משפחת כופר חדשה היא זו שאחראית על מתקפת הסייבר על נורסק הידרו
מאת: מערכת Telecom News, 21.3.19, 11:55
 
בימים האחרונים דווח על מתקפת כופר על ענקית האלומיניום הנורווגית נורסק הידרו, אחת מיצרניות האלומיניום הגדולות בעולם, שגרמה לשיבושים בפעילותה. מהו הקוד הזדוני LockerGoga ואיך הוא פועל? מה מומלץ לארגונים לעשות?
 
ולדימיר דשנקו, חוקר אבטחה במעבדת קספרסקי: "הקוד הזדוני LockerGoga, שלכאורה אחראי להצפנה של קבצי חברת Norsk Hydro, משתייך למשפחה חדשה יחסית של טרויאנים לכופר.
 
ההתקפה היא אירוע מדאיג בחומרתו, שמוכיח פעם נוספת, שהעולם אינו ערוך להתקפות סייבר כנגד תשתיות חיוניות ומולם התוקפים ערוכים ומסוגלים בבירור להפעיל התקפות על מתקנים כאלה.
 
ראינו התקפות על רשתות חשמל, בתי זיקוק, מפעלי ייצור ברזל, תשתית פיננסית, נמלי ים ובתי חולים ואלה המקרים בהם ארגונים זיהו את ההתקפות עליהם ואישרו את קיומן. עם זאת, חברות רבות לא מדווחות על התקפות, והיעדר הדיווח פוגע ביכולות הערכת הסיכונים והתגובה לאיום.
 
קיים פער בהבנת רמת הסיכון הנובע מהגידול בקישוריות בתעשיית התשתיות החיוניות. מחקר של מעבדת קספרסקי מצא, ש-61% מהנשאלים רואים בהטמעה של IoT במערכות ה- ICS/OT (מערכות בקרה תעשייתיות / מערכות תפעוליות)  כאתגר אבטחת סייבר שולי.
 
חשוב לציין, שנורסק הידרו סירבה לענות על דרישות עברייני הסייבר ולשלם את דמי הכופר, וכי היו ברשותם גיבויים מוכנים לשימוש. ללא גיבויים כאלה, התוצאות של התקפה כזאת היו חמורות מאוד. נקודה חשובה נוספת היא העובדה, שתחנות הכח היו מבודדות מהרשת הראשית, ולכן לא הושפעו.
 
ארגון תעשייתי מורכב, כמו מפעל או מתקן היתוך, הוא מארג מורכב להגנה -  התשתית שלו בנויה ממרכיבים רבים. פגיעויות, אפילו ברכיבים השוליים ביותר, יכולים לשמש כשער גישה לרשת כולה. בעוד עבור רוב הארגונים, המשמעות של פריצה היא כשל בייצור ואובדן הכנסות, מפעלי כגון זה נורסק עומדים בפני נזק פיזי לייצור שלהם".
 
מהי LockerGoga?
LockerGoga היא תוכנת כופר הנמצאת בשימוש מאז ינואר 2019 כנגד מספר ישויות במסגרת התקפות ממוקדות. תוכנה זו משמשת רק לצורך הצפנה של קבצים מסוימים בדיסק הקשיח של הקורבן, ואין לה מנגנונים אוטומטיים לתנועה רוחבית בארגון או לתקשורת. הקורבנות מתבקשים ליצור קשר עם התוקפים באמצעות אחת מ-2 כתובות דואר אלקטרוני המופיעות בהודעת ההצפנה.
 
התוקפים, שמשוייכים ל-LockerGoga, תוקפים מחשבים ברשתות של ישויות ספציפיות (מטרות בעלות ערך גבוה). הם חודרים לרשתות כדי להשיג הרשאות פעולה מלאות. ברגע שאלו הושגו, הם מפיצים את תוכנת הכופר LockerGoga אל כל משאבי הרשת (תחנות עבודה ושרתים) באמצעות קבוצות Active Directory או כלים כגון PSExec.
 
Wannacry ו-NotPetya, לשם השוואה, היו תוכנות חבלה, שהגיעו בצורת תוכנות כופר, כפי הנראה, כעבודה של גורמים במימון מדינות. 2 תוכנות אלו גם כללו יכולות של תנועה רוחבית כדי להתפשט באופן אוטומטי ברשתות הקורבנות. ל-LockerGoga אין אמצעים לתנועה רוחבית, והוא חייב להיות משודר ע"י מפעיל אל רשת הקורבן לאחר שמתקבלות הרשאות מלאות.
 
תוכנת הכופר LockerGoga משויכת ל"פשיעת סייבר עילית", כאשר היא משתמשת בטכניקות וכלים דומים ל-APT מסורתי. המפעילים מאחורי LockerGoga אינם בהכרח אלה המבצעים ההדבקות הראשוניות של רשת הקורבן. נראה, שאת הגישה הם הצליחו לרכוש מגורמי פשיעת סייבר אחרים. באופן דומה, ייתכן שהקוד הזדוני עצמו נרכש מגורמים חיצוניים.
 
ההערכה היא, שמדובר ככל הנראה במתקפה מורכבת של מספר שחקנים. ייתכן שגורם אחד קיבל תשלום עבור פיתוח LockerGoga, שחקן אחר ימכור תעודות לחתימת הקוד הזדוני, גורם נוסף יקבל תשלום על הפצת הדלת האחורית, שתשמש את המפעילים, ובקצה השרשרת יימצאו המפעילים, שיבצעו את התנועה הרוחבית ברשת הקורבן ויפיצו את LockerGoga.
 
כדי להימנע מתרחיש של כזה, מומלץ ע"י מעבדת קספרסקי:

• לבצע סקירת אבטחת מידע של הארגון,
• לבצע גיבויים קבועים,
• לעדכן את כל התוכנות הכלולות בתשתית הארגונית מוקדם ככל האפשר,
• ללמד עובדים את עקרונות הבסיס להיגיינת סייבר,
• להתקין פתרון אבטחה חזק לארגונים.

כ"כ, מערך הסייבר הלאומי מוסיף, שהכופרה שיבשה משמעותית את פעילות הארגון, שנאלץ להעביר פעילויות מסוימות לתהליכים ידניים ופעילויות אחרות למערכות ענן.

כ"כ,, מוסיף מערך הסייבר הלאומי, שווקטור התקיפה הראשוני טרם זוהה, אולם ככל הנראה הנגישות הראשונית התבצעה דרך רשת החברה בארה"ב. אופן ההתפשטות ברשת הפנימית טרם דווח בוודאות, אך מספר אזכורים ברשת מתייחסים לתקיפה משולבת של מערכת ה-AD הארגונית, העלולה לשמש כווקטור הפצה לכופרה. ככל הידוע הכופרה אינה מפעילה ערוץ C&C. הכופרה הייתה חתומה בחתימה דיגיטלית, שבוטלה לאחר הידיעה על המתקפה. הכופרה כוללת מנגנון הצפנה מהיר המחלק את פעילות ההצפנה למספר תהליכי משנה, ובכך מנצל אופטימלית את יכולות המעבד.

המלצות מערך הסייבר הלאומי להתמודדות עם אירועי כופרה:
 
מומלץ להתקין בהקדם האפשרי עדכוני אבטחה שמוציאים יצרני מערכות ההפעלה והיישומים השונים הפועלים במערכות הארגוניות. כל פגיעות שמותקן עבורה העדכון הרלוונטי, מפחיתה את אפשרויות התקיפה של פוגעני הכופר (SURFACE OF ATTACK)  ואת היכולת שלהם לבצע את שלב ההדבקה הראשוני.
 
מומלץ לגבות באופן קבוע את קבצי המידע, ובפרט לוודא כי מעת לעת (תלוי בדרישת העדכניות של הארגון) חלק מקבצי הגיבוי נשמרים OFFLINE כך שאינם נגישים לפוגעני כופר.
 
אם הארגון אינו עושה שימוש בתוכנת ADOBE FLASH PLAYER מומלץ להסירה.
 
מומלץ להגביל ארגונית את סוגי הצרופות, שניתן לשלוח אל משתמשי הארגון, למינימום הנדרש לפעילות העסקית התקינה של הארגון. ניתן לבחון שימוש בעמדות הלבנה המנטרלות קוד עוין אם קיים בקבצים, או בודקות באמצעות מספר שיטות הימצאות קוד מסוג זה. אם נעשה שימוש בעמדות אלו. יש לוודא, שכל קובץ המוכנס לרשת הארגון, ללא תלות באופן ההכנסה, עובר דרכן טרם הגעתו לרשת הפנימית.
 
מומלץ להפעיל שיקול דעת אילו קישורים/צרופות בהודעות דוא"ל פותחים. במקרה של הודעה ממקור בלתי צפוי, או אף הודעה בלתי צפויה ממקור מוכר, מומלץ לא לפתוח את הקישור/צרופה, ולוודא מול הגורם השולח האם אכן שלח את ההודעה.
 
מומלץ לפתוח מסמכי אופיס מרשת האינטרנט רק כאשר ה- MACROSבמצב DISABLED  ותחתPROTECTED VIEW . יש לחשוד בכל מסמך או הודעה המנסים לשכנע את המשתמש להסיר אמצעי הגנה אלו.
 
במקרים בהם היישום או מערכת ההפעלה מתריעות מפני חשד לשימוש לא ראוי בצרופות, אין לאשר את פתיחת הקובץ ויש לדווח לגורמי אבטחת המידע הארגוניים.

מומלץ לנטרל הפעלת קוד JAVASCRIPT  בקורא קבצי PDF.
 
אם לא עושים שימוש בסקריפטים שונים מבוססי VBS אוJAVASCRIPT , ניתן לשקול לנטרל את רכיב ה-WINDOWS SCRIPTING HOST.
 
מומלץ לשקול להתקין כלים מבוססיDeception   העשויים לזהות פעולת פוגען כופר ולהסיט אותו אל מטרה שהוכנה לשם כך מראש.
 
מומלץ להימנע מלתת למשתמשים הרשאות מנהלן מקומי .(LOCAL ADMINISTRATOR).

מומלץ לעשות שימוש במערכות כגון LAPS המנהלות את חשבונות המנהלן המקומי בעמדות בצורה מרכזית, מגדירות סיסמה שונה לכל אחת מהעמדות, ומחליפות את הסיסמה באופן אוטומטי מעת לעת.
 
מומלץ להגדיר ארכיטקטורת הרשת כך, שעמדות קצה תוכלנה לתקשר אך ורק עם שרתים ושירותי רשת מרכזיים, ולא ישירות עם עמדות קצה אחרות ברשת. יש לבחון ארכיטקטורה זו בסביבת ניסוי טרם פריסה בסביבת ייצור.
 
מומלץ לעשות שימוש במנגנונים שונים של מערכת ההפעלה, כגון  APPLICATION WHITELISTING, ASR, EXPLOIT GUARD וכו', כדי למנוע הרצת והפעלת תוכנות לא מוכרות בעמדות הקצה.
 
מומלץ לבחון ולעדכן את מסמכי הארגון בנושא המשכיות עסקית והתאוששות מאסון, וכן לתרגל תרחישים בנושא זה באופן עיתי.