ממניעת שירות למניעת מחשוב
בעוד תקיפות מניעת שירות מסוג DDoS הופכות להיות עניין שבשגרה, סוג חדש של מתקפות מאיים להפר את האיזון באמצעות תקיפה של מחשבים. במקום להפריע לפעילות השירותים, סוג מתקפה זה מאיים להשבית את תשתית המחשוב של הארגון
רם לוי
| 19/05/2011
via shutterstock.com
השימוש הגובר בהתקפות מניעת שירות מבוזר (DDoS) על ידי קבוצת כגון "אנונימוס" כדי לפגוע בארגונים ומדינות, העלתה את המודעות העולמית לבעיה. למרות פוטנציאל הנזק הפיננסי של התקפה מסוג זה, עלות ההתקפה אינה גבוהה, ותשומת הלב העולמית לבעיית התקפות מניעת שירות ממריצה גופים רבים לקדם את ההגנה שלהם נגד התקפות אלו. בין היתר, באמצעות התאגדות ויצירת מגנונים לשיתוף מידע כגון "אטלס" של חברתArbor שבה חברות יותר מ-250 ספקיות אינטרנט.
בחודשים האחרונים יש "רנסנס" של התקפות ישנות שמטרתן פגיעה תפקודית בארגונים על ידי מחיקת מחשבים והוצאתם מכלל פעולה. בהתקפה כזו נמחקים אלפי מחשבים ברגע נתון בארגון ספציפי ובכך משובשת יכולתו לתפקד. התקפה זו אכנה בשם "מניעת מחשוב" או "Denial of Computing" (ככל הידוע לי, טרם נעשה שימוש במונח הזה). מדובר באיום משמעותי עם פוטנציאל נזק גדול בהרבה ממניעת שירות.
ישנן מספר דוגמאות מהשנה האחרונה להתקפת מניעת מחשוב. באוגוסט 2012 הותקפה ענקית הנפט הסעודית ארמקו (Aramco) הנמצאת בבעלות ממשלת סעודיה באמצעות וירוס קטלני שנקרא "שַמוּן" (Shamoon). הוירוס מחק למעלה מ-30,000 מחשבים בחברה וגרם לפגיעה תפקודית חמורה במשך שבועיים. מספר שבועות לאחר מכן נתקפה חברתRasGas שנמצאת בקטאר על ידי אותו וירוס. שר ההגנה האמריקאי לאון פנטה התייחס להתקפה ותיאר אותה כ"כנראה ההתקפה ההרסנית ביותר על הפרטי עד כה". ע"פ מקורות אמריקאים, ההתקפה ככל הנראה בוצעה ע"י איראן, בתגובה לאמברגו על ייצוא הנפט האיראני .
תקיפה הסייבר נגד דרום קוריאה
התקפת מניעת מחשוב האחרונה בוצעה נגד מספר חברות בדרום קוריאה ב-20 במרץ 2013. באותו היום, בשעה 14:00 נמחקו באופן מתוזמן למעלה מ 48,000 מחשבים בבנקים וערוצי טלוויזיה. לפי גורמי משטרה רשמיים, נפגעו שלושת ערוצי הטלוויזיה YTN, MBC, KBS (אם כי הערוצים המשיכו בשידור) ושני בנקים Shinhan Bank ו-NongHyup Bank.
חברת סימנטק מצאה שיש קשר בין ההתקפות על דרום קוריאה בשנים 2009, 2011 וזו האחרונה. בשנת 2009, במסגרת מתקפת ה"4 ביולי" שנמשכה מספר ימים, מספר אתרי אינטרנט בדרום קוריאה וארצות הברית היו תחת מתקפת מניעת שירות DDoS שנמשכה מספר ימים.
גל ההתקפה הראשון ב-4 ביולי כלל בעיקר מניעת שירות. ההתקפה לא הייתה משמעותית ביותר, אך כבר אז עלו חשדות שצפון קוריאה מעורבת בה. כמה ימים מאוחר יותר, החלו הגל השני והשלישי של ההתקפה, שהיו מתוחכמים יותר. במשך מספר ימים נשלחו הודעות דואר אלקטרוני, עם פצצה לוגית שכונתה Trojan.Dozer. הפצצה תוכננה לפעול ב-10 ביולי ולגרום למחיקת קטע קטן, אך חיוני, בכונן הקשיח, המכיל את רשומת האתחול MBR שהיא החלק בכונן הקשיח שנוצר עם חלוקת הדיסק למחיצות (partitions).
ב-4 למאי 2011 הותקפו באמצעות DDoS אתרי אינטרנט בדרום קוריאה וארה"ב. הפעם השתמשו בסוס טרויאני שמכונהTrojan.Koredos שבאמצעותו עשו בנו את רשת התקיפה (Botnet) ששימשה לביצוע ההתקפה. הסוס הטרויאני היה מתוחכם למדי, ולו רק בשל העובדה שהצליח (במקרה) להתחבא בצורה שלא אפשרה את גילויו על ידי תוכנות האנטי-וירוס ובכך הוא זכה לתואר "הסוס החמקן".
ההתקפה השלישית נגד דרום קוריאה ארעה ב-20 למרץ 2013. התקפה זו לא הייתה "מניעת שירות" אלא מניעת מחשוב בה נמחקו כאמור 48,000 מחשבים. התקפה זו הייתה הרבה יותר מתוחכמת מקודמותיה. ראשית, תהליך ההדבקה נעשה בשני וקטורים: הדבקה באמצעות דואר אלקטרוני והדבקה באמצעות פריצה למערכת ניהול עדכוני תכונה.
זה מקרה מעניין ביותר משום שמערכת עדכון טלאים (patch management system) אמורה לעדכן חולשות אבטחה שנמצאות במערכות הארגון, וכאשר מערכת כזו משמשת לתקיפה, הדבר מחייב בחינה של הנושא. לאחר התמקמות הרוגלה ברשת, ברגע ההפעלה היא עושה מספר דברים. היא מוחקת את טבלת ה- MBR, מוציאה את המחשב משימוש ומצריכה (ברוב המקרים) את התקנתו מחדש, ובנוסף היא מחפשת כונני רשת ממופים ומנסה למחוק את המידע מאותם כוננים.
גורמים רשמיים בדרום קוריאה מיהרו להאשים גורמים סיניים בהתקפה, לאחר שזוהו מספר כתובות IP סיניות. כמה ימים מאוחר יותר, צוות התחקור שכלל נציגים ממספר גופים ממשלתיים ברשות משרד המדע, התקשורת והתכנון העתידי קבע כי מדובר בצפון קוריאה.
על פי הניתוח שבוצע, התגלו כ-22 כתובות IP שתקשרו עם שישה מחשבים בקוריאה הצפונית, אשר הפיצו את הקוד הזדוני במשך תקופה של 8 חודשים. תקשורת זו נותבה דרך סין, עובדה שכנראה הביאה לזיהוי שגוי של הגורם המתקיף בפועל.
לאור העלייה בהתקפות סייבר נגד דרום קוריאה בשנים האחרונות, התייחס ראש שירותי מודיעין (NIS) הדרום קוריאני, נאם ג'אה-ג'ון(Nam Jae-Joon) , לנושא בשימוע לממשלה ואמר כי בחמש שנים האחרונות היו למעלה מ-70,000 התקפות סייבר, רובן הגדול מצפון קוריאה. בביקורו של מזכ"ל נאט"ו בדרום קוריאה באפריל 2013 הוא הציע להדק את שיתוף הפעולה בתחום הסייבר לאור התקפת הסייבר האחרונה.
משרד הביטחון הדרום קוריאני אף הודיע בשניים באפריל 2013 שהוא מתכוון להקים אגף חדש שיעסוק במדיניות הרתעה בסייבר, ויהיה אחראי על פיתוח שיטות אבטחת מידע טובות יותר להתמודדות עם האיומים המפתחים. דרום קוריאה שהקימה פיקוד סייבר כבר בשנת 2010 פרסמה באפריל האחרון שהיא מתכוננת ליישום תכנית הגנת סייבר כוללת להתמודדות עם האיום בחצי שנה הקרובה שתובל ע"י משרד המדע, התקשוב ותכנון עתידי.
ניתוח ההתקפה
כדי לבצע התקפה מהסוג שפגע בדרום קוריאה, דרוש פרק זמן של מספר חודשים הכולל איסוף מודיעין על הרשת הנתקפת ואיתור חולשות שבאמצעותן ניתן להפיץ תולעת ואת הסוס הטרויאני שעתיד למחוק את המחשבים. כל זאת, מבלי להתגלות על ידי תוכנות האנטי וירוס ומערכות גילוי אחרות ברשת. בכדי שהתוקף ידע שההתקפה יוצאת לפועל, הסוסים הטרויאנים צריכים לדווח באופן חשאי על התמקמות ברשת ולחכות לפקודת הפעלה. ייתכן והתוקף יסתפק בפצצה לוגית שזמן ההפעלה שלה מוגדר מראש בתוך הקוד, אך הדבר יקשה עליו לסגת מההתקפה אם ירצה בכך.
כמו כן, יצטרך התוקף יכולת להעריך את תוצאות ההתקפה בטרם תצא לפועל, אחרת הוא לא ידע כמה מחשבים הוא הצליח להדביק ואם הסוס מתפקד כמתוכנן (אלא אם יש לו גורם שמשתף אתו פעולה בתוך הארגון הנתקף).
בעוד התקפת מניעת שירות פוגעת בזמינות השירות המקוון, ויכולה להוביל להפסדים כספיים או תפקודיים , התקפת "מניעת מחשוב" פוגעת בעצם יכולת הארגון לתפקד. התקפה כזו גם מטילה תשומות רבות על הגוף הנתקף, היות והיא מחייבת שחזור מחדש של המחשבים, פעולה האורכת לפחות מספר ימים עד שבועות עד לשחזור מלא של המחשבים שנתקפו.
לסיכום, בהתקפה על דרום קוריאה ישנה עליית מדרגה שאינה עניין של מה בכך. התקפה כזו הינה הרסנית יותר מהתקפת מניעת שירות ופוטנציאל הנזק שלה משמעותי יותר. מאידך, זוהי התקפה שמסובך יותר לתכנן ולהוציא לפועל, והיא דורשת משאבים ניכרים, ידע ויכולות טכנולוגיות גבוהות יותר מהתוקף.
הכותב הוא יועץ סייבר של המועצה הלאומית למחקר ופיתוח וחוקר בכיר בסדנת יובל נאמן למדע טכנולוגיה וביטחון, אוניברסיטת תל אביב. http://about.me/ramlevi
השימוש הגובר בהתקפות מניעת שירות מבוזר (DDoS) על ידי קבוצת כגון "אנונימוס" כדי לפגוע בארגונים ומדינות, העלתה את המודעות העולמית לבעיה. למרות פוטנציאל הנזק הפיננסי של התקפה מסוג זה, עלות ההתקפה אינה גבוהה, ותשומת הלב העולמית לבעיית התקפות מניעת שירות ממריצה גופים רבים לקדם את ההגנה שלהם נגד התקפות אלו. בין היתר, באמצעות התאגדות ויצירת מגנונים לשיתוף מידע כגון "אטלס" של חברתArbor שבה חברות יותר מ-250 ספקיות אינטרנט.
בחודשים האחרונים יש "רנסנס" של התקפות ישנות שמטרתן פגיעה תפקודית בארגונים על ידי מחיקת מחשבים והוצאתם מכלל פעולה. בהתקפה כזו נמחקים אלפי מחשבים ברגע נתון בארגון ספציפי ובכך משובשת יכולתו לתפקד. התקפה זו אכנה בשם "מניעת מחשוב" או "Denial of Computing" (ככל הידוע לי, טרם נעשה שימוש במונח הזה). מדובר באיום משמעותי עם פוטנציאל נזק גדול בהרבה ממניעת שירות.
ישנן מספר דוגמאות מהשנה האחרונה להתקפת מניעת מחשוב. באוגוסט 2012 הותקפה ענקית הנפט הסעודית ארמקו (Aramco) הנמצאת בבעלות ממשלת סעודיה באמצעות וירוס קטלני שנקרא "שַמוּן" (Shamoon). הוירוס מחק למעלה מ-30,000 מחשבים בחברה וגרם לפגיעה תפקודית חמורה במשך שבועיים. מספר שבועות לאחר מכן נתקפה חברתRasGas שנמצאת בקטאר על ידי אותו וירוס. שר ההגנה האמריקאי לאון פנטה התייחס להתקפה ותיאר אותה כ"כנראה ההתקפה ההרסנית ביותר על הפרטי עד כה". ע"פ מקורות אמריקאים, ההתקפה ככל הנראה בוצעה ע"י איראן, בתגובה לאמברגו על ייצוא הנפט האיראני .
