חברת סייבר ישראלית חשפה, האקרים סינים פרצו לחברת סיסקו

חברת הסייבר הישראלית סיגניה (Sygnia) חושפת חולשת אבטחה בתוכנת Cisco NX-OS של חברת סיסקו, המשפיעה על מגוון רחב של ציוד תקשורת מסוג Cisco Nexus שנמצא בארגונים רבים בארץ ובעולם. את פרצת האבטחה ביצעה קבוצת ההאקרים הסינית Velvet Ant ("נמלת הקטיפה") שנחשבת לאחת המתוחכמות בעולם והיא נחשפה על-ידי חוקרי סיגניה שגילו את הפגיעות, דיווחו עליה לסיסקו, תוך שהם מספקים לה מידע מפורט על מהלך התקיפה, שבוצעה למטרות ריגול.

חולשת האבטחה זוהתה כחלק מחקירה נרחבת שביצעו צוות חוקרי סיגניה, לאחר שנקראו לסייע ללקוח החברה שהותקף על-ידי קבוצת Velvet Ant. על ידי ניצול פגיעות זו, קבוצת ההאקרים הסינית הצליחה להריץ תוכנה זדונית (malware) שיצרה בעצמה. תוכנה זו לא הייתה ידועה בעבר והיא איפשרה להאקרים להתחבר מרחוק למכשירי Cisco Nexus שנפגעו, להעלות קבצים נוספים ולהפעיל קוד זדוני במכשירים.

החולשה מאפשרת לתוקף אשר הצליח להשיג גישת אדמין לציוד התקשורת של סיסקו, להריץ פקודות שרירותיות ישירות על מערכת ההפעלה מסוג לינוקס שבבסיס מערכת ההפעלה של סיסקו, תוך כדי שהתוקף "מדלג" בין שכבת סיסקו ללינוקס.

"על מנת להסתיר את עצמם טוב יותר ברשת, עברו התוקפים לעבוד מתוך מכשירי ה-Cisco Nexus הקיימים בתוך הארגון המותקף", מסביר אורן בידרמן, ראש צוות זיהוי ותגובה לאירועי סייבר בחברת סיגניה, "הפעם, התוקף השתמש במכשירים האלו כדי להסתתר בתוך הארגון ומשם להוציא מתקפות בתוך רשת הארגון. זאת, מאחר שמרבית הארגונים לא מנטרים איומי סייבר במרחב של ציוד התקשורת בארגון".

אורן בידרמן, ראש צוות זיהוי ותגובה לאירועי סייבר בחברת סיגניהצילום: גיא להב

ציוד רשתי, במיוחד מתגים (switch), לרוב אינם מנוטרים, ולעתים קרובות הלוגים שלהם אינם מועברים למערכת ניטור מרכזית. חוסר הניטור הזה יוצר אתגרים משמעותיים בזיהוי וחקירה של פעילויות זדוניות. בסיגניה ממליצים לארגונים לוודא שהם מקשיחים את הגישה למתגים ומפעילים את אמצעי הניטור שלהם.

קבוצת Velvet Ant, אשר פועלת בחסות סין, מתאפיינת בניצול חולשות אבטחה בציוד תקשורת של יצרניות גלובליות שונות על מנת להקשות על חשיפתן בעזרת אמצעי הניטור השגרתיים שבארגון. כך מבטיחים ההאקרים הסינים גישה ממושכת לרשת הארגונית תוך שהם מנסים לגנוב מידע רגיש לצורכי ריגול. בתחילת החודש פרסמה סיגניה מחקר נוסף שבו פירטו חוקרי החברה את שיטות הפעולה של ההאקרים, כחלק מחקירה פורנזית רחבה שסיגניה ביצעה עבור ארגון גדול שנפל קורבן למתקפה המתוחכמת.

חברת סיגניה (Sygnia), חברת הסייבר של Team8 ו-Temasek, היא מובילה עולמית בתגובה לאירועי סייבר. החברה מסייעת למאות ארגונים ברחבי העולם לבנות אסטרטגיות הגנה מפני מתקפות סייבר, לבלום מתקפות בזמן אמת ולהתאושש לאחר מתקפות. החברה עובדת עם הנהלות, דירקטוריונים, צוותי מערכות מידע והצוותים הטכניים של חברות מובילות ברחבי העולם, לרבות חברות מרשימת ה-Fortune 100.

'בחדרי' גם ברשתות החברתיות - הצטרפו!