כך פועלת קבוצת ההאקרים Octo Tempest שתוקפת חברות תעופה

מיקרוסופט פרסמה דוח שחושף את אופן הפעולה של קבוצת האקרים שפועלת בשנים האחרונות כנגד גופים גדולים, ובהם מלונות MGM ורשת הקניות Marks & Spencer, וכעת חברות תעופה

{ אבטחה וסייבר }
אהוד קינן
21.7.25
תקפו חברות תעופה. אילוסטרציה: Brett Sayles, Pexels

תקפו חברות תעופה. אילוסטרציה: Brett Sayles, Pexels

מיקרוסופט זיהתה תקיפה של קבוצת ההאקרים Octo Tempest בשבועות האחרונים נגד חברות ענף התעופה. הקבוצה תקפה לפני כן גם חברות בארגוני קמעונאות, שירותי מזון, אירוח וביטוח בין אפריל ליולי 2025.

דפוס הפעולה של הקבוצה עקבי, על פי דוח של מיקרוסופט: התרכזות בתעשייה אחת למשך מספר שבועות או חודשים לפני המעבר למטרות חדשות, כאשר מיקרוסופט מציינת שהיא מספקת הגנה נגד התקיפות הללו. ה-FBI פירסם לאחרונה אזהרה מפני הקבוצה, ששמה עלה בדיווחים על תקיפות סייבר נגד מלונות MGM, רשת Marks & Spencer וגופים פיננסיים שונים.

מתחזים לקבלנים ועובדים

הקבוצה, שידועה גם בשמות נוספים ובהם דימויים כמו תמנון, עכביש ומאזניים (Scattered Spider, Muddled Libra, UNC3944, וגם 0ktapus) פוגעת בגופים במגוון שיטות: לפי מיקרוסופט וה-FBI התוקפים מתחזים לעובדים או לקבלנים, פונים למרכזי תמיכה של החברות ולספקים שלהם, ומשכנעים אותם באמצעות הנדסה חברתית, להוסיף מכשירים לא מורשים למערכת ולעקוף אמצעי הגנה כמו MFA, ומבצעים תקיפת AiTM. מיקרוסופט מציינת שהתוקפים עושים שימוש בכלים כגון ngrok, Chisel ו-AADInternals. לאחר שהתוקפים מצליחים לקבל גישה למערכת הם מתקינים כופרות או גונבים נתונים רגישים וסוחטים את החברות.

לאחרונה, הקבוצה פרסה כופרה בשם DragonForce המתמקדת בסביבת VMWare ESX. בניגוד לפעולות הקודמות שלה, שבהן היא השתמשה בהרשאות ענן כדי לקבל גישה מקומית (on-premises), התקיפות האחרונות כללו גישה מקומית וגם תשתיות בשלבי החדירה הראשונים, לפני המעבר לענן.

רוצים לקבל את הניולזטר השבועי של ITtime? הירשמו כאן 

שיבוש אוטומטי של התקיפה

לדברי מיקרוסופט, כלי ה-Defender שלה, שחלקם פותחו בישראל, יודע להתמודד עם כל אחת משיטות העבודה של קבוצת Octo. בין השאר היא מזהה ניסיונות חריגים לאפס סיסמה, סריקה של חשבונות וגישות חשודות למערכת, בדיקת מתן הרשאות חשודות, סריקת דומיינים חשודים שמתווספים למערכת ועוד.

מיקרוסופט מפעילה גם שיבוש התקפות אוטומטי באמצעות מערכת שהחוקרים במרכז הפיתוח של החברה בישראל בשם Attack Disruption. הכלי, על פי החברה, מזהה פעילות עוינת בזמן אמת ומנטרל אותה עוד לפני שהיא מסלימה.

בנוסף, צוות החוקרים ניתח לעומק את דפוסי התקיפה, בהתבסס על מאגר הסיגנלים הגלובלי של מיקרוסופט, ופיתח שיטות זיהוי, במטרה לחסום טכניקות שמצליחות לעקוף הגנות מסורתיות.

לאחר ש-Defender למדה את הטכניקות הפופולריות של Octo, שיבוש התקפות מנטרל באופן אוטומטי את החשבונות של הקבוצה ומבטל את כל הסשנים הפעילים הקיימים של המשתמש הפגוע. במיקרוסופט מציינים כי מומלץ שצוותי אבטחה יבצעו פעולות תגובה ידניות בנוסף לכך, כדי להבטיח הסרה מלאה של האיום.

מיקרוסופט מציעה גם להפעיל MFA עבור כלל המשתמשים, להפעיל את הכלי Entra ID שבודק כניסות חשודות למערכות, להפעיל כלים נגד פישינג, לוודא שההרשאות ב-Azure תקינות, ולהשתמש בכלים נוספים של Entra לניהול הרשאות כדי למנוע גישה בלתי מורשית למערכות של הארגון.

חוקר ישראלי פיצח את מנגנון ההצפנה של גוגל‎ באמצעות מתקפת C4

תגיות: , , ,

Geektime Insider

הבא
הקודם

אירועים קרובים

Failed to fetch posts or no posts available.
לכל האירועים

משרות

לצפייה בכל המשרות

משרות פתוחות

לכל המשרות

קטגוריות

זה המקום להכיר את החברות, המשרדים וכל מי שעושה את ההייטק בישראל (ויש גם מלא משרות פתוחות!) #תוכן מקודם

הקודם
הבא