מתקפת סייבר הדביקה מחשבים ביותר ממיליון ארגונים בעולם

צ'ק פוינט מזהירה: "הוריקן הסייבר הבא עומד לבוא - מדובר במסע חדש לגמרי ומתוחכם הרבה יותר, אשר מתפשט במהירות ברחבי העולם"

להרוס הכל. תמונה: BigStock

מתקפת סייבר חדשה התגלתה בימים האחרונים: נוזקה התוקפת רכיבי אינטרנט של הדברים, שהפכה אותם לרשת בוטים (botnet). על פי צ'ק פוינט (Check Point), שגילתה את המתקפה, "מדובר במתקפה מתוחכמת יותר מזו של Mirai".

כזכור, באוקטובר 2016 קבוצת האקרים שמקורה ברוסיה ובסין, נטלה אחריות על מתקפת הסייבר הענקית שאירעה אז. הקבוצה, ההאקרים של העולם החדש, הודיעה כי היא זו שאחראית למתקפת הענק שהביאה לנפילות ולשיבושים קשים ורבים של מאות אתרים בארצות הברית. המתקפה נמשכה כחצי יממה ומאות אתרי אינטרנט נפגעו ממנה, ביניהם רבים וגדולים בעולם.

יעד המתקפה היה דיין (Dyn), חברת תשתיות אינטרנט וספקית שירותי DNS. המתקפה הסבה נזק רב יחסית, בכך שהתמקדה בחברת תשתיות אינטרנט ולא בלקוחותיה. המתקפות היו מסוג DDoS, היוצרות עומס רב על אתר במועד נתון – עד לקריסתו.

ההאקרים השתלטו על עשרות מיליוני רכיבים של אינטרנט של הדברים, בעזרת נוזקה בשם Miari ובכך העצימו את היקף הנזק. אותם רכיבים הם חסרי הגנת סייבר. ההאקרים ארגנו רשתות מחשב שמחוברות למכשירים ביתיים, כדי ליצור את הבוטנט המסיבי, שכיוון כמות עצומה, של 2.1 טריליון ביטים של מידע בכל שנייה – לעבר שרתי דיין.

מלאך המוות של האינטרנט של הדברים

צ'ק פוינט חשפה בראשונה את הבוטנט, בשם "IoT_reaper", (המרטש, מלאך המוות של האינטרנט של הדברים), בתחילת ספטמבר. מאז, על פי ענקית האבטחה הישראלית, מיליוני מכשירי IoT נמצאים בשליטת הבוטנט, ביניהם נתבים ומצלמות IP.

לקמפיין התקיפה האחרון יש היבטים טכניים דומים לאלה של Mirai, אבל לדברי צ'ק פוינט הוא יהיה מסוכן יותר, כי הוא מסוגל "להתפתח", על מנת לנצל את הפגיעויות בהתקנים המחוברים לאינטרנט, ולאחר מכן הוא משתמש בהם על מנת להפיץ את הנוזקה להתקנים אחרים.

החוקרים ציינו כי הבוטנט "מתפשט במהירות ברחבי העולם", ועלול להיות בקרוב נשק למתקפות סייבר, בדיוק באופן בו Mirai פעלה בשנה שעברה.

לדברי חוקרי צ'ק פוינט, "בעוד כמה היבטים טכניים מובילים אותנו לחשוד בקשר אפשרי ל-Mirai, הרי שמנגד, מדובר במסע חדש לגמרי ומתוחכם הרבה יותר, אשר מתפשט במהירות ברחבי העולם". החוקרים ציינו כי "מוקדם מדי לנחש את כוונותיהם של השחקנים שמאחוריו – אך עם מתקפות DDoS קודמות של בוטנטים שהפילו לפעמים חלקים האינטרנט, חיוני שארגונים יערכו הכנות נאותות", ציין הצוות.

על פי ענקית האבטחה הישראלית, מחשבים ביותר ממיליון ארגונים כבר נפגעו מהנוזקה, והנתון צפוי להמשיך ולגדול. עוד נאמר כי "המחקר שלנו מראה כי אנו חווים כעת את השקט לפני סערה חזקה עוד יותר – הוריקן סייבר הבא עומד לבוא".

שושי ליבוביץ', מנהלת פעילות ישראל, יוון וקפריסין ב-F5. צילום: יח"צ

שושי ליבוביץ', מנהלת פעילות ישראל, יוון וקפריסין ב-F5. צילום: יח"צ

לדברי שושי ליבוביץ', מנהלת פעילות ישראל, יוון וקפריסין ב-F5, "בוטנט ה-Reaper הינו אבולוציה של Mirai שגרם להרבה מאוד כאוס באינטרנט. הוא גדל בשקט במשך חודש והתפשט בסוגים שונים של התקנים מחוברים".

היא ציינה כי "ההבדל הגדול ביותר ביניהם הוא ש-Mirai ניסה להתחבר להתקנים דרך telnet, בזמן שניצל סיסמאות ברירת מחדל, או סיסמאות חלשות – על מנת להשתלט על ההתקן".

"בניגוד לכך, ה-Reaper משתמש בתוכנת exploit על התקנים שלא עודכנו בעדכונים האחרונים של אבטחת המידע. זאת, על מנת להשתלט עליהם ולהוסיף אותה לפלטפורמת הפקודות והבקרה. המשמעות היא כי Reaper מסוגל להמשיך לגדול וניתן להשתמש בו לסוגים שונים של פעולות בלתי חוקיות".

ליבוביץ' אמרה כי "שדרוג פשוט של סיסמה מספיק על מנת להגן מפני הבוטנט, לכל ההתקנים המחוברים לאינטרנט. על מנת לעצור את התפשטותו, כל החברות והצרכנים צריכים לוודא כי ההתקנים שלהם מריצים את הגרסאות האחרונות של מערכות ההפעלה, הכוללות את עדכוני אבטחת המידע".

"יחד עם זאת, מאחר שה-Reaper כבר השתלט על התקנים רבים", ציינה לייבוביץ', "עדיין אפשר לנצל אותו על מנת לגרום נזק. לכן, כולם צריכים להתכונן לגרוע מכל, שכן עדיין לא ידוע אם המטרה של העבריינים היא יצירת כאוס, להשיג כסף, או לתקוף מדינות ומותגים".

אילן סגלמן, סמנכ"ל מכירות ופיתוח עסקי ב-Power Communication ומנהל פעילות Sophos בישראל. צילום: יח"צ

אילן סגלמן, סמנכ"ל מכירות ופיתוח עסקי ב-Power Communication ומנהל פעילות Sophos בישראל. צילום: יח"צ

אילן סגלמן, סמנכ"ל פיתוח עסקי ומנהל פעילות Sophos ב-Power Communications, הוסיף כי "הבוטנט Reaper יכול אכן להצביע על כך כי מישהו בצללים מתכנן מתקפת מניעת שירות מבוזרת – נרחבת".

"מכיוון שהבוטנט הזה מנצל התקני אינטרנט של הדברים נפוצים ביותר, המשמשים גם חברות וארגונים וגם משתמשים פרטיים, חשוב לבצע כמה פעולות: להתקין את העדכונים ששחררו יצרני ההתקנים; לדאוג שהתקשורת היוצאת והנכנסת מהתקני האינטרנט של הדברים עוברת דרך מערכת ה-UTM היודעות להתמודד עם בוטנטים, רצוי שזו תהיה מערכת מהדור החדש".

הוא ציין כי "אם ניתן להתקין על המערכת בארגון תוכנה נגד נוזקות – יש לעשות כך בהקדם".

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים