תוקפים ממשיכים לנצל חברות צד-שלישי להקל על מבצעי תקיפה
(Threat Actors Continue To Leverage Third Party Organizations To Facilitate Intrusion Operations)
כיום - ארגונים מתמודדים עם המון סיכון. קבלת שירותים מחברות צד-שלישי רק מוסיפה עוד משתנים למשוואה.
כדי לטפל במשתנים הנ"ל, ארגון יכול לדרוש מהחברות האלו לעמוד בסטנדרטים מסוימים של הגנה, אולם ההדבקות לדרישות אלו ואיכותם בסופו של יום אינו משתווה להגנה המיושמת בארגון עצמו. מעבר לזה,
הרבה ארגונים יוצרים פערי אבטחה בהקמת תווך מהארגון לחברות צד-שלישי. דברים שלרוב נותנים לתוקף גישה יותר קלה פנימה.
תוקפים רבים, בעיקר קבוצות APT, מבינים כי שטח התקיפה של "היעד" נמתח הרבה מעבר לרשתות, מערכות ועובדים בארגון. הרבה מהקבוצות האלו רואות את היעד בעצם כמעין "מערכת אקולוגית" המורכבת מהמון
יעדים קטנים, ובעצם כל יישות היכולה לספק קבלת כניסה ליעד המרכזי. כגון:
- היעד עצמו וכל חלקיו.
- חברות אם/בת
- מספקי סיוע כלכלי/חוקי (בנקים, עו"ד).
- חברות צד שלישי המספקות שירותים (עובדי קבלן, שירותי IT)
- שרשרת הספקה (ספקים, יצרנים, מיבאים..)
- קשרים חיצוניים (שותפים עסקיים, ממשלות ופקחים)
שימוש במספקי שירות IT לקבלת גישה
מתחילת השנה, נראו קבוצות APT מתכווננות לחברה המספקת שירותי IT ליעד. במקרים כאלה, הושג גישה לחברת ה-IT ומשם נאסף המודיעין הדרוש לקבלת כניסה ליעד. לאחר קבלת גישה לחברה - החלו
התוקפים לבצע איסוף מודיעין פנימי להרחבת הגישה ולהתקדמות בתוך החברה.
מסקנה
אומנם יש הרבה יתרונות בהסכמים עם חברות צד-שלישי, אך הם מציגים פער אבטחה עצום ודלת נסתרת אל תוך הארגון. מהסיבות האלה בדיוק - השימוש בחברות צד-שלישי כדלת כניסה לארגון רק יעלה בשנים
הקרובות.
מציאת כלים מוצלבים עם המערכים: Operation Cleaver ו-Volatile Cedar
מניתוח של Symantec, יש להניח כי שני המערכים Operation Cleaver ו-Volatile Cedar משתמשים באותם מקורות לקבלת כלי תקיפה חדשים, ביניהם; חברת אבטחת המידע האיראנית ITSecTeam. Symantec ראו כי שני המערכים משתמשים בגרסאות של AspxSpy
webshell המכילות את אותו שם הפרסי "Setareh" בתוך הערה (הערה: עקב הנגישות הציבורית לכלי, אין העובדה ששתי הקבוצות משתמשות בכלי, עדות מספקת לקשר ביניהם).
Volatile Cedar
המערך פעיל לפחות מנוב' 12 ותקף ארגונים בארה"ב, קנדה, אנגליה, טורקיה, לבנון וישראל בתחום ההגנה, התקשורת ותעשיית החינוך. פעילויות המערך לרוב מותאמות להשקפה הפוליטית של לבנון ולרוב נראים בהם שימוש בשלל פוגענים ביניהם: AspxSpy & Caterpillar
Webshells, Backdoor ו-Implant מותאמת אישית למערך אשר כונתה "Explosive Implant". אצל Symantec היא מזוהה כ-Trojan.Explod, Trojan.Explod!g1, Trojan.Explod!g2 & Trojan.Explod!g3. ה-Explosive Implant מכיל Keylogger, clipboard logger, memory monitor ופונקציות לוודא
תקשורת תקינה ומאובטחת מול שרת הפיקוד. השימוש בImplant על Internet Explorer (IE) יאפשר לתוקף להשיג את היסטוריית הגלישה, סיסמאות שמורות, ערכי Registry, התהליכים הרצים ותוכן התיקיות. כמו כן, הוא גם מאפשר גישה לשורת הפקודה.
המערך לרוב מנצל חולשות בשרתי Web ציבוריים כדרך הכניסה הראשוני שלו.
שימוש בכלים המקושרים ל-Operation Cleaver
שני המערכים משתמשים בגרסא לא שגרתית של ה-AspxSpy המכיל את השם הפרסי "Setareh" בתוך הערה בקוד. הדבר מעיד על האפשרות כי לשני המערכים גישה לאותו "מחסן של כלים" מותאמים מהגרסא המקורית שלהם. מעבר לכך, נראה כי שני המערכים משתמשים ב-Backdoors
אשר פותחו ע"י חברת אבטחת מידע איראני ITSecTeam.
ע"פ דו"ח של חברת אבטחת מידע ישראלית מה-30 במרץ 2015, החברה מקשרת קובץ בשם 404.aspx לגרסת AspxSpy webshell של Volatile Cedar. מחקירת הקובץ ע"י Symantec, התגלה בתוכו המחרוזת "Setareh", שם פרסי שפירושו "כוכב" או "גורל", בתוך הערה בקובץ.
Symantec זיהו את אותה מחרוזת בגרסת AspxSpy בשם ide.aspx; דו"ח של סוכנות ממשלתית אמריקאית מ-9 דצמבר 2014 מקשר את הקובץ הנ"ל (ide.aspx) לארגון האיראני Operation Cleaver. הגרסא המקורית של הקובץ AspxSpy מכיל את ההערה //admin מה שמעיד כי השינוי ל-//Setareh אינו
שגרתי.
ע"פ דו"ח טכני של Symantec מה-8 באפריל 2015, נמצא Backdoor עם פרטי ייחוס ל-Amin Shokahi (Pejvak) - ITSecTeam על שרת שבו מתארח ה-caterpillar webshell (ה-webshell הכי שכיח של Volataile Cedar {ע"פ דו"ח של חברת אבטחה ישראלית מה-30 במרץ
2015}). בנוסף, נמצאה חתימה על קובץ המקושר לOperation Cleaver (ששמו db.php) המעידה על כך כי היא פותחה ע"י ITSecTeam.
מסקנה
Symantec מעריכים כי זה לא הסוף ועוד נראה שימוש של Operation Cleaver ו-Volatile Cedar בכלים מאותו "מחסן כלים" בעתיד.