מחקר R4IoT: הדגמת הדרכים בהן מתקפות כופר פוגשות את מכשירי האינטרנט של הדברים
מאת: מערכת Telecom News, 1.6.22, 16:30
 
מחקר R4IoT (Ransomware for IoT) מראה כיצד ניתן לנצל מכשירי IoT לטובת גישה ראשונית למכשירי IT ו-OT ולתנועה רוחבית מתוכם, כדי לגרום לשיבוש פיזי של הפעילות העסקית.
 
Vedere Labs, קבוצת המחקר של פורסקאוט, חשפה מחקר חדש בשם R4IoT (Ransomware for IoT), מחקר הוכחת היתכנות המדגים כיצד תוכנות כופר מהדור הבא יכולות לנצל מכשירי IoT לצורך גישה ראשונית לנכסי IT ו-OT, מתוך כוונה לגרום הפרעה לפעילות העסקית.

בשנים האחרונות, ממשיכות מתקפות הכופר להתפתח על רקע 2 מגמות מתמשכות: האחת, התמורה הדיגיטלית מובילה לצמיחה מהירה במספר התקני "האינטרנט של הדברים" (IoT) ברשתות הארגוניות; והשנייה, ההתכנסות של רשתות מחשוב (IT) ותפעול (OT) לכדי רשת אחת.

שחקני הכופרה התפתחו במהירות אף הם ועברו מהצפנת נתונים גרידא, ששימשה אותם עד סביבות 2019, דרך גניבת נתונים מתוך הרשת עוד בטרם ההצפנה ב-2020, ועד לקמפיינים גדולים של סחיטה הבנויים ממספר שלבים ב-2021. מגמה זו נמשכה בתחילת 2022, עם הופעתן של משפחות כופרה חדשות ומתוחכמות מאוד כגון ALPHV ומתקפות נוספות של קבוצות "כופר כשירות" (ransomware-as-a-service) כגון קבוצת Conti. התפתחות זו, שחלה בשיטות המשמשות את התוקפים, פירושה, שהקבוצות המוציאות לפועל את מתקפות הכופר יכולות כעת לשתק את הפעולות של כל ארגון כמעט.

הדו"ח, שפורסם היום, כולל תיאור מפורט של האסטרטגיות והשיטות, שיכולות לשמש ארגונים כדי להתגונן מפני סוג חדש של התקפת כופר הממנפת את התקני ה-IoT של הארגון (כגון מצלמות וידאו) לביצוע מתקפות כופר.

הדו"ח כולל הדגמה מקיפה של וקטור התקפה חדש זה, ש-Vedere Labs רואה בתור השלב הבא באבולוציה של תוכנות הכופר, ומכנה את גישת ההתקפה החדשה הזו "כופרה ל-IoT" או R4IoT. דו"ח R4IoT מתאר כיצד ניתן לנצל מכשירי IoT לטובת גישה ראשונית למכשירי IT ו-OT ולתנועה רוחבית מתוכם, במטרה לגרום לשיבוש פיזי של הפעילות העסקית.

תוכנת הכופר, שמשמשת בתור הוכחת היתכנות, שמתוארת בדו"ח R4IoT, מנצלת את המגמה הראשונה ע"י שימוש במכשירים חשופים ופגיעים, כגון מצלמות וידאו המשדרות דרך האינטרנט או התקן אחסון רשתי (NAS) בתור נקודת גישה ראשונית לרשת, ואת המגמה השנייה כדי לחטוף מכשירי OT ובכך להוסיף שכבת סחיטה לקמפיין ההתקפי.

מחקר זה הוא הראשון מסוגו, מהסיבות הבאות:

יישום ותיאור בפירוט של פעולות הזיהוי והתגובה למתקפת R4IoT עבור ארגונים המעוניינים להתגונן מפני איומים עכשוויים ועתידיים.
 
זהו המסמך הראשון המשלב את הידע על איומי הכופרה בתחומי ה-IT, ה-OT וה-IoT, והוא כולל תיאור מלא של הוכחת היתכנות מלאה, מהגישה הראשונית דרך התקני IoT, דרך תנועה רוחבית ברשת ה-IT ועד לפגיעה ברשת ה-OT. מעבר להצפנה בלבד, הוכחת ההיתכנות בציוד IT כוללת פריסה של תוכנת כריית מטבעות קריפטוגרפיים וגניבת נתונים מתוך הרשת החוצה.
 
ההשפעה על רשת ה-OT אינה מוגבלת למערכות הפעלה רגילות (למשל מערכות Linux) או לסוגי התקנים (למשל בקרים חכמים בבניינים), אינה דורשת כתיבה קבועה (persistence) או שינויי קושחה בהתקנים המותקפים, ופועלת בקנה מידה גדול במגוון רחב של התקנים המושפעים מנקודות תורפה של שכבת ה-TCP/IP.
 
הוכחת היתכנות זו, שמפורטת בדו"ח הטכני, היא הדגמה ברורה של האופן שבו ניתן לשלב ניצול של חולשות ברשתות IoT ו-OT עם מתקפה מאורגנת בדרכים קונבנציונליות. כ"כ, הוכחת ההיתכנות מראה, שכדי להתגונן מפני מתקפות מסוג זה, ארגונים זקוקים לפתרונות המאפשרים נראות נרחבת ושליטה משופרת בכל הנכסים ברשת.
 

מזעור נזקי מתקפות כופרה

מעבר להדגמת אופן הפעולה של מתקפת R4IoT, הדו"ח מראה, ששנן דרכים לצמצם הן את ההסתברות של התרחשות מתקפות מסוג זה והן את השפעתן, ובכך להקטין את הסיכון הכולל הניצב בפני ארגונים.

3 הבחנות חשובות שעלו מהמחקר על האיום הנשקף ממתקפות כופר מאפשרות להתגונן מפני איום זה בפונקציות ה-NIST Cybersecurity Framework השונות:

הכרה והגנה מתאפשרות מכיוון שמאות התקפות דומות מתרחשות בו זמנית. לדוגמה, ב-2021 ביצעה קבוצת Conti מעל 400 התקפות מוצלחות על ארגונים אמריקניים ובינלאומיים. פירוש הדבר הוא, שניתן לזהות ניצול פעיל של התקנים ונקודות תורפה בזמן אמת וכך ניתן לתעדף את הגנתם.
 
זיהוי מתאפשר מכיוון שרוב הכלים והטכניקות, שמשמשים שחקני איום אלה, ידועים. מוצגות הטקטיקות, הטכניקות והפרוצדורות המובילות (TTPs), ששימשו בנוזקות ב-2021.

תגובה ושחזור מתאפשרים מכיוון שההתקפות אינן מיידיות ואוטומטיות לחלוטין. זמן השהייה הממוצע של תוקפי כופרה עמד ב-2021 על 5 ימים.
 
יישום אמצעי הגנה אלו דורש נראות נרחבת, אוטומציה ושליטה משופרת בכל הנכסים ברשת.