מרגלים במתגים: סיגניה חושפת איך האקרים סינים מסתתרים בליבת הרשתות הארגוניות

חברת הסייבר הישראלית סיגניה חשפה פעילות ריגול מתוחכמת של קבוצת האקרים סינית, המנצלת חולשה במערכות סיסקו ומאיימת על ארגונים ברחבי העולם
 

עמי רוחקס דומבה |
מרגלים במתגים: סיגניה חושפת איך האקרים סינים מסתתרים בליבת הרשתות הארגוניות

אורן בידרמן, ראש צוות זיהוי ותגובה לאירועי סייבר בחברת סיגניה (צילום: גיא להב)

חברת הסייבר הישראלית סיגניה (Sygnia) חושפת חולשת אבטחה בתוכנת Cisco NX-OS של חברת סיסקו, המשפיעה על מגוון רחב של ציוד תקשורת מסוג Cisco Nexus שנמצא בארגונים רבים בארץ ובעולם. 

את פרצת האבטחה ביצעה קבוצת ההאקרים הסינית Velvet Ant ("נמלת הקטיפה") שנחשבת לאחת המתוחכמות בעולם. היא נחשפה על-ידי חוקרי סיגניה שגילו את הפגיעות, דיווחו עליה לסיסקו, תוך שהם מספקים לה מידע מפורט על מהלך התקיפה, שבוצעה למטרות ריגול.

חולשת האבטחה זוהתה כחלק מחקירה נרחבת שביצע צוות חוקרי סיגניה, לאחר שנקראו לסייע ללקוח החברה שהותקף על-ידי קבוצת Velvet Ant. על ידי ניצול פגיעות זו, קבוצת ההאקרים הסינית הצליחה להריץ תוכנה זדונית (malware) שיצרה בעצמה. תוכנה זו לא הייתה ידועה בעבר והיא אפשרה להאקרים להתחבר מרחוק למכשירי Cisco Nexus שנפגעו, להעלות קבצים נוספים ולהפעיל קוד זדוני במכשירים.

החולשה מאפשרת לתוקף אשר הצליח להשיג גישת אדמין לציוד התקשורת של סיסקו, להריץ פקודות שרירותיות ישירות על מערכת ההפעלה מסוג לינוקס שבבסיס מערכת ההפעלה של סיסקו, תוך כדי שהתוקף "מדלג" בין שכבת סיסקו ללינוקס.

"על מנת להיות מוסתרים יותר ברשת עברו התוקפים לעבוד מתוך מכשירי ה-Cisco Nexus הקיימים בתוך הארגון המותקף", מסביר אורן בידרמן, ראש צוות זיהוי ותגובה לאירועי סייבר בחברת סיגניה. "הפעם, התוקף השתמש במכשירים האלו כדי להסתתר בתוך הארגון ומשם להוציא מתקפות בתוך רשת הארגון. זאת, מאחר שמרבית הארגונים לא מנטרים איומי סייבר במרחב של ציוד התקשורת בארגון".

ציוד רשתי, במיוחד מתגים (switch), לרוב אינו מנוטר, ולעתים קרובות הלוגים שלו אינם מועברים למערכת ניטור מרכזית. חוסר הניטור הזה יוצר אתגרים משמעותיים בזיהוי וחקירה של פעילויות זדוניות. בסיגניה ממליצים לארגונים לוודא שהם מקשיחים את הגישה למתגים ומפעילים את אמצעי הניטור שלהם.

קבוצת Velvet Ant, אשר פועלת בחסות סין, מתאפיינת בניצול חולשות אבטחה בציוד תקשורת של יצרניות גלובליות שונות על מנת להקשות על חשיפתן בעזרת אמצעי הניטור השגרתיים שבארגון. כך מבטיחים ההאקרים הסינים גישה ממושכת לרשת הארגונית תוך שהם מנסים לגנוב מידע רגיש לצורכי ריגול. בתחילת החודש פרסמה סיגניה מחקר נוסף שבו פירטו חוקרי החברה את שיטות הפעולה של ההאקרים, כחלק מחקירה פורנזית רחבה שסיגניה ביצעה עבור ארגון גדול שנפל קורבן למתקפה המתוחכמת.

תגיות
img
פרשנות | כוח צבאי משמעותי של נאט״ו יכול להקטין הסתברות למלחמה גרעינית באירופה
דעה | אופציה צבאית ישראלית תוכל לרסן את איראן 
קבוצת SQLink רוכשת את ZIGIT הישראלית
קבוצת SQLink רוכשת את ZIGIT הישראלית
ad