מגמות אבטחת סייבר ל-2022: 3 שורשי החדשנות של התוקפים
מאת: מערכת Telecom News, 15.12.21, 19:11
 
הובחנו סימנים ראשונים של חדשנות המתפתחת אצל התוקפים. לכל חידוש כזה יש פוטנציאל לשנות את נוף הסיכונים בשנה הקרובה. אחד החידושים: שימוש ע"י תוקפים בתוכנת קוד פתוח כדי להרחיב המתקפות על שרשרת האספקה ולהפוך אותן לאוטומטיות.
 
שנת 2021 התאפיינה בשינויים רבים, שהניעו ארגונים לאמץ אסטרטגיות חדשות לחיזוק החסינות שלהם מפני מתקפות. אך גם התוקפים המשיכו לשכלל את שיטות העבודה שלהם כדי לפעול באופן חכם ומהיר יותר, ולהרחיב את המתקפות עמוק לתוך שרשראות האספקה כדי לגרום נזק גדול יותר.

לביא לזרוביץ,  (בתמונה למעלה), מנהל המחקר במעבדות סייברארק מדווח, שהצוות של מעבדות סייברארק הבחין בסימנים ראשונים של חדשנות המתפתחת אצל התוקפים. לכל חידוש כזה יש פוטנציאל לשנות את נוף הסיכונים בשנה הבאה.
 
חידוש מס' 1: ארגונים מחתרתיים יפלו במלכודת של עצמם, ותוך כדי זה יאכפו שינוי של מערך האבטחה
תהליכי ה-DevOps משנים את האופן שבו מתנהלים עסקים, והשינוי לא פסח גם על ארגוני פשע מחתרתיים.

בדיוק כמו ספקי תוכנה לגיטימיים, גם תוקפים משתמשים בתהליכי CI/CD, תשתית ענן וטכנולוגיות דיגיטליות אחרות כדי לפתח ולמכור נוזקות-כשירות (MaaS) חדשות. הצורך לשחרר לשוק פיצ'רים חדשים מונע ע"י הביקוש (המחתרתי) הגדל לכלים פופולריים כגון נוזקה לגנב הרשאות הניתנת להגדרה כך שתאסוף בסתר הרשאות משתמשים ואז תגנוב מידע רגיש מהקורבנות. נוזקות אלו הן לא רק עוצמתיות אלא גם פשוטות לשימוש, כמו מוצר מדף, מה שמחזק הן את התוקפים הטירונים והן תוקפים מתוחכמים.

בזמן שקבוצות עברייניות אלו, קבוצות התקיפה, מתייחסות לעצמן יותר ויותר כעסקים "אמיתיים" ומתנהלות כך, גם הן תחשופנה את עצמן לסיכונים חדשים. כמו כל ארגון אחר, הן תתמודדנה עם אתגרי אבטחה חדשים בניהול יישומי SaaS מרובי משתמשים, שריון גישה מרחוק למערכות השליטה והנתונים ועוד.

תשתית הפיתוח והתקיפה של ארגוני הפשע האלה תהווה חרב פיפיות. מערכי ביון ויחידות טכנולוגיות של מעצמות סייבר יוכלו לנצל את חרב הפיפיות הזו כדי לבצע מהלכים התקפיים ולפגוע בתשתיות התקיפה ולזהות באופן יותר מדויק מי עומד מאחוריהן ולפעול בהתאם.

חידוש מס' 2: התוקפים ישתמשו ב-OSS (תוכנת קוד פתוח) כדי להרחיב את המתקפות על שרשרת האספקה ולהפוך אותן לאוטומטיות
הכלכלה הדיגיטלית רצה על תוכנת קוד פתוח (Open Source Software) משום שהיא גמישה ומנצלת את כוחה של הקהילה כדי לעודד חדשנות. אבל, אינספור ספריות OSS "פתוחות" ו"חינמיות" גם מגדילות דרמטית את משטח ההתקפה ומאפשרות לגורמים מאיימים למכן את מאמציהם, לעקוף אמצעי גילוי ולגרום נזק נוסף.
מתקפת Codecov  באפריל 2021 סיפקה הצצה, כיצד שינוי קל בשורת קוד אחת יכול להפוך ספריה תמימה לגמרי לזדונית - וכך לסכן כל ארגון המשתמש בה.

אמצעות שיטת ההסתננות החמקנית הזאת, תוקפים יכולים לתקוף ולגנוב הרשאות כדי להגיע לאלפי ארגונים בשרשרת אספקה אחת.
בשנה הקרובה התוקפים ימשיכו לחפש דרכים חדשות לפגוע בספריות קוד פתוח. ראינו תוקפים המבצעים מתקפות דמויות  typosquatting ע"י יצירת חבילות קוד הכוללות שינויים קטנים בשמותיהן של אותן חבילות (למשל, atlas-client לעומת atlas_client). מדובר בעצם בגרסאות טרויאניות של החבילות המקוריות המטמיעות או מורידות פונקציונליות שגונבת הרשאות מהדלת האחורית. במקרה אחר, חבילת NPM נוצלה באמצעות סוס טרויאני כדי להריץ סקריפט של כריית מטבעות קריפטו ונוזקה לגניבת הרשאות לאחר שההרשאות של המפתח נפרצו. ראינו דוגמה נוספת לכך לפני מספר ימים כאשר מספר חבילות NPM זוהו כזדוניות - חוטפות Discord access tokens.

ארגונים חייבים להמשיך לעמוד על המשמר כי רק לעתים רחוקות המתקפות ה"מעודנות" האלו לכאורה שולחות סימנים, ולכן קשה מאוד לאתרן, במיוחד משום שספריות כאלו נפרשות כחלק מהפעולות הלגיטימיות והיומיומיות. במקרים רבים, הן נראות תמימות לחלוטין כשמורידים את הקוד הזדוני כ-dependency. בנוסף, כיוון שאת ההתקפות האוטומטיות הללו קל ומהיר לבצע כמעט ללא טביעת אצבע, הן יהיו יותר תכופות, פתאומיות והרסניות.

חידוש מס' 3: אזורי מסתור חדשים יאפשרו לתוקפים להתחבא בשטח פתוח
ואם המצב לא מסובך מספיק, משימת האבטחה תהפוך לעוד יותר מורכבת, הודות למקומות מסתור חדשים, שמציעות טכנולוגיות הענן, הווירטואליזציה והקונטיינר. לדוגמה, ככל שגוברת הפופולריות של המיקרו-וירטואליזציה, התוקפים יוכלו לבודד את הנוזקה במערכות הווירטואליות ולהסתיר אותה מאמצעי הבקרה המותקנים בשרת המארח.

למרות שטכניקות ההתקפה האלו אינן שכיחות, בינתיים לפחות, תוקפים הפועלים בשם בעלי עניין כספי או מדינות נצפו כשהם בודקים מערכות כגון Windows Subsystem for Linux  (WSL)  - תת-מערכת הפעלה לינוקסית המתארחת על שרת עם מערכת הפעלה חלונות (Windows). עצם הרצת התוכנה הזדונית, כופרה למשל, לרוב נסתרת מאנטי-ורוסים, מכלים לגילוי ותגובה בנקודת הקצה (EDR) ומכלי אבטחה אחרים לנקודת הקצה הממוקמים בשרת המארח.

לסיכום, בשנה הקרובה אננו צופים לראות חדשנות בצד ההתקפי. כזו שתקדם את הפיתוח והמוניטיזציה אצל ארגוני הפשע הקיברנטי וכזו שתפתח משטחי תקיפה עבור אלה שהיו עד עכשיו בעיקר מגנים.

צילום תמונה עליונה: סלי לוי פרג'