חוקרי Google מפרסמים ניתוח נדיר של מתקפות נגד תשתיות VMware

תמונה: dreamstime

הצרות לא מפסיקות להגיע לפתחה של ברודקום מאז רכשה את VMware. על פי דוח חדש של גוגל, מוצרי VMware הפכו לאחרונה ליעד מועדף של קבוצת ההאקרים המוכרת Scattered Spider, הידועה גם בשם Octo Tempest.

על פי הדוח, ההאקרים שמו להם למטרה את שרתי VMware ESXi, עם מיקוד בענפי הקמעונאות, התעופה והתחבורה בצפון אמריקה. על פי הדוח של צוות Mandiant מבית Google, "שיטות הקבוצה נותרו עקביות והן לא מתבססות על ניצול פרצות תוכנה. במקום זאת, הן מתמקדות במספר פעולות הנדסה חברתית, בעיקר דרך שיחות טלפון למוקדי תמיכה טכנית. ההתקפות לא מקריות, הן מדויקות, ממוקדות ומוכוונות אל המערכות והנתונים החשובים ביותר של כל ארגון".

כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime

שיטת חמשת השלבים

על פי הדוח, המתקפה מחולקת לחמישה שלבים, מהפריצה הראשונית ועד לפריסה מלאה של נוזקת כופרה:

• פריצה ראשונית, סריקה ואיסוף הרשאות: כולל איסוף תיעוד IT, מדריכי תמיכה, תרשימי ארגון ומידע על אדמינים של vSphere, וכן ניסיון לשלוף סיסמאות ממנהלי סיסמאות כמו HashiCorp Vault או פתרונות PAM אחרים. בנוסף, התוקפים מתקשרים שוב למוקד התמיכה, מתחזים לאדמין בכיר ומבקשים לאפס את הסיסמה כדי להשתלט על החשבון.
• מעבר לסביבה הווירטואלית: התוקפים משתמשים במיפוי בין Active Directory לנתוני vSphere כדי לגשת לשרת vCenter Server Appliance (vCSA). לאחר מכן, הם מפעילים פקודת teleport ליצירת shell מוצפן ומתמשך, שעוקף את חוקי הפיירוול.
• גישה ישירה ל-ESXi: התוקפים מפעילים חיבורי SSH, מאפסים סיסמת root ומבצעים מתקפה בשם "החלפת דיסק" (disk-swap): כיבוי מכונת DC, ניתוק הדיסק הקשיח הווירטואלי וחיבורו ל-VM בלתי מפוקח. לאחר העתקת קובץ NTDS.dit (מסד הנתונים של Active Directory), הכול מוחזר לקדמותו וה-DC מופעל מחדש.
• השמדה מונעת: מחיקת גיבויים, snapshots ומאגרי שחזור, כדי למנוע אפשרות התאוששות.
• פריסת כופרה: העברת קובץ כופרה מותאם אישית ל-ESXi דרך SCP או SFTP באמצעות גישת SSH.

לטענת החוקרים, דרך הפעולה של הקבוצה מחייבת "שינוי יסודי באסטרטגיית ההגנה. צריך לעבור ממעקב מבוסס EDR להגנה יזומה ברמת התשתית. האיום הזה שונה מרוב מתקפות הכופרה בשני פרמטרים – מהירות ויכולת ההסתרה". על פי גוגל, כל שרשרת ההדבקה מרגע קבלת הגישה ועד גניבת המידע ופריסת הכופרה במערכת, אורכת כמה שעות בודדות בלבד.

אז איך מתגוננים?

הדוח לא מציע רק הסברים טכניים מדוע זה הזמן להיכנס לכוננות, אלא גם מפרט כיצד ניתן להתגונן כבר עכשיו נגד Scattered Spider:

• בניית שכבת תשתית ו־vSphere: הפעלת Lockdown Mode, אכיפת execInstalledOnly, הצפנת מכונות וירטואליות, הסרת VMs ישנים והקשחת נהלי מוקד התמיכה.
• זהות והרשאות: שימוש ב־MFA עמיד בפני פישינג, בידוד תשתיות זהות קריטיות והימנעות מלולאות אימות.
• ניטור והתאוששות במקרה של תקיפה: ריכוז ומעקב אחרי לוגים קריטיים, בידוד גיבויים מ־Active Directory פעיל, ווידוