ניתוח עומק: קבוצת ההאקרים הסינית Velvet Ant ניצלה חולשת אבטחה במכשירי Cisco Nexus
קבוצת ההאקרים Velvet Ant הצליחה לפרוץ למכשירי Cisco Nexus ולהתקין תוכנה זדונית מתקדמת, תוך ניצול חולשת Zero-Day. המומחים מזהירים: זיהוי התקיפה כמעט בלתי אפשרי
חברת הסייבר הישראלית סיגניה (Sygnia) חושפת כי קבוצת ההאקרים הסינית Velvet Ant ("נמלת הקטיפה"), מהמתוחכמות בעולם, עברה לפעול ממכשירי Cisco Nexus של חברת סיסקו וניצלה חולשת אבטחה מסוג Zero-Day כדי לגשת לשכבת הלינוקס הבסיסית של המתג ולהתקין את התוכנה הזדונית שלהם - 'VELVETSHELL'.
מכשירים אלה אינם נותנים למשתמש גישה למערכת ההפעלה הבסיסית, מה שהופך את הסריקה לאיתור מזהי תקיפה לכמעט בלתי אפשרית. מעבר זה למכשירי רשת מדגיש את התחכום והנחישות של הקבוצה לשמור על התמדה בסביבה נפגעת כדי להמשיך ולנהל פעילויות ריגול.
בחדירת ההאקרים לתוכנת סיסקו, שנפרשה על פני שנים רבות, הסלימו ההאקרים הסינים את הטקטיקה שלהם כדי לשמור בחשאי על נוכחות מתמדת ברשתות. במשך יותר משלוש שנים הם התחמקו מגילוי והסתננו בהדרגה למערכות Windows חדשות, שרתים ומחשבים ניידים. בהדרגה, הם העבירו את פעילותם למערכות Windows מדור קודם, כגון שרתי Windows 2003. מערכות ישנות אלו, עם רישום (לוג) בלתי הולם וחוסר יכולת לתמוך בטכנולוגיות אבטחה מודרניות, סיפקו סביבה אידיאלית עבור התוקפים להמשיך לפעול מבלי שזוהו.
"קבוצת התקיפה Velvet Ant הציגה יכולות מתקדמות ורמת תחכום גבוהה, שבאות לידי ביטוי גם בהיבט ארסנל הכלים וגם בהיבט העבודה בצורה חשאית דרך רכיבי תקשורת", אומר אמנון קושניר, דירקטור Incident Response בחברת סיגניה. "ניהול המבצע דרך Cisco Nexus Switch היווה עליית מדרגה בחשאיות המבצע, שכן רכיבים מסוג זה מנוטרים לעיתים רחוקות, והם אינם יעד מסורתי לתקיפה. בנוסף, זיהוי כלי תוקף ברמת הלינוקס של מכשיר ה-Switch מהדגם הזה הוא אינו טריוויאלי ומצריך כלים מתקדמים וסיוע ספציפי מסיסקו כדי לאפשר איסוף ראיות פורנזיות מרמת הלינוקס".
חולשת האבטחה בתוכנת Cisco NX-OS של חברת סיסקו נחשפה בחודש שעבר על-ידי חוקרי סיגניה. חולשה זו משפיעה על מגוון רחב של ציוד תקשורת מסוג Cisco Nexus שנמצא בארגונים רבים בארץ ובעולם. את פרצת האבטחה ביצעה קבוצת Velvet Ant שנחשפה על-ידי חוקרי סיגניה, שגילו את הפגיעות ודיווחו עליה לסיסקו, תוך שהם מספקים לה מידע מפורט על מהלך התקיפה שבוצעה למטרות ריגול.
חולשת האבטחה זוהתה כחלק מחקירה נרחבת שביצעו צוות חוקרי סיגניה לאחר שנקראו לסייע ללקוח החברה שהותקף על-ידי קבוצת Velvet Ant. על ידי ניצול פגיעות זו, קבוצת ההאקרים הסינית הצליחה להריץ תוכנה זדונית (malware) בשם VELVETSHELL שיצרה בעצמה. תוכנה זו לא הייתה ידועה בעבר והיא איפשרה להאקרים להתחבר מרחוק למכשירי Cisco Nexus שנפגעו, להעלות קבצים נוספים ולהריץ קוד זדוני על המכשירים.
החולשה מאפשרת לתוקף אשר הצליח להשיג גישת אדמין לציוד התקשורת של סיסקו להריץ פקודות שרירותיות ישירות על מערכת ההפעלה מסוג לינוקס שבבסיס מערכת ההפעלה של סיסקו, תוך כדי שהתוקף "מדלג" בין שכבת סיסקו ללינוקס.
בדו"ח הראשון בסדרה, מחודש יוני, חשפה סיגניה כי סייעה לבלום מתקפת סייבר חמורה מצד Velvet Ant, שנחשבת לאחת המתוחכמות בעולם. בדו"ח חושפת סיגניה שלב אחר שלב את פעולות נטרול התקיפה שבוצעה בסוף 2023 כלפי ארגון גדול שנפל קורבן ופנה לעזרת סיגניה.
מהדו"ח עולה גם כי ההאקרים הסינים ביססו ושמרו על מספר אחיזות בסביבת החברה הנפגעת, כאשר אחד המנגנונים ששימשו לכך היה מכשיר F5 Big IP מדור קודם, שהיה חשוף לאינטרנט, ועליו התוקפים התקינו כלים שאיפשרו להם להריץ פקודות מרחוק ולהפוך אותו לשרת שליטה פנימי. לאחר שהתגלתה ונבלמה אחיזה אחת של התוקפים, הם "התהפכו" במהירות והשיגו אחיזה אחרת, תוך שהם מפגינים זריזות ויכולת הסתגלות בהתחמקות מגילוי.