תקיפה הסייבר נגד דרום קוריאה
התקפת מניעת מחשוב האחרונה בוצעה נגד מספר חברות בדרום קוריאה ב-20 במרץ 2013. באותו היום, בשעה 14:00 נמחקו באופן מתוזמן למעלה מ 48,000 מחשבים בבנקים וערוצי טלוויזיה. לפי גורמי משטרה רשמיים, נפגעו שלושת ערוצי הטלוויזיה YTN, MBC, KBS (אם כי הערוצים המשיכו בשידור) ושני בנקים Shinhan Bank ו-NongHyup Bank.
חברת סימנטק מצאה שיש קשר בין ההתקפות על דרום קוריאה בשנים 2009, 2011 וזו האחרונה. בשנת 2009, במסגרת מתקפת ה"4 ביולי" שנמשכה מספר ימים, מספר אתרי אינטרנט בדרום קוריאה וארצות הברית היו תחת מתקפת מניעת שירות DDoS שנמשכה מספר ימים.
גל ההתקפה הראשון ב-4 ביולי כלל בעיקר מניעת שירות. ההתקפה לא הייתה משמעותית ביותר, אך כבר אז עלו חשדות שצפון קוריאה מעורבת בה. כמה ימים מאוחר יותר, החלו הגל השני והשלישי של ההתקפה, שהיו מתוחכמים יותר. במשך מספר ימים נשלחו הודעות דואר אלקטרוני, עם פצצה לוגית שכונתה Trojan.Dozer. הפצצה תוכננה לפעול ב-10 ביולי ולגרום למחיקת קטע קטן, אך חיוני, בכונן הקשיח, המכיל את רשומת האתחול MBR שהיא החלק בכונן הקשיח שנוצר עם חלוקת הדיסק למחיצות (partitions).
ב-4 למאי 2011 הותקפו באמצעות DDoS אתרי אינטרנט בדרום קוריאה וארה"ב. הפעם השתמשו בסוס טרויאני שמכונהTrojan.Koredos שבאמצעותו עשו בנו את רשת התקיפה (Botnet) ששימשה לביצוע ההתקפה. הסוס הטרויאני היה מתוחכם למדי, ולו רק בשל העובדה שהצליח (במקרה) להתחבא בצורה שלא אפשרה את גילויו על ידי תוכנות האנטי-וירוס ובכך הוא זכה לתואר "הסוס החמקן".
ההתקפה השלישית נגד דרום קוריאה ארעה ב-20 למרץ 2013. התקפה זו לא הייתה "מניעת שירות" אלא מניעת מחשוב בה נמחקו כאמור 48,000 מחשבים. התקפה זו הייתה הרבה יותר מתוחכמת מקודמותיה. ראשית, תהליך ההדבקה נעשה בשני וקטורים: הדבקה באמצעות דואר אלקטרוני והדבקה באמצעות פריצה למערכת ניהול עדכוני תכונה.
זה מקרה מעניין ביותר משום שמערכת עדכון טלאים (patch management system) אמורה לעדכן חולשות אבטחה שנמצאות במערכות הארגון, וכאשר מערכת כזו משמשת לתקיפה, הדבר מחייב בחינה של הנושא. לאחר התמקמות הרוגלה ברשת, ברגע ההפעלה היא עושה מספר דברים. היא מוחקת את טבלת ה- MBR, מוציאה את המחשב משימוש ומצריכה (ברוב המקרים) את התקנתו מחדש, ובנוסף היא מחפשת כונני רשת ממופים ומנסה למחוק את המידע מאותם כוננים.
גורמים רשמיים בדרום קוריאה מיהרו להאשים גורמים סיניים בהתקפה, לאחר שזוהו מספר כתובות IP סיניות. כמה ימים מאוחר יותר, צוות התחקור שכלל נציגים ממספר גופים ממשלתיים ברשות משרד המדע, התקשורת והתכנון העתידי קבע כי מדובר בצפון קוריאה.
על פי הניתוח שבוצע, התגלו כ-22 כתובות IP שתקשרו עם שישה מחשבים בקוריאה הצפונית, אשר הפיצו את הקוד הזדוני במשך תקופה של 8 חודשים. תקשורת זו נותבה דרך סין, עובדה שכנראה הביאה לזיהוי שגוי של הגורם המתקיף בפועל.
לאור העלייה בהתקפות סייבר נגד דרום קוריאה בשנים האחרונות, התייחס ראש שירותי מודיעין (NIS) הדרום קוריאני, נאם ג'אה-ג'ון(Nam Jae-Joon) , לנושא בשימוע לממשלה ואמר כי בחמש שנים האחרונות היו למעלה מ-70,000 התקפות סייבר, רובן הגדול מצפון קוריאה. בביקורו של מזכ"ל נאט"ו בדרום קוריאה באפריל 2013 הוא הציע להדק את שיתוף הפעולה בתחום הסייבר לאור התקפת הסייבר האחרונה.
משרד הביטחון הדרום קוריאני אף הודיע בשניים באפריל 2013 שהוא מתכוון להקים אגף חדש שיעסוק במדיניות הרתעה בסייבר, ויהיה אחראי על פיתוח שיטות אבטחת מידע טובות יותר להתמודדות עם האיומים המפתחים. דרום קוריאה שהקימה פיקוד סייבר כבר בשנת 2010 פרסמה באפריל האחרון שהיא מתכוננת ליישום תכנית הגנת סייבר כוללת להתמודדות עם האיום בחצי שנה הקרובה שתובל ע"י משרד המדע, התקשוב ותכנון עתידי.
ניתוח ההתקפה
כדי לבצע התקפה מהסוג שפגע בדרום קוריאה, דרוש פרק זמן של מספר חודשים הכולל איסוף מודיעין על הרשת הנתקפת ואיתור חולשות שבאמצעותן ניתן להפיץ תולעת ואת הסוס הטרויאני שעתיד למחוק את המחשבים. כל זאת, מבלי להתגלות על ידי תוכנות האנטי וירוס ומערכות גילוי אחרות ברשת. בכדי שהתוקף ידע שההתקפה יוצאת לפועל, הסוסים הטרויאנים צריכים לדווח באופן חשאי על התמקמות ברשת ולחכות לפקודת הפעלה. ייתכן והתוקף יסתפק בפצצה לוגית שזמן ההפעלה שלה מוגדר מראש בתוך הקוד, אך הדבר יקשה עליו לסגת מההתקפה אם ירצה בכך.
כמו כן, יצטרך התוקף יכולת להעריך את תוצאות ההתקפה בטרם תצא לפועל, אחרת הוא לא ידע כמה מחשבים הוא הצליח להדביק ואם הסוס מתפקד כמתוכנן (אלא אם יש לו גורם שמשתף אתו פעולה בתוך הארגון הנתקף).
בעוד התקפת מניעת שירות פוגעת בזמינות השירות המקוון, ויכולה להוביל להפסדים כספיים או תפקודיים , התקפת "מניעת מחשוב" פוגעת בעצם יכולת הארגון לתפקד. התקפה כזו גם מטילה תשומות רבות על הגוף הנתקף, היות והיא מחייבת שחזור מחדש של המחשבים, פעולה האורכת לפחות מספר ימים עד שבועות עד לשחזור מלא של המחשבים שנתקפו.
לסיכום, בהתקפה על דרום קוריאה ישנה עליית מדרגה שאינה עניין של מה בכך. התקפה כזו הינה הרסנית יותר מהתקפת מניעת שירות ופוטנציאל הנזק שלה משמעותי יותר. מאידך, זוהי התקפה שמסובך יותר לתכנן ולהוציא לפועל, והיא דורשת משאבים ניכרים, ידע ויכולות טכנולוגיות גבוהות יותר מהתוקף.
הכותב הוא יועץ סייבר של המועצה הלאומית למחקר ופיתוח וחוקר בכיר בסדנת יובל נאמן למדע טכנולוגיה וביטחון, אוניברסיטת תל אביב. http://about.me/ramlevi
