האקרים סינים הסתתרו שנה במערכת מיפוי של גוף ממשלתי

תמונה: נוצרה באמצעות AI

האקרים בשירות מדינות הם כבר מזמן איום רציני על ארגונים, חברות וממשלות ברחבי העולם, אבל כמה פעמים יצא לכם לשמוע על קבוצת תקיפה שישבה במשך שנה ויותר בתוך המערכת של הקורבן, שתלה הרחבות זדוניות כדי להרחיב את שטח התקיפה ולשלוף את כל המידע הסודי שניסו להסתיר מפניה?

זה מה שגילו חוקרי ReliaQuest, שחשפו קבוצה סינית שהסתתרה בהצלחה למעלה משנה באמצעות מערכת מידע גיאוגרפי (GIS). המערכת, ArcGIS, שפותחה על ידי חברת Esri (Environmental Systems Research Institute) כוללת אפשרות תמיכה בהרחבות שרת (SOE), מה שמאפשר להרחיב את הפונקציונליות הבסיסית של המערכת עצמה.

ArcGIS נחשבת היום לתוכנה המובילה בעולם בתחום מערכות המידע הגיאוגרפי, שמאפשרת לייצר מפות מאפס, להוסיף שכבות מידע מורכבות, לבצע ניתוחים מתקדמים ולקבל החלטות מבוססות מיקום. היא נמצאת בשימוש של עיריות וממשלות, חברות בתחומי התשתיות ותכנון ערים, איכות סביבה, ביטחון, נדל"ן ועוד.

החוקרים של ReliaQuest ציינו כי בסבירות גבוהה מדובר בקבוצת APT סינית, ככל הנראה Flax Typhoon. הקבוצה הצליחה להשיג גישה ראשונית למערכת באמצעות פרטי גישה של מנהל מערכת, משם הם התחברו לשרת ArcGIS ציבורי שהיה מקושר לשרת פנימי פרטי של ArcGIS ובמשך שנה ניהלו מבפנים את האופרציה.

כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime

מגישה ראשונית לשליטה מוחלטת

ההאקרים ניצלו את אפשרות ה-SOE של התוכנה כדי להרחיב את גישתם בתוך המערכת. הם שתלו הרחבת JAVA זדונית שפעלה כמו web shell, קיבלה פקודות מקודדות ב-base64 דרך פרמטר בשם layer ב-REST API וביצעה את אותן הפקודות על השרת הפנימי. והקאץ': בזכות הגישה הראשונית הכל הוסווה כמו פעולה שגרתית של המערכת. התקשורת בין הקבוצה לבין השרת הוצפנה באמצעות מפתח סודי שהוגדר מראש, מה שאיפשר גישה רק לתוקפים.

כדי להרחיב את השליטה מעבר לפורטל ArcGIS, קבוצת Flax Typhoon השתמשה בהרחבה הזדונית כדי להוריד ולהתקין את SoftEther VPN Bridge, ולהריץ אותו כשירות מערכת שמופעל אוטומטית עם עליית המערכת.

מרגע שהשירות הופעל, נוצר חיבור מוצפן ב-HTTPS אל שרת שהתוקפים הכי מראש וחיבר את הרשת הפנימית של הקורבן אל התוקפים. החיבור נעשה בתעבורה רגילה על פורט 443, מה שסייע בהסוואה של התעבורה כתנועה לגיטימית ברשת. משם, באמצעות חיבור VPN, התוקפים יכלו לסרוק את הרשת המקומי, לזוז במערכת ולגשת לכל מכונה פנימית, לשלוף סיסמאות ולהוציא את כל המידע הרגיש שרק רצו וכל זה מבלי להסתמך על ה-web shell.

המטרה: אנשי IT

חוקרי ReliaQuest זיהו פעולות חשודות מול שתי תחנות עבודה של אנשי IT בארגון, כאשר ההאקר ניסה לשלוף את בסיס הנתונים SAM, מפתחות רישום (Registry) רגישים וסודות LSA. בדוח שפרסמו ציינו החוקרים כי התוקפים ניסו להשתלט על מקלדות כדי להסלים את ההרשאות ולהשיג פרטי גישה נוספים שיאפשרו להם להעמיק את האחיזה ברשת.

Flax Typhoon, הידועה בתקיפותיה נגד ממשלות, תשתיות קריטיות וארגוני IT, עושה שימוש כבר תקופה בטקטיקות התחמקות כמו הפעלת קוד מתוך רכיבים קיימים ("living off the land"), אך השימוש בהרחבת SOE הוא טכניקה חדשה יחסית. בעבר, ה-FBI קישר בין הקבוצה לרשת בוטים בשם Raptor Train, שפגעה בגופים בארצות הברית.

מה שהופך את המתקפה הזול לחריגה במיוחד הוא לא התחכום, אלא העובדה שאף מערכת ניטור לא זיהתה את הפעילות במשך שנה שלמה. ולכן חשוב להזכיר: תמיד שווה לבדוק היטב אילו הרחבות מותקנות על השרתים שלכם, ולהפעיל בקרה הדוקה גם על תוכנה לגיטימית.