מינרווה הישראלית: זיהינו את הפוגען שפגע בSolar Wind כבר באוגוסט האחרון 

המתקפה על חברת Solar Wind, לכאורה על ידי הביון הרוסי, נחשפה לעולם לפני כשבוע. עם זאת, מינרווה טוענת כי זיהתה את הפוגען כבר לפני כשלושה חודשים 

מינרווה הישראלית: זיהינו את הפוגען שפגע בSolar Wind כבר באוגוסט האחרון 

bigstock

המתקפה על חברת Solar Wind, לכאורה על ידי הביון הרוסי, נחשפה לעולם לפני כשבוע. עם זאת, חברת מינרווה הישראלית (Minerva Labs) טוענת בבלוג חדש כי כלי ההגנה של החברה זיהה את הפוגען כבר באוגוסט האחרון. כשלושה חודשים לפני שאר העולם וחברות אבטחת המידע האחרות. 

הפוגען, כך לפי פרסום של cybercdh מחפש תנאי סף טרם פעולתו במחשב הקורבן. אם מתקיימים חלק מהתנאים, הוא אינו פועל על המחשב המסוים. מינרווה, יודעת לסמלץ עשרות אלפי תנאים כברירת מחדל, כאשר במקרה זה נוצרה הצלבה, והפוגען לא עבד. כלומר, קובץ ההתקנה המזוהם של Solar Wind ירד למחשב והופעל, אולם, בשלב ההפעלה שלו, התקיימו תנאי סף שמנעו ממנו לרוץ. 

"אחד המודולים בפלטפורמה שלנו הוא Hostile Environment Simulation - המודול הזה עושה סימולציה של ארטיפקטים רבים (כולל את אלה המופיעים ב SW). בסך הכל אנחנו מדברים כאן בסימלוץ של מעל ל 15,000 ארטיפקטים שונים בדרכים שונות ומשונות. היינו שלוש שנים מתחת לראדר לפתח את הטכנולוגיה המוגנת ברישום תשעה פטנטים", מסביר אדי בובריצקי, מנכ״ל החברה ומייסד שותף. 

"למשל, יש הרבה נוזקות אשר אינן רצות על מחשב עם מקלדת רוסית. אנחנו מסמלצים מלקדת רוסית. זאת אומרת, לך כבנאדם שמשתמש במחשב, לא תראה אותה. אבל אם תריץ שאילתה הבודקת אם המקלדת קיימת - תקבל תשובה חיובית ולכן הנוזקה לא תפעל. אז יש כאן מניעה (ללא הכרות עם הבינארי) ויש כאן גם זיהוי (לאחר מניעה) היות ונגעת בארטיפקט שלנו. כמו כן אנחנו יודעים להסתיר תהליכים קריטיים בארגון כ״בלתי נראים״ לקוד שמחפש אותם."

התייחסות למקרה ניתנה גם מצד עמית מלצר, לשעבר בכיר בשירות ביטחון ישראלי, הטוען בהקשר המקרה כי "כל מי שחיפש אנומליות נפל. התוקף השתמש בערוץ לגיטימי של תוכנה שבטח הוכנסה לרשימה הלבנה. זה 'אלף בית' של תקיפה סמויה, וזה מכשיל לא רק EDR אלא גם את רוב תוכנת ה-ML שלא מזהות חריגה בתבנית התקשורת או הפעלת הקוד.

"עד כאן מגבלות הגישה הסטטיסטית לזיהוי תקיפה מהסוג הזה. מה שנחוץ זה או מערכת כמו מינרווה שנכנסת למוח של התוקף ומנטרלת אותו, או מנגנון זיהוי קוד זר שאינו מבוסס על חתימות או סטטיסטיקה אלא על ניתוח דיטרמיניסטי." 

אזכיר כי במתקפה נפלו משרדי ממשלה אמריקאים, כולל הDHS ויש חשש כי גם הפנטגון נפל קורבן. כך גם חברות ענק כמו מיקרוסופט ומאות חברות, בין הגדולות במשק האמריקני. התקיפה מיוחסת לביון הרוסי על ידי מחלקת המדינה האמריקנית. 

אולי יעניין אותך גם