-
MSP התבסס על הודעות דוא"ל לדיוג ממוקד.
ההודעות הכילו מסמכים בעלי שמות רלוונטיים למותקפים, שפתיחתם מתקינה פוגען מסוג
RAT (גישה ושליטה מרחוק) בעמדה המותקפת. נעשה שימוש במספר פוגענים מסוג זה המוכרים בשמות
PlugX, Chches, Uppercut, RedLeaves, QuasarRAT.
התוקפים עשו שימוש בשירותי
Dynamic DNS כדי שיוכלו להסיט במהירות את התעבורה לשרתי ה-
C&C שלהם מכתובות, שתחסמנה ע"י הארגונים המותקפים, לכתובות חדשות.
לאחר השגת נגישות לעמדה ב-
MSP, התוקפים התקינו תוכנות ואמצעים, שיאפשרו להם השגת נתוני גישה למערכות ה-
MSP או לקוחותיו. באמצעות נתוני גישה אלו בוצעה גישה מרחוק באמצעות פרוטוקול
RDP למערכות נוספות ב-
MSP או אצל לקוחותיו.
לאחר שזוהה מידע רלוונטי להזלגה, המידע נארז בקבצים מוצפנים והועבר ממערכות הלקוח למערכות ה-
MSP או למערכות של לקוח אחר, ולאחר מכן לשרתי ה-
C&C של התוקפים.
דרכי התמודדות:
מומלץ לחזור ולהזכיר למשתמשים לנהוג זהירות בפתיחת צרופות או בהקשה על קישורים, שהגיעו בדוא"ל מגורמים לא מוכרים או אף מגורמים מוכרים אך באופן בלתי-צפוי. מומלץ לפתוח מסמכים, שמקורם ברשת האינטרנט רק כאשר הפעלת מקרו בקבצים מנוטרלת ותחת
Protected View. יש לנהוג משנה זהירות אם הקובץ מציג הודעה, שיש לנטרל מנגנוני הגנה אלה.
מומלץ להתקין עדכוני אבטחה קריטיים למערכות
Windows ולתוכנת
Office תוך פרק זמן סביר ממועד הוצאתם, מאחר שתוקפים משתמשים בפגיעויות הנ"ל להשגת אחיזה בעמדות המותקפות. יש לוודא התאמת העדכונים למערכות טרם התקנה ברשתות ייצור.
ללקוחות של ספקיות שירותי
IT מומלץ לנטר את הקישור מהספקיות אל רשתותיהן באופן הדוק ההולם את הסיכון, ולהגביל הגישה מרשתות הספקיות אך ורק למערכות הנתמכות.
מומלץ ליישם הזדהות חזקה (
FA2) עבור משתמשי הספקיות במערכות הארגון.
מומלץ לשמור לוגים של כלל פעילות הספקיות במערכות הארגון ולנטרם לזיהוי חריגות.
מומלץ לדרוש מהספקיות לדווח ללקוחות על כל אירוע חריג במערכותיהן, בפרט אלו הנגישות למערכות הלקוח.