נט2יו - איכות ברשת משנת 2004
  ה-FBI: קבוצת האקרים איראנית תוקפת מכשירי רשת של F5
11/8/2020 2:52

ההאקרים ממשיכים לתקוף. אילוסטרציה: BigStockhttps://www.pc.co.il/wp-content/upload ... rous-hacker-o-300x210.jpg 300w" sizes="(max-width: 600px) 100vw, 600px" />


קבוצת עלית, של האקרים "מובחרים", שלוחי ממשלת איראן, תוקפת ארגונים במגזרים הפרטי והממשלתי בארצות הברית - כך עולה מהתראת אבטחה שה-FBI פרסם באחרונה.


הבולשת הפדרלית לא נקבה בשם של קבוצת ההאקרים, אולם לאנשים ומחשבים נודע כי מדובר בקבוצת Fox Kitten (חתלתול שועלי), או Parisite. חוקר אבטחה בכיר שבעבר עבד בממשל האמריקני כינה את הקבוצה "חוד החנית" של איראן בכל הנוגע למתקפות סייבר. לדבריו, המשימה העיקרית של הקבוצה היא לספק "משטח נחיתה ראשוני" לקבוצות פריצות אחרות של איראן, דוגמת APT33 ,Shamoon ,APT34 או Chafer.


קבוצת Fox Kitten תוקפת בעיקר ציוד רשת יקר, באמצעות ניצול של פגיעויות שנחשפו באחרונה, לפני שחברות מספיקות לעדכן את הטלאות האבטחה. ברגע שההאקרים משיגים גישה למכשיר, הם מתקינים "מעטפת אינטרנט" (Web shell) או דלת אחורית והופכים את הציוד לשער לרשת שנפרצה.


החולשה המצטרפת החדשה


מוקדם יותר השנה, קלירסקיי הישראלית ודראגוס פרסמו כי קבוצת Fox Kitten השתמשה בדפוס תקיפה זה מאז הקיץ של השנה שעברה. ההאקרים עשו זאת תוך ניצול כמה חולשות, בין השאר של פולס סקיור, פורטינט, פאלו אלטו וסיטריקס.


על פי ה-FBI, קבוצת ההאקרים האיראנית עדיין ממוקדת בארבע פגיעויות אלה, אלא שבנוסף, חבריה "שידרגו'' את ארסנל המתקפה שלהם, כך שיכלול ניצול של חולשה של F5. זו הוציאה בחודש שעבר תיקון אבטחה לפגיעות משמעותית, שניצול שלה עלול להביא ל-"סיכון כולל של מלוא המערכות".


פלטפורמת ניהול ואבטחת היישומים של החברה, BIG IP, היא ציוד רישות פופולרי ביותר, המשמש במערכות IT ממשלתיות, בקרב ספקיות שירותי אינטרנט ובמרכזי מחשוב ענן. הפגיעות, שתויגה CVE-2020-5902, משפיעה על TMUI - ממשק המשתמש לניהול התעבורה של BIG-IP. תוקפים שמנצלים את החולשה יכולים לבצע פקודות מערכת שרירותיות, ליצור קבצים, למחוק קבצים או להשבית שירותים. הפגיעות היא כה חמורה, עד ש-"זכתה" לקבל את הציון הגבוה ביותר האפשרי - 10 – ממערכת דירוג הפגיעויות CVSS.


לפי ה-FBI, ברגע שההאקרים יקבלו גישה לרשתות של הארגונים שאליהם הם פרצו, הם ישתפו מידע זה עם קבוצות האקרים איראניות אחרות, או ''סתם'' יפרצו לרשתות שאינן מועילות למטרות הריגול שלהם, על ידי ביצוע ''חלטורה מהצד'' של מתקפות כופרה. לדברי הבולשת הפדרלית, קבוצת חתלתול שועלי אינה מכוונת לארגון במגזר מסוים, וכל חברה שמפעילה מכשיר BIG-IP צפויה להיות מותקפת.


אנשי ה-FBI אף שיתפו פרטים על מתקפת חתלתול שועלי טיפוסית - פרטים שדומים לאלה שנכללו בדו''ח של קלירסקיי שפורסם בפברואר השנה. אז פרסמנו כי "הפתעה": האיראנים שוב תוקפים את ישראל בסייבר. במהלך הרבעון האחרון של 2019 גילה צוות המחקר של קלירסקיי קמפיין תקיפה איראני רחב היקף, שמתנהל בשלוש השנים האחרונות נגד עשרות רבות של ארגונים וחברות בארץ ובעולם. במסגרת הקמפיין, הצליחו התוקפים להשיג גישה לרשתות של חברות וארגונים רבים ממגזרי ה-IT, התקשורת, הנפט, הגז, התעופה, הביטחון והחשמל - בישראל ומחוץ לה.


בדו"ח נכתב כי "קבוצות התקיפה האיראניות APT33 ו-APT34 פעלו יחד, לפחות מאז 2017, באמצעות תשתית זו מול מספר רב של חברות בישראל ובעולם. הקבוצות פעלו בניסיון לבסס דרכי גישה אל החברות המותקפות, לגנוב מהן מידע או מודיעין ערכי, לשמר לאורך זמן את האחיזה בהן ולנסות להדביק דרכן חברות נוספות, בתקיפות שרשרת אספקה". מחברי הדו"ח ציינו כי "וקטור החדירה המשמעותי והמוצלח ביותר של קבוצות התקיפה האיראניות בשלוש השנים האחרונות הוא באמצעות ניצול חולשות במערכות גישה מרחוק לארגונים".


האיראנים נטשו את הפישינג


חוקר אבטחה אמר השבוע ל-ZDNet שבלפחות שני מקרים המתקפות צלחו והארגונים שהותקפו נפרצו.


[caption id="attachment_317961" align="alignnone" width="600"]בועז דולב, מנכ"ל קלירסקיי. צילום: ישראל הדרי בועז דולב, מנכ"ל קלירסקיי. צילום: ישראל הדרי[/caption]


בועז דולב, מייסד ומנכ"ל קלירסקיי, אמר לאנשים ומחשבים כי "האיראנים ממשיכים במאמץ רצוף לנצל חולשות במערכות ה-VPN הארגוניות ובמערכות האבטחה בכניסה לארגונים, על מנת לחדור אליהם. וקטור החדירה האיראני מתבסס ברובו על ניצול חולשות והם די נטשו את ניסיונות החדירה באמצעות משלוח נוזקות במייל". לדבריו, "האיראנים מגלים יכולות מתקדמות בניצול מהיר של חולשות 'יום 1' לפני שחברות וארגונים מתקינים עדכוני אבטחה. כפי שציינו, פרק הזמן בין פרסום חולשה לניצול שלה הוא בין 24 שעות לשבוע. פרק הזמן הזה מחייב ארגונים להתקין עדכוני אבטחה בתוך פחות מיממה מרגע פרסומם".


F5 מסרה כי "אנחנו מסכימים עם הערכת ה-FBI כי התקני BIG-IP שאינם מעודכנים הם יעד אטרקטיבי עבור שחקנים זדוניים, כולל שחקנים בחסות מדינה. הן F5 והן סוכנות אבטחת הסייבר והתשתיות של ארצות הברית (CISA) ממליצות ללקוחות להתקין את הגרסה המעודכנת ביותר של תוכנת BIG-IP. סוכנות CISA ממליצה גם להשתמש ב-IoC Detection Tool של F5 כדי לסייע בבדיקת אינדיקטורים מסכנים".


"אם לקוחות לא יכולים לעדכן מיד את ה- BIG-IP שלהם", הוסיפו בחברה, "אנחנו ממליצים להם להבטיח שאין גישת אינטרנט פתוחה ל-TMUI, להגביל את הגישה ל-TMUI לכל המשתמשים וליישם את ההמלצות האחרונות המוצעות ב-Security advisory שלנו. אם ממשקי ניהול ה-BIG-IP נחשפו או נחשדים שנחשפו בפומבי, קיימת אפשרות שהמערכת נפגעה".


