ישראל וארה"ב מזהירות משימוש לא מאובטח בתוכנות לתמיכה מרחוק

ארגונים רבים נפגעים ממתקפות סייבר בשל השימוש שעושים התוקפים בתוכנות לשליטה מרחוק. הבעיה העיקרית היא שהתוכנות הללו מזהות אירועים, כגון התחברות למשתמש אחר – כלגיטימיות, ואז, אם וכאשר האקר מתלבש עליהן – והוא עושה זאת בקלות, הן אפילו לא מתריעות על כך. בדרך זו קורה שעל ידי ניצול של התוכנות הללו, תוקפים יושבים במערכות ה-IT של ארגוני הקורבנות ופועלים בהן באופן חופשי, ובמשך זמן רב. הבעיה נפוצה בעיקר – אך לא רק – בקרב אנשי פיתוח ואנשי תמיכה, שמעדיפים את השימוש בתוכנות האלה.

מערך הסייבר הלאומי והגופים המקבילים בארצות הברית פרסמו באחרונה מדריך להתמודדות עם הבעיה של תקיפות באמצעות תוכנות לשליטה מרחוק. לפי המערך, "תוכנות לשליטה מרחוק משמשות בארגונים רבים לתמיכה טכנית מרחוק, של צוות ה-IT – במשתמשים. כך, אנשי המחשוב בארגונים מעניקים תמיכה טכנית למשתמשי הארגון ומבצעים את פעולות התמיכה ישירות במחשב הקצה. בנוסף, אנשי ונשות פיתוח רבים אוהבים להתחבר לסביבת הפיתוח המשרדית שלהם מהבית, ועושים זאת באמצעות תוכנות אלה. באמצעותן הם מנהלים את כל עולמם מכל מקום". "הבעיה", ציינו חוקרי המערך, "היא שגם האקרים מכל העולם אוהבים את התוכנות הללו, שבדרך כלל לא מוגדרות נכון. הם מתחברים ועושים כרצונם במה שמערכות ההגנה מזהות כפעולות לגיטימיות". סוג זה של מתקפה מכונה Living off the land (או, בקיצור, LOTL), חיים תחת האדמה – משמע, פועלים בחשאי.

דרך פעולה אטרקטיבית במיוחד עבור ההאקרים

באחרונה זיהו מערכי הסייבר של ישראל ושל ארצות הברית שתוכנות אלה משמשות את ההאקרים לביצוע מתקפות בלי להתגלות – בין השאר של האקרים סיניים, שפועלים בחסות המדינה. דרך התקיפה של השתלטות עליהן וביצוע פעולות במחשבים של משתמשים נחשבת אטרקטיבית במיוחד עבור ההאקרים. זאת, כי מערכות ההגנה והאיתור של ארגונים מתקשות לאתר את התקיפה ולהתריע על גישה לא מורשית למערכות. הסיבה לכך היא המהות של תוכנות אלה, שנועדו להתחברות מרחוק ולביצוע פעולות במחשב של משתמש אחר. באופן זה מצליחים ההאקרים, במקרים רבים, לעקוף את מדיניות האבטחה ואף את חומת האש של הארגון.

על רקע התגברות המתקפות שמשתמשות בתוכנות אלה פרסמו באחרונה מערך הסייבר הלאומי וארגוני הסייבר המובילים של ארצות הברית – הסוכנות להגנת סייבר ותשתיות (CISA), ה-FBI וה-NSA – וכן MS-ISAC, המרכז העולמי לשיתוף מידע וניתוח מידע, מדריך משותף מקיף עבור ארגונים לזיהוי ולהגנה מפני תקיפות מסוג זה. המדריך יצא תחת מיזם המשותף לשתי המדינות בשם Joint Cyber Defense Collaborative – (המיזם) המאוחד לשיתוף פעולה בסייבר.

לדברי טום אלכסנדרוביץ', ראש אגף בכיר להגנה טכנולוגית במערך הסייבר הלאומי, "ראינו עשרות מקרים בישראל שבהם תוקפים, לרבות קבוצות תקיפה איראניות, משתמשים בתוכנות אלה. לוקח זמן רב עד שארגונים מצליחים לזהות אותם במערכות". אלכסנדרוביץ' הוסיף כי "התוקפים משתמשים בכלי מדף (COTS), שהופכים את השימוש בתוכנות הזדוניות הללו לנגיש ולאפקטיבי. המדריך המשותף מביא את העדכונים האחרונים, במטרה לצמצם איומים מסוג זה".

אז מה לעשות?

המדריך מספק סקירה רחבה על תוכנות גישה מרחוק, תוך התייחסות לחולשות נפוצות, טקטיקות וטכניקות (TTPs). עוד הוא כולל הסבר כיצד ניתן לזהות ולהגן מפני תוקפים, והוא מספק המלצות לשימוש ולאבטחת המערכות מפני מתקפות סייבר מסוג זה.

בין ההמלצות העיקריות: הגדרת אפשרות להשתלטות מרחוק רק באישור המשתמש – הכולל אימות הצד השני, וביטול של האפשרות של חיבור בלא אישור; הגדרת ניטור ספציפי לתוכנות אלה; הטמעת בקרות הקשורות לתחנות הקצה ולרשת; ולארגונים שצורכים שירות בתצורת ענן, המדריך ממליץ על הטמעת ניטור שמתריע על פעולות שמתחברות באמצעות ענן. עוד כולל המדריך המלצות ספציפיות לאנשי פיתוח, שמרבים לעשות שימוש בתצורה זו.