מיקרוסופט הסבירה לאחרונה לעומק רב יותר כיצד התקפת הסייבר-ווינדס התרחשה, ופירטה את השלב השני של ההתקפה ואת סוגי התוכנות הזדוניות שנמצאות בשימוש.
להתקפה עם יעדים בעלי פרופיל גבוה כמו SolarWinds, עדיין ישנן שאלות רבות שצריכות לענות עליהן. הדו"ח של מיקרוסופט חושף שלל מידע חדש על התקיפה, המכסה את התקופה שלאחר שהתוקפים הפילו את דלת השמש האחורית.
מיקרוסופט מפרטת את השלב השני של התקפת סייבר-ווינדס
ה אבטחה של מיקרוסופט הבלוג מספק מבט אל "הקישור החסר", התקופה שמאז הדלת האחורית של Sunburst (המכונה Solorigate על ידי מיקרוסופט) הותקנה ב- SolarWinds לצורך השתלת סוגי תוכנות זדוניות שונות בקרב הקורבן רשתות.
כידוע, SolarWinds הוא אחד מ"מתקפי הפלישה המתוחכמים והממושכים ביותר של העשור ", וכי תוקפים "הם מפעילי קמפיינים מיומנים שתכננו וביצעו את ההתקפה בקפידה, ונותרו חמקמקים תוך כדי שמירה הַתמָדָה."
בלוג האבטחה של מיקרוסופט מאשר כי הדלת האחורית המקורית של Sunburst הורכבה בפברואר 2020 והופצה במרץ. לאחר מכן, התוקפים הסירו את הדלת האחורית של Sunburst מסביבת בניית SolarWinds ביוני 2020. תוכלו לעקוב אחר ציר הזמן המלא בתמונה הבאה.
מיקרוסופט מאמינה שהתוקפים השקיעו אז בהכנה והפצה של שתלי קובלט סטרייק בהתאמה אישית ותשתית פיקוד ושליטה, ו"הפעילות האמיתית על המקלדת התחילה ככל הנראה כבר בחודש מאי. "
הסרת פונקציית הדלת האחורית מ- SolarWinds פירושה שהתוקפים עברו לדרוש גישה לדלת האחורית דרך הספק לגישה ישירה לרשתות הקורבן. הוצאת הדלת האחורית מסביבת הבנייה היוותה צעד להסוות כל פעילות זדונית.
קָשׁוּר: מיקרוסופט חושפת את היעד האמיתי של מתקפת סייבר-ווינדס
הכניסה לרשת הקורבן לא הייתה המטרה היחידה להתקפה.
משם, התוקף עשה מאמצים רבים כדי למנוע גילוי ולהרחיק כל חלק מהתקיפה. חלק מהנימוקים שמאחורי זה היה שאפילו אם שתל התוכנה הזדונית של קובלט סטרייק התגלה והוסר, הדלת האחורית של SolarWinds עדיין הייתה נגישה.
תהליך האנטי-גילוי כלל:
- פריסת שתלי קובלט סטרייק ייחודיים על כל מכונה
- השבת תמיד שירותי אבטחה במכונות לפני שתמשיך בתנועת רשת רוחבית
- מחיקת יומני חותמות זמן למחיקת טביעות רגל, ואפילו הרחיקת לכת עד כדי השבתת כניסה במשך תקופה כדי להשלים משימה לפני הפעלת אותה מחדש.
- התאמת כל שמות הקבצים ושמות התיקיות כדי לסייע בהסוואה של חבילות זדוניות במערכת הקורבן
- שימוש בכללי חומת אש מיוחדים כדי לטשטש חבילות יוצאות לתהליכים זדוניים, ואז להסיר את הכללים בסיום
בלוג האבטחה של מיקרוסופט בוחן את מגוון הטכניקות בפירוט רב יותר, עם קטע מעניין העוסק בכמה משיטות האנטי-זיהוי החדשות שבהם השתמשו התוקפים.
SolarWinds הוא אחד הפריצות המתוחכמות ביותר שנראו אי פעם
במוחם של צוותי התגובה והאבטחה של מיקרוסופט אין ספק כי SolarWinds היא אחת ההתקפות המתקדמות ביותר אי פעם.
השילוב של שרשרת התקפה מורכבת ופעולה ממושכת פירושו שלפתרונות ההגנה צריך להיות מקיף חשיפה בין תחומים לפעילות התוקפים ולספק חודשים ארוכים של נתונים היסטוריים עם כלי ציד רבי עוצמה לחקירה עוד מאחור כנדרש.
עדיין יכולים להגיע עוד קורבנות. לאחרונה דיווחנו כי מומחי תוכנות נגד תוכנות זדוניות Malwarebytes היו ממוקדות גם במתקפת הסייבר, אם כי התוקפים השתמשו בשיטת כניסה אחרת כדי לקבל גישה לרשת שלה.
קָשׁוּר: הקורבן האחרון של מתקפת הסייבר של SolarWinds
בהתחשב בהיקף שבין ההבנה הראשונית כי התקפת סייבר כה עצומה התרחשה לבין מגוון היעדים והקורבנות, עדיין יכולות להיות חברות טק גדולות יותר שיצעדו קדימה.
מיקרוסופט פרסמה סדרה של תיקונים שמטרתם להפחית את הסיכון של SolarWinds וסוגי התוכנות הזדוניות הקשורות אליו ינואר 2021 תיקון יום שלישי. התיקונים, שכבר הופעלו לאוויר, מקלים על פגיעות של יום אפס שמיקרוסופט מאמינה כי היא מקשרת למתקפת הסייבר של WindWinds והייתה מנוצלת באופן פעיל בטבע.
לא מצליחים לפרוץ את דלת הכניסה? תקף במקום זאת את רשת שרשרת האספקה. הנה איך הפריצות האלה עובדות.
- בִּטָחוֹן
- חדשות טק
- מיקרוסופט
- תוכנה זדונית
- דלת אחורית
גאווין הוא העורך הצעיר של Windows ו- Technology Explained, תורם באופן קבוע לפודקאסט היעיל באמת, והיה העורך של אתר האחיות הממוקד בקריפטו של MakeUseOf, Blocks Decoded. יש לו תואר ראשון (Hons) בכתיבה עכשווית עם שיטות אמנות דיגיטליות שנשדדו מגבעות דבון, וכן מעל עשור של ניסיון מקצועי בכתיבה. הוא נהנה מכמויות גדולות של תה, משחקי חברה וכדורגל.
הירשם לניוזלטר שלנו
הצטרף לניוזלטר שלנו לקבלת טיפים טכניים, ביקורות, ספרים אלקטרוניים בחינם ומבצעים בלעדיים!
צעד אחד נוסף !!!
אנא אשר את כתובת הדוא"ל שלך בדוא"ל ששלחנו לך זה עתה.