הפוסט ה-FBI: קבוצת האקרים איראנית תוקפת מכשירי רשת של F5 הופיע ראשון באנשים ומחשבים - פורטל חדשות היי-טק, מיחשוב, טלקום, טכנולוגיות







האחריות על התגובות למאמרים השונים חלה על שולחיהן. הנהלת האתר אינה אחראית על תוכנן.
שליחת תגובה
חוקי שליחת תגובות*
תגובות חברי האתר מאושרות אוטומטית
כותרת*
_CM_USER*
_CM_EMAIL*
_CM_URL*
הודעה*
קוד אבטחה*

 הערה: התכנים המוצגים בעמוד זה ...

התכנים המופיעים במדור זה מועברים אוטומטית מבלוגים ואתרי מידע ברשת, כל הזכויות על התכנים: כולל טקסטים, תמונות, סרטים וכל מדיה נוספת, הנם של יוצרי החומר המקורי בלבד. אתר נט2יו אינו טוען לבעלות או לזכויות יוצרים על התכנים, אלא רק מצביע עליהם בצורה נוחה ומרוכזת, וכן מקשר אל האתר המקורי, עם המאמרים המלאים. אם למרות האמור לעיל, נתקלת בחשש להפרת זכויות יוצרים, או שתוכן מסויים באתר אינו לרוחך, אנא דווח לנו באמצעות טופס יצירת הקשר ונורידו בהקדם האפשרי מהאתר.
×

הצהרת נגישות

אתר זה מונגש לאנשים עם מוגבלויות על פי Web Content Accessibility Guidelines 2 ברמה AA.
האתר נמצא תמידית בתהליכי הנגשה: אנו עושים כל שביכולתנו שהאתר יהיה נגיש לאנשים עם מוגבלות.
אם בכל זאת נתקלתם בבעיית נגישות אנא שלחו לנו הערתכם במייל (אל תשכחו בבקשה לציין את כתובת האתר).

אודות ההנגשה באתר:

  • אמצעי הניווט וההתמצאות באתר פשוטים ונוחים לשימוש.
  • תכני האתר כתובים בשפה פשוטה וברורה ומאורגנים היטב באמצעות כותרות ורשימות.
  • מבנה קבוע ואחיד לנושאים, תתי הנושאים והדפים באתר.
  • האתר מותאם לצפייה בסוגי הדפדפנים השונים (כמו כרום, פיירפוקס ואופרה)
  • האתר מותאם לסביבות עבודה ברזולוציות שונות.
  • לאובייקטים הגרפיים באתר יש חלופה טקסטואלית (alt).
  • האתר מאפשר שינוי גודל הגופן על ידי שימוש במקש CTRL וגלגלת העכבר וכן בלחיצה על הכפתור המתאים בערכת ההנגשה הנגללת בצד האתר ונפתחת בלחיצה על הסמלון של כסא הגלגלים.
  • הקישורים באתר ברורים ומכילים הסבר להיכן הם מקשרים.
    לחיצה על הכפתור המתאים בערכת ההנגשה שבצד האתר, מסמנת את כל קישורי האתר בקו תחתון.
  • אנימציות ותכנים מהבהבים: הכפתור המתאים לכך בערכת ההנגשה שבצד האתר , מאפשר להסתיר בלחיצה אחת את כל התכנים באתר הכוללים היבהובים או תכנים המכילים תנועה מהירה (אנימציות, טקסט נע).
  • למתקשי ראיה: מתקשי הראיה שבנינו יכולים להעזר בשני כפתורים הנמצאים בערכת ההנגשה בצדו הימני של האתר, האחד מסב את האתר כולו לגוונים של שחור ולבן, השני מעביר את האתר כולו למצב של ניגודיות גבוהה.