גוגל מזהירה: עדכון אבטחה מזויף חושף ארגונים ומשתמשים לנוזקות

חוקרי החברה חשפו נוזקות שהוסוו כעדכון Adobe, הופצו דרך רשתות ציבוריות ואפשרו לתוקפים להשתלט על המערכת, לגנוב מידע רגיש ולהתפשט ברשת הארגונית

{ אבטחה וסייבר }
מערכת ITtime
27.8.25

תמונה: Pexels

במרץ האחרון זיהתה גוגל קמפיין סייבר מתוחכם שניצל את אחד המנגנונים הכי מוכרים ברשת: דפי התחברות לרשתות Wi-Fi ציבוריות או ארגוניות כדי להפיץ נוזקות בחסות מדינתית. כעת מתברר כי מדובר בפעילות ריגול סייבר מתמשכת, שמיוחסת לקבוצת תקיפה סינית מוכרת בשם UNC6384, הקשורה גם ל-Mustang Panda (המכונה Silk Typhoon או Hafnium).

חוקרי Google Threat Intelligence Group גילו כי התוקפים פרצו להתקני קצה ברשתות המטרה ושינו את מנגנוני ה-Captive Portal כך שיפנו משתמשים לעמוד מזויף. אותו עמוד הציע "עדכון אבטחה חיוני" שהוסווה כתוסף של Adobe, אך בפועל התקין שרשרת נוזקות:

  • קובץ MSI ראשוני.
  • נוזקה בשם CANONSTAGER.
  • דלת אחורית בשם SOGU.SEC המקשרת לשרתי פיקוד ושליטה.

גוגל אף גילתה כי הקובץ המזויף (AdobePlugins.exe) נחתם באמצעות תעודה אמיתית של GlobalSign שהונפקה לחברה סינית בשם Chengdu Nuoxin Times Technology. עד כה אותרו לפחות 25 דגימות נוזקה שונות שנחתמו בתעודות שהחברה הזו קיבלה.

כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime

מי נפגע

לפי גוגל, המתקפה כוונה בראש ובראשונה אל דיפלומטים בדרום מזרח אסיה, אך גם אל גופים נוספים ברחבי העולם ובהם, כך נראה, סוכנויות ממשלתיות. החברה הייתה בטוחה במעורבות בייג'ינג עד כדי כך ששלחה התראות "Government-backed attacker" לכל משתמשי Gmail ו-Workspace שנפגעו.

האירוע האחרון הוא אחרון בשרשרת שמציגה דפוס מוכר של קבוצות תקיפה סיניות: שימוש בשרשראות אספקה, תעודות חתימה אמיתיות והנדסה חברתית מתוחכמת כדי להיכנס אל תוך רשתות רגישות. עבור אנשי IT ואבטחת מידע, מדובר בתזכורת חדה לכך שגם רכיב יומיומי לכאורה כמו דף התחברות ל-Wi-Fi יכול להפוך לנקודת חדירה קריטית.

המשמעות היא שעובדים שמתחברים לרשת ציבורית כמו למשל במלונות, שדות תעופה או משרדים של לקוחות, עלולים להיחשף להתקפות. גם העובדה שקובץ חתום דיגיטלית לא מבטיחה שהוא באמת בטוח, ולכן אי אפשר להסתמך על זה בלבד. בנוסף, המקרה הזה מזכיר עד כמה חשוב לארגונים לנהל ולעקוב מקרוב אחרי התקני הקצה ורכיבי הרשת שלהם, כדי למנוע פרצות מהסוג הזה.

מה אפשר לעשות

גוגל ממליצה לכל המשתמשים:

  • להפעיל Enhanced Safe Browsing ב-Chrome.
  • לעדכן את כל המכשירים לגרסאות האחרונות.
  • להפעיל אימות דו־שלבי (2FA).

החברה גם שיתפה את כלל המידע שברשותה בפלטפורמת ה-SecOps שלה, כדי לאפשר לארגונים לזהות פעילות דומה אצלם.

לאחר פריצת הענק לגוגל: מיליארדי חשבונות Gmail חשופים למתקפות

תגיות: , , , ,

Geektime Insider

הבא
הקודם

אירועים קרובים

לכל האירועים

משרות

לצפייה בכל המשרות

משרות פתוחות

לכל המשרות

קטגוריות

זה המקום להכיר את החברות, המשרדים וכל מי שעושה את ההייטק בישראל (ויש גם מלא משרות פתוחות!) #תוכן מקודם

הקודם
הבא