דלג לתוכן

האירוע שזעזע את עולם אבטחת המידע ב-2020

מה אנו יכולים ללמוד ממנו?

עמוד ראשי » בלוג » אבטחת מידע » האירוע שזעזע את עולם אבטחת המידע ב-2020

המקרים ששברו את אבטחת הרשת ב-2020

SOLARWINDS

30% מקורבנות ההתקפה על “SOLARWINDS” בכלל לא משתמשים בתוכנה.
כך לפי הפדרל. התוקפים של SOLARWINDS השתמשו בטכניקות התקפה ברוטליות כדי להפיל את הקורבנות.

התגלתה התקפה בשרשרת האספקה המובילה עדכוני תוכנות עסקיות ב-SolarWinds.
ההתקפה מפיצה תוכנות זדוניות ומצליחה להתחמק באופן שיטתי.
פעילות התוקף ממנפת טכניקות התקפה מרובות על מנת להתחמק מחשיפה
וכדי להמשיך ולטשטש את הפעילות, מה שאפשר לתוקפים להמשיך
ולהפיל חברות רבות ללא הפרעה במשך תקופה ארוכה.

איך עובדת ההתקפה?
לאחר החדרת הקוד הזדוני למערכת החברה מתחילה תקופה רדומה של שבועיים,
לאחריה הקוד מאחזר ומבצע פקודות הכוללות העברת קבצים, זיהוי פרופילים במערכת,
אתחול המחשב והשבתת שירותי מערכת חיוניים.
התוכנה הזדונית מתחזה לתעבורת הרשת כפרוטוקול Orion Improvement Program
ומאחסנת תוצאות בתוך קבצי תצורה לגיטימיים המאפשרים
לה להשתלב בפעילות הכללית של SolarWinds.
בו בזמן, הדלת האחורית עושה שימוש ברשימות חסומות
כדי לזהות אנטי וירוסים, שרתים ומנהלי התקנים.

קמפיין ההתקפה של ההאקרים הוא מהגדולים ביותר שידע העולם,
והוא מפיל ארגונים ציבוריים ופרטיים במדינות שונות.
רק לקראת סוף שנת 2020 נחשף התוקף והיקף הפעילות הנרחב של התוקפים.

שירביט

גם בישראל, כמו שאנחנו כבר יודעים, לא חסינים מפני התקפות סייבר חמורות:
ב-1 בדצמבר 2020 יצא מערך הסייבר הישראלי הודעה רשמית
על אירוע דליפת מידע בחברת שירביט.
שירביט מבטחת עובדי מדינה, ביניהם בכירים העובדים בשירות המדינה.

התוקפים הצליחו לחדור אל רשת המחשוב של שירביט
ולגנוב ממנה כמויות גדולות ביותר של נתונים מסווגים המצויים על השרתים.
מה לא נמצא שם? מידע אודות תביעות שהגישו הלקוחות,
סיכומי טיפולים ואשפוזים, תלושי משכורת, הסכמים, חוזים,
תמלילי ישיבות, פרטי כרטיס אשראי של לקוחות ועוד.

אחרי שני אירועים אלו, עולם אבטחת המידע כבר לא חזר להיות כמו שהיה קודם לכן.
חששותיהם של מנהלים ארגונים ותאגידים ברחבי העולם התממשו ועתה,
שום דבר כבר לא בטוח. “דע את האויב”, מלמדים אותנו טובי האסטרטגים
ואנחנו באקסיטו מבינים שגם הלקוחות שלנו רוצים לדעת מה קורה בדיוק בהתקפה העושה שימוש ב-DLL.

איך זה עובד?

האקרים מכניסים קוד זדוני לספריית הקישורים הדינמיים (DLL)
של תוכנה המצויה בשימוש גנרי בחברה.
הספרייה הנגועה מחולקת לארגונים המשתמשים באותה תוכנה.
כשהתוכנה מאותחלת וספריית הקישורים נטענת,
הקוד הזדוני יוצר קשר עם פונקציה הכוללת את אפליקציות מערכת ההגנה.

מערכת ההגנה כוללת רשימת בדיקות אותן היא מריצה על מנת
לוודא כי מדובר ברשת ממשית. בשלב השני, התוכנה אוספת מידע על המערכת.
התוכנה מקושרת אל שרת פיקוד ובקרה. הדומיין שהיא מקושרת אליו מבוסס
על מידע שנאסף במערכת המידע של הארגון ויוצרת סאב דומיינים ייחודיים.
תוכנת ה-backdoor שולחת את המידע שנאסף אל התוקף.

תוכנת ה-backdoor שולחת פקודות שהיא מקבלת מהתוקף.
היכולות המרובות של ה-backdoor מאפשרות לתוקף מגוון פעולות
כמו גניבת אישורים רשמיים, תמיכה והרחבה של פריבילגיות מתקדמות
ופעולות שונות בתוך המערכת.

 

איך מזהים אירוע אבטחת מידע לפני שנגרם נזק?

באמצעות פתרונות מתקדמים לזיהוי פעילות
דלת אחורית של שרשרת האספקה,
אקסיטו מספקת אינדיקטורים המאפשרים לזהות שחקני דלת אחורית.
החתימות הן שילוב של הפורמטים הבאים: Yara, IOC ו- Snort.

שירותי ענן באקסיטו כוללים אבטחה מקיפה של:

  • פרטיות מידע
  • מידע אישי
  • חוקים ורגולציות

קראו עוד על שירותי אחסון בענן

הירשמו אל המנוי של exsitu וקבלו עידכונים, תוכן ענייני ומדריכים