מתקפת סייבר סינית (אילוסטרציה). צילום: נוצר על ידי בינה מלאכותית - Google AI Studio

"מנצלים חולשות בשכבות העמוקות ביותר": כך מתנהלת מתקפת ריגול מתוחכמת מסין

חברת הסייבר הישראלית סיגניה חושפת כיצד קבוצת Fire Ant ניצלה פרצות במערכות וירטואליזציה לחדירה לרשתות ארגוניות • הקבוצה הצליחה להתחמק ממערכות ההגנה המקובלות ולשמר נוכחות ממושכת • המתקפה כבר פגעה בתשתיות סינגפור והמומחים מזהירים מאיום רחב יותר

חברת הסייבר הישראלית סיגניה חושפת כיצד קבוצת האקרים המתוחכמת Fire Ant, המיוחסת לסין, הצליחה לחדור לרשתות ארגוניות באמצעות ניצול פרצות אבטחה במערכות וירטואליזציה של VMware. המתקפה, שכבר פגעה בתשתיות הממשלתיות של סינגפור, מעוררת חשש מאיום רחב יותר על ארגונים ברחבי העולם.

לפי החברה, קבוצת Fire Ant ("נמלת אש") מתמקדת במערכות וירטואליזציה - טכנולוגיה המאפשרת להפעיל מספר מחשבים וירטואליים על שרת פיזי אחד. התוקפים מנצלים פרצות במערכות אלו כדי לחדור לרשתות ארגוניות ולשמר נוכחות ממושכת מבלי להתגלות.

מתקפה רב-שכבתית מתוחכמת

שרשרת התקיפה שנחשפה מציגה רמה גבוהה של תחכום טכני. התוקפים משתמשים בפרצות אבטחה שלא תוקנו, מנגנוני התחמקות מתקדמים וכלים שפותחו במיוחד למטרה זו. הקבוצה מצליחה להסתיר את עצמה ממערכות ניטור הרשת ולהחדיר רכיבים זדוניים לתשתית הוירטואליזציה.

עוד מישראל היום

מה שמיוחד במתקפה זו היא היכולת להתמקם מתחת לשכבת מערכת ההפעלה, מה שמקשה מאוד על הזיהוי. התוקפים מצליחים לעקוף אמצעי הגנה מקובלים בתעשייה, כולל תוכנות אנטי-וירוס ומערכות EDR (Endpoint Detection and Response) - טכנולוגיות המיועדות לזהות פעילות חשודה בנקודות הקצה של הרשת.

יואב זור, סיגניה. "המתקפה מדגישה את החשיבות הקריטית של נראות והגנה גם במקומות שעד כה נתפסו כמאובטחים", צילום: יח"ץ

"המתקפה שזיהינו מדגימה עד כמה תוקפים מתקדמים יודעים לנצל חולשות בשכבות העמוקות ביותר של התשתיות הארגוניות", מסביר יואב מזור, ראש תחום מענה למתקפות סייבר באסיה פסיפיק בחברת סיגניה. "המתקפה מדגישה את החשיבות הקריטית של נראות והגנה גם במקומות שעד כה נתפסו כמאובטחים".

רקע על התקיפה בסינגפור

קבוצת Fire Ant זוכה לתשומת לב בינלאומית לאחר שביצעה מתקפת ריגול משמעותית על התשתיות הממשלתיות של סינגפור. השר לביטחון לאומי של סינגפור הגדיר את הפעילות כ"מתמשכת", כשקיים חשש שהיא פעילה גם כעת. במדינה זו זוהתה הקבוצה כמיוחסת לסין ועומדת מאחורי התקיפה על תשתיות קריטיות.

בסיגניה מדגישים כי קבוצת Fire Ant לא מתמקדת רק בסינגפור, אלא פעילה ומאיימת על מדינות נוספות ברחבי העולם. התגלית מעלה חששות מהאיום הרחב שמציבות קבוצות תקיפה ממלכתיות על תשתיות קריטיות ברחבי העולם.

מתקפת סייבר (אילוסטרציה). קבוצת Fire Ant לא מתמקדת רק בסינגפור, אלא פעילה ומאיימת על מדינות נוספות ברחבי העולם, צילום: GettyImages

המלצות להגנה

לאור הממצאים, סיגניה ממליצה לארגונים לחזק באופן מיידי את יכולות הניטור וההגנה בתשתיות VMware. בין ההמלצות: הפעלת לוגים מתמשכים במערכת ESXi (פלטפורמת הוירטואליזציה של VMware), הפעלת מנגנוני Secure Boot שמבטיחים שהמערכת נטענת רק עם תוכנה מאומתת, הקשחת סיסמאות והרשאות, והגבלת הגישה לרכיבי ניהול התשתיות.

טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו