איך נלחמים בתמנון וירטואלי? דוח חדש חושף את שיטות הפעולה של קבוצת האקרים מסוכנת

קבוצת חוקרים ממיקרוסופט, בה גם חוקרים ממרכז המחקר והפיתוח של החברה בישראל, זיהו בשבועות האחרונים פעילות של קבוצת האקרים המתוחכמת "Octo Tempest", המכונה גם "Scattered Spider", נגד ענף התעופה. זאת, לאחר שבין אפריל ליולי השנה פגעה הקבוצה גם בארגונים מתחומי הקמעונאות, שירותי המזון, המלונאות והביטוח.

כך, למשל, אחת התקיפות הבולטות שיוחסו לקבוצה בחודשים האחרונים כוונה נגד ענקית הקמעונאות הבריטית Marks & Spencer. דפוס הפעולה של הקבוצה הוא מוכר - התמקדות בכל פעם בענף מסוים למשך מספר שבועות או חודשים ולאחר מכן מעבר ליעדים חדשים.

קבוצה המוכרת ל-FBI

Octo Tempest נחשבת לאחת מקבוצות הסייבר הידועות והמתוחכמות ביותר, שפועלת למטרות סחיטה כספית. ב-28 ביוני, הוציא ה-FBI אזהרה באשר לפעולות הקבוצה והרחבת יעדיה גם לתחום התעופה.

ככל הידוע, הקבוצה החלה לפעול ב-2022. כמו רוב קבוצות התקיפה, גם פעילותה מונעת ממניעים כלכליים - והיא מעורבת בפריצות, סחיטה ופשיעה במרחב הסייבר. 

מדובר בקולקטיב של האקרים ממדינות מערביות, בעיקר מארה"ב, בריטניה ומדינות נוספות באירופה, בשונה מרוב קבוצות הכופרה הפועלות ממזרח אירופה או אסיה. חברי הקבוצה בדרך כלל צעירים יחסית, ייתכן שחלקם אפילו בני נוער, בעלי רקע טכנולוגי חזק אך לא בהכרח ניסיון מקצועי מסורתי. לפי הערכות, חלקם מגיעים מעולם הגיימינג. אחת הדמויות הבולטות שזוהו בפעילות הקבוצה הוא האקר שמכונה "Fearless", שעמד מאחורי מתקפות רבות על מוקדי תמיכה טכנולוגיים.

המומחיות העיקרית של הקבוצה היא בהנדסה חברתית - לרבות פישינג, תקיפות SIM swap (השתלטות על מספר טלפון) ו-push bombing (הצפת בקשות אימות למשתמשים). לצד שימוש בתוכנות זדוניות כמו Raccoon Stealer, VIDAR Stealer ו-AveMaria, הקבוצה עושה גם שימוש בכלים לגיטימיים דוגמת Level.io, Splashtop ו-Tailscale.

בין התקיפות הבולטות ביותר שביצעה הקבוצה ניתן למנות את המתקפות על Caesars Entertainment ו-MGM Resorts בספטמבר 2023, בהן הצליחו לגנוב כ-6 טרה-בייט של מידע רגיש הקשור לאורחי המלונות.

עקיפת אימות דו-שלבי

כאמור, הקבוצה עושה שימוש בטכניקות מניפולציה פסיכולוגית לרמיית משתמשים ולהשגת מידע רגיש. לעתים קרובות, התוקפים מתחזים לעובדים בארגון של היעד שלהם או לספקים חיצוניים שעובדים איתו, זאת במטרה להטעות צוותי תמיכה טכנית ולהשיג גישה למערכות פנים ארגוניות.

אחת השיטות הנפוצות של הקבוצה היא עקיפה של אימות דו-שלבי (MFA) - מנגנון אבטחה הדורש אישור זהות באמצעות שני גורמים נפרדים. התוקפים משכנעים צוותי תמיכה להוסיף מכשירי אימות בלתי מורשים לחשבונות שכבר נפרצו.

אחרי חדירה לרשת הארגונית, התוקפים גונבים מידע רגיש למטרות סחיטה, ולעיתים אף משתמשים בתוכנות כופר - תוכנות זדוניות המצפינות קבצים ודורשות תשלום כופר לפענוחם. כמו כן, הקבוצה גם עושה שימוש בתקיפות פישינג באמצעות SMS, תוך שימוש בדומיינים מתחזים המדמים אתרים לגיטימיים.

שינוי טקטי בפעילות

בפעילותה האחרונה של הקבוצה, זוהתה פריסה של תוכנות כופר מסוג DragonForce, תוך התמקדות בסביבות וירטואליות מסוג VMware ESX hypervisor - תוכנה המאפשרת הפעלת מחשבים וירטואליים מרובים על מחשב פיזי אחד.

בניגוד לעבר, בו השתמשה הקבוצה בהרשאות זהות בענן לצורך גישה בסביבות מקומיות, פעילותה האחרונה מצביעה על שינוי טקטי - מתקפה ראשונית על חשבונות ותשתיות מקומיות, ולאחר מכן מעבר לגישה אל שירותי הענן.

הגנה ישראלית מתקדמת

ל-Microsoft Defender, שרבים מכליו מפותחים במרכז הישראלי, מערך נרחב של יכולות לזיהוי פעילות הקשורה ל-Octo Tempest ולשחקני איום נוספים במרחב הסייבר. מערך הזיהוי וההגנה פרוש על פני כל רכיבי האבטחה של מיקרוסופט - נקודות קצה, זהויות משתמשים, אפליקציות, דוא"ל וכלים שיתופיים, סביבות עבודה בענן ועוד.

על פי הודעה של החברה, מנגנון השיבוש הייחודי (Attack Disruption) של Microsoft Defender מאפשר מענה רחב ומקיף. זו טכנולוגיית "הגנה עצמית" המשלבת אותות ממקורות שונים, מודיעין איומים עדכני ומודלים מתקדמים של למידת מכונה מבוססי בינה מלאכותית.

המטרה היא לחזות ולשבש את הצעד הבא של התוקף באופן אוטומטי, על ידי בידוד הנכס שנפרץ - משתמש, מכשיר ועוד. המערכת מסתמכת על שילוב של אינדיקטורים שונים ודפוסי פעולה מוכרים, לרבות ניסיונות כניסה חשודים, ומצליבה את הנתונים מכלל מערכות מיקרוסופט.

בהתבסס על תובנות שנצברו מפעילות קודמת של הקבוצה, מנגנון השיבוש יפעל לבטל אוטומטית את חשבון המשתמש שבו נעשה שימוש על ידי התוקף, ויסגור את כל התוכנות הפעילות של אותו משתמש.