קבוצת מתקפות הסייבר בחסות המדינה הידועה בשם Billbug הצליחה לסכן רשות אישורים דיגיטליים (CA) כחלק ממסע ריגול רחב היקף שנמשך עד מרץ - התפתחות נוגעת בספר המשחקים המתקדמים לאיום מתמשך (APT), מזהירים חוקרים.
אישורים דיגיטליים הם קבצים המשמשים לחתימה על תוכנה כתקינה, ולאימות זהות של מכשיר או משתמש כדי לאפשר חיבורים מוצפנים. ככזה, פשרה של CA עלולה להוביל לגדוד של התקפות המשך חמקניות.
"המיקוד של רשות אישורים בולט, כאילו התוקפים הצליחו לסכן אותה כדי לגשת לאישורים, הם יכולים להשתמש בהם כדי לחתום על תוכנות זדוניות עם אישור תקף, ולעזור לה להימנע מזיהוי במכונות הקורבן", לפי דו"ח השבוע מ-Symantec. "זה יכול גם להשתמש באישורים שנפגעו כדי ליירט תעבורת HTTPS."
"זה עלול להיות מסוכן מאוד", ציינו החוקרים.
מבול מתמשך של פשרות סייבר
Billbug (המכונה גם פריחת לוטוס או תריפ) היא קבוצת ריגול שבסיסה בסין, המכוונת בעיקר לקורבנות בדרום מזרח אסיה. זה ידוע בציד של ציד גדול - כלומר, הולך אחר הסודות שבידי ארגונים צבאיים, גופים ממשלתיים וספקי תקשורת. לפעמים הוא מטיל רשת רחבה יותר, ומרמז על מניעים אפלים יותר: באחד המקרים, הוא חדר למפעיל תעופה וחלל כדי להדביק את המחשבים שמנטרים ושולטים בתנועות לוויינים.
ברצף האחרון של פעילות מרושעת, ה-APT פגע בפנתיאון של סוכנויות ממשלתיות והגנה ברחבי אסיה, במקרה אחד תקף "מספר רב של מכונות" ברשת ממשלתית עם תוכנות זדוניות מותאמות אישית שלה.
"הקמפיין הזה נמשך לפחות ממרץ 2022 עד ספטמבר 2022, וייתכן שהפעילות הזו נמשכת", אומרת בריג'יד או גורמן, אנליסטית מודיעינית בכירה ב-Symantec Threat Hunter Team. "בילבאג היא קבוצת איומים ותיקה שביצעה קמפיינים מרובים במהלך השנים. ייתכן שפעילות זו עשויה להתרחב לארגונים נוספים או גיאוגרפיות נוספות, אם כי לסימנטק אין עדויות לכך כרגע".
גישה מוכרת למתקפות סייבר
במטרות אלה כמו גם ב-CA, וקטור הגישה הראשוני היה ניצול של יישומים פגיעים הפתוחים לציבור. לאחר שהשיג את היכולת לבצע קוד, שחקני האיומים ממשיכים להתקין את הדלת האחורית הידועה והמותאמת אישית של Hanotog או Sagerunex לפני שהם נחפרים עמוק יותר ברשתות.
בשלבים המאוחרים יותר של שרשרת ההרג, תוקפי בילבאג משתמשים במספר קבצים בינאריים לחיות מחוץ לארץ (LoLBins), כגון AdFind, Certutil, NBTscan, Ping, Port Scanner, Route, Tracert, Winmail ו-WinRAR, לפי הדיווח של סימנטק.
ניתן לנצל כלים לגיטימיים אלו לשימושים דופלגים שונים, כגון שאילתות של Active Directory למיפוי רשת, קובצי ZIP לסילוק, חשיפת נתיבים בין נקודות קצה, סריקת NetBIOS ויציאות, והתקנת אישורי שורש של דפדפן - שלא לדבר על הורדת תוכנות זדוניות נוספות .
הדלתות האחוריות המותאמות אישית בשילוב עם כלים דו-שימושיים הם טביעת רגל מוכרת, לאחר ששימשו את ה-APT בעבר. אבל חוסר הדאגה מחשיפה ציבורית היא ערך עבור הקורס עבור הקבוצה.
"זה ראוי לציון שנראה כי בילבאג לא נרתע מהאפשרות שמיוחסת לה את הפעילות הזו, תוך שימוש חוזר בכלים שהיו מקושרים לקבוצה בעבר", אומר גורמן.
היא מוסיפה, "השימוש הרב של הקבוצה במחייה מהאדמה ובכלים דו-שימושיים בולט גם הוא, ומדגיש את הצורך של ארגונים להחזיק במוצרי אבטחה שלא רק יכולים לזהות תוכנות זדוניות, אלא גם יכולים גם לזהות אם יש פוטנציאל שימוש בכלים לגיטימיים באופן חשוד או זדוני".
סימנטק הודיעה ל-CA האלמונית המדוברת כדי ליידע אותה על הפעילות, אך גורמן סירבה להציע פרטים נוספים לגבי התגובה או מאמצי התיקון שלה.
אף על פי שאין עד כה שום אינדיקציה לכך שהקבוצה הצליחה להמשיך ולסכן אישורים דיגיטליים בפועל, החוקר מייעץ, "על ארגונים להיות מודעים לכך שניתן לחתום על תוכנות זדוניות עם אישורים תקפים אם גורמי איומים יכולים להשיג גישה לרשויות אישורים."
באופן כללי, ארגונים צריכים לאמץ אסטרטגיית הגנה מעמיקה, תוך שימוש בטכנולוגיות זיהוי, הגנה והקשחה מרובות כדי להפחית סיכונים בכל נקודה של שרשרת תקיפה פוטנציאלית, היא אומרת.
"סימנטק גם תייעץ ליישם ביקורת ובקרה נאותים על השימוש בחשבון ניהולי", ציין גורמן. "אנו מציעים גם ליצור פרופילי שימוש עבור כלי ניהול מכיוון שרבים מהכלים הללו משמשים תוקפים כדי לנוע לרוחב ללא זיהוי דרך רשת. באופן כללי, אימות רב-גורמי (MFA) יכול לעזור להגביל את התועלת של אישורים שנפגעו."
