ה-FBI מזהיר מפני קבלת כונני USB זדוניים

קבוצת פושעי סייבר ממזרח אירופה ניסתה לפרוץ למגוון חברות אמריקניות – ממגזרי התחבורה, הביטחון והביטוח –  על ידי שליחת כונני USB זדוניים לארגונים האלה. ה-FBI הוציא בסוף השבוע התראה בנושא לארגונים.

החברות בארה"ב קיבלו שורה של מכתבים מזויפים, שהגיעו דרך שירות הדואר האמריקאי ו-UPS, מאוגוסט עד נובמבר. השולחים התחזו למשרד הבריאות בחלק מהמקרים, ולאמזון – במקרים אחרים. על פי הבולשת, במקום לקבל כרטיס מתנה אמיתי של אמזון, או הדרכה מוסמכת לגבי המאבק במגיפת הקורונה – המכתבים הגיעו עם כונן USB שהכיל בתוכו נוזקה.

ברגע שהקורבנות הכניסו את ה-USB למחשב, ההתקן הנגוע עלול היה לתת לקבוצת ההאקרים גישה לרשתות של הארגון, ואז הם היו יכולים לבצע מתקפת כופרה. על פי ה-FBI, "לא ברור כמה, אם בכלל, מהחברות נפגעו ממשלוח ההתקנים הנגועים, אולם זו תזכורת, לטווח הארוך, לגבי הטקטיקה החכמה של קבוצות פושעי הסייבר".

ה-FBI ייחס את משלוח ההתקנים ל-FIN7, קבוצת האקרים ממזרח אירופה, שהתובעים בארה"ב האשימו אותה בגרימת נזק ובהפסדים של מיליארדי דולרים לצרכנים ולעסקים בארה"ב ומחוצה לה. ואולם מומחי אבטחה הטילו ספק האם אכן מדובר באותה קבוצה, שכן זו איבדה בשנים האחרונות חלק מחבריה בגלל הרדיפות של רשויות החוק אחריהם. חוקרי מנדיאנט (Mandiant) שניתחו חלק מהקוד הזדוני שבהתקני ה-USB, אמרו כי יש להם "מידה נמוכה של ודאות" כי מדובר באותה קבוצה.

בנצי בן-עטר, מייסד משותף וסמנכ"ל שיווק בספיו סיסטמס (sepio systems), אמר לאנשים ומחשבים, כי "פושעי סייבר תמיד מחפשים וקטורי תקיפה חדשים. בעוד שמוצרי אבטחת סייבר משתפרים – וקטור תקיפה אחד לעולם אינו מאכזב – בני אדם. טכניקות של הנדסה חברתית תמיד עובדות, כי הן מפתות, מנצלות את החמדנות האנושית למתנות חינם ומשתיקות את האינסטינקטים שאמורים להזהיר אותנו. כך, במקום להטיל ספק בלגיטימיות של המכשיר שקיבלנו במתנה, אנחנו פשוט מקבלים אותה כפי שהיא".

קו ההגנה השני, הסביר, "הוא, שאם ההתקן יוחדר פיזית לארגון, הוא ייחסם. רכיבים מוקשחים עוקפים את פתרונות האבטחה הקיימים, הם לא מזוהים ברמה הלוגית כהתקנים זדוניים, או ככאלה הנחזים להתקנים לגיטימיים. לפיכך, כדי להתחמק מהתקפות מבוססות חומרה, חיוני להימנע משימוש באותם רכיבים".

לדברי בן-עטר, "מודעות העובדים היא חיונית אף יותר, כיוון שהתקפות מבוססות חומרה מתרחשות בתדירות גבוהה יותר: ב-2020, 37% מהאיומים תוכננו לניצול USB – נתון כמעט כפול לעומת 2019. בנוסף, בשל הגידול בשימוש ב-USB, לתוקפים יש סיכוי גבוה יותר להצליח. רשלנות עובדים היא הגורם ל-62% מאירועי הסייבר. ההכשרה וההדרכות חשובים, אך לא מדובר בפתרון קסם. טכניקות הנדסה חברתית מבוססות חומרה עלולות להיות מטעות ביותר וקשה לזהותן. לכן, שכבת הגנה נוספת, כמו Zero Trust Hardware Access  – צריכה להיות קו ההגנה האחרון, כאשר חולשות אנושיות מנוצלות."

אין זה המשלוח הראשון של התקנים נגועים. במרץ 2020 דיווחנו כי קבוצת ההאקרים FIN7 שלחה בדואר האמריקני לעובדי ארגונים חבילות ובהן גיפטקארד, בובת דובי והתקן USB נגוע בנוזקה. הגיפטקארד כלל הטבה לכאורה בסך 50 דולרים, ולצידו ה-USB, ובו לכאורה רשימה של שמות המוצרים הניתנים לרכישה בעזרת הכרטיס. לאחר שהקורבנות שקיבלו את החבילות הכניסו את ה-USB למחשב שלהם, הותקנה בו דלת אחורית, המכונה Griffon, שבאמצעותה ניתן לגנוב מהמחשב נתונים ולהשתלט עליו מרחוק. מומחים ציינו, כי חברי FIN7 אחראים לפיתוח נוזקות שסייעו להעשיר את קופתם ביותר ממיליארד דולר בשנים האחרונות.

באוגוסט 2018 נעצרו שלושה אזרחים אוקראינים, שלפי גורמי האכיפה בארה"ב עומדים בראש קבוצת ההאקרים הידועה בשמות Fin7, Carbanak ו-Navigator Group – בגרמניה, בפולין ובספרד, והואשמו ב-26 עבירות. משרד המשפטים האמריקני טען, כי חברי הקבוצה פגעו ב-100 חברות בארצות הברית, פרצו לאלפי מערכות מחשבים וגנבו 15 מיליון מספרים של כרטיסי אשראי וכרטיסי חיוב. עוד נטען, כי הקבוצה חדרה לרשתות ב-47 מדינות ובעיר וושינגטון, ופרצה ל-6,500 מסופים בנקודות מכירה ב-3,600 אתרים עסקיים. הקבוצה פרצה גם למערכות בבריטניה, באוסטרליה ובצרפת, והיא אחראית, בין השאר, לפריצה למערכות של אורקל, לורד אנד טיילור וסאקס פיפת' אווניו.