מנהל המחקר בקספרסקי: "תקשיבו לראש צוות התקיפה של ה-NSA"

קוסטין ראיו, מנהל צוות המחקר של מעבדת קספרסקי - צילום עמי רוחקס דומבה IsraelDefense

"אנחנו עוקבים אחרי כמאה קבוצות האקרים שמפתחים את כלי התקיפה המתקדמים ביותר בעולם", מסביר קוסטין ראיו (Costin Raiu), מנהל צוות המחקר של מעבדת קספרסקי בראיון לאתר ישראל דיפנס.

"אם צריך לאפיין את המתקפות המתקדמות ביותר כיום, אפשר לומר שיש להם מספר מאפיינים שחוזרים על עצמם. התוקף לא משתמש בקבצים אלא פועל רק בזיכרון הנדיף. בצורה כזו הוא עוקף מנגנוני הגנה שמבוססים על זיהוי קבצים (כמו סנד בוקס למשל). 

"כדי לשמור על המשכיות התקיפה התוקף מתפזר בכל המחשבים ברשת (תנועה רוחבית). הוא גם שומר על חלק מהמחשבים או השרתים נתונים שיאפשרו לו להמשיך את התקיפה גם אם ההתקן מאותחל. הנתונים האלו לא נשמרים בקבצים, אלא במקומות כמו הרג'יסטרי ואחרים. הוא פועל כך שמנגנוני זיהוי התנהגות לא יזהו אותו.

"התנועה הרוחבית מאפשרת לתוקף לייצר המשכיות בהתקפה. אם מדובר ברשת של ארגון ביטחוני או עסקי, לרוב מדובר במאות או אלפי מחשבים, וההסתברות שיכבו את כולם באותו זמן - אפסית. לכן, מספיק שאתה 'חי' בזיכרון הנדיף של כמה מחשבים, כדי לייצר מאסה קריטית שמספקת המשכיות בכל מצב. אם מחשב אחד מאותחל, אתה מדביק אותו בחזרה ממחשב אחר ברשת.

"מאפיין שלישי הוא שימוש נרחב בחולשות 'יום אפס' (זירו דיי). ראינו קבוצות שהשתמשו במהלך שנה לפחות בשבע חולשות כאלו בהתקפות שונות. צריך להבין שיש הרבה חולשות כאלו בעולם. יש אפילו חברות ייעודיות שזו הפרנסה שלהן. אם פעם חולשה הייתה עולה מליונים, היום בכמה עשרות אלפים, או במקרה מיוחד מאות אלפי דולרים, אתה קונה חולשה.

"זה שינוי מהותי בעולם התקיפה. אם בעבר התקפה כמו סטוקסנט הייתה עולה מאות מליוני דולרים, היום במיליון אפשר לייצר כלי תקיפה כמו 'שאמון 2.0' שאיתרנו לאחרונה בסעודיה. זה אחוז או פחות מעלות מתקפה דומה לפני כמה שנים. זה אומר שיותר קל באופן יחסי לייצר מתקפות מאד מתוחכמות.

"היבט נוסף שהשתנה הוא מהירות פיתוח כלי תקיפה. בעבר, קבוצות האקרים 'חזקות' כללו אנשים עם לפחות עשר שנים ניסיון בפיתוח קוד התקפי. היום לתוקפים אין סבלנות, והם יכולים לקנות כלים או מודולים מוכנים. זה מקצר את זמן פיתוח ההתקפה משמעותית."

לוקח חודשים לזהות התקפה

אחת השאלות שנשאלות כאשר חושבים על עולם ההגנה בסייבר, היא כמה זמן לוקח לזהות התקפה. הסתכלות מהצד תגלה שלמרות שיש שיפור בטכנולוגיות ההגנה והזיהוי של ההתקפות, זמן הגילוי נשאר על מאות ימים בממוצע בהתקפות המתוחכמות האחרונות שפורסמו.

"כדי לגלות התקפה מתוחכמת בסדר גודל שהוזכר קודם לכן, צריך שהתוקף יעשה טעות,", מסביר ראיו. "במרבית המקרים, ככה מגלים התקפות סייבר מתוחכמות. בגלל שהנוזקה קרסה ואז התחילו לחקור את התקלה בתחנה וגילו שזו התקפת סייבר. גם תוקפים עושים טעויות בקוד.

"בחלק אחר של המקרים, ההתקפה מתגלה כאשר כלי תקיפה דולפים לרשת (כמו המקרה של שדואו ברוקרס, האקינג טים או NSO). בין שמדובר בעובד שגונב כלי תקיפה מהמעסיק שלו או במקרים שבהם מישהו פורץ לחברת התקיפה ומפרסם את הקוד."

"ראינו גם שינוי מגמה בקוד הזדוני שפגע לאחרונה בתחנות הכוח של אוקראניה. מדובר בקוד הכולל יכולות חסימת התאוששות של הארגון. במקרה של אוקראינה, כלי התקיפה הרס את התוכנה של ספקי הכוח שהיו מחוברים למחשבי הניהול. זאת, כדי להקשות על התאוששות הארגון. חלק מהכלים האלו הכילו גם מודול של תוכנת כופר, על אף שלא נעשה בו שימוש."

ראיו מתייחס גם להתקפות כופר ומספר כי מאד קשה למגר את התופעה. בעיקר, כי המשתמש הוא זה שמפעיל את הקוד הזדוני. "לרוב, משתמש מפעיל קובץ נגוע, ואז מתחיל תהליך ההדבקה", אומר ראיו. "מאד קשה לזהות את הרגע שבו התוכנה מתחילה לפעול. בקספרסקי פיתחנו מערכת שמזהה שינוי בקבצים. אם יש שינוי, אנחנו מציפים למשתמש שאלה אם הוא זה שעשה את הפעולה. אם לא, אנחנו סוגרים את היישום של תוכנת הכופר ומשחזרים לו את הקצבים הבודדים ששונו. בצורה כזו, הנזק ממוזער."

"תקשיבו לראש צוות התקיפה של ה-NSA"

אם ההתקפות המתקדמות כה מתוחכמות, מה בכל זאת ניתן לעשות? "יש כמה מהלכים שארגון יכול לעשות כדי למזער נזקים", אומר ראיו. "ההמלצה הראשונה היא לעשות רשתות מנותקות מרשת האינטרנט (Air Gap) עבור מידע סודי.

"המלצה נוספת היא לקבע את החומרה של המחשבים והנתבים. לשים דבק על כל הברגים והממשקים של ההתקן. כולל USB וכניסות אחרות. בצורה כזו תבטיחו שאף אחד לא שם לכם דברים שאתם לא יודעים בתוך הרשת.

"אם אתם רוצים להעביר מידע בין מחשבים, לעולם לא להשתמש בהתקני USB. אלא בדיסקים. לצרוב דיסק זו שיטה הרבה יותר בטוחה מ-USB. בסביבות ביטחוניות אלו פרקטיקות בשגרה.

"לגבי רשתות שמחוברות לאינטרנט, מומלץ להקשיב לדברים שאמר Rob Joyce, ראש צוות התקיפה של ה-NSA, צוות TAO, בכנס Enigma בשנה שעברה. לפיו, מה שהכי מטריד את ה-NSA זה האזנה פסיבית לקו (out-of-band network tap) ושמירת קבצי הלוג במחשב שלא מחובר לרשת. כמו גם, להושיב מישהו במשרה מלאה שינטר את הלוגים ויחפש דפוסים. ארגון שעושה את זה באופן קבוע, יוכל לגלות הרבה פעילות חשודה ברשת שלו.

"עבודה בתצורה תבטיח בהסתברות גבוהה שאף אחד לא יוכל לפרוץ מרשת האינטרנט למחשב ששומר את הלוגים ולשנות אותם. בנוסף, אפשר להשתמש בכלי SIEM לביצוע אנליזה. כלים כמו ArcSight , Alienvault ואחרים יכולים להיות לעזר למי שבוחן את הלוגים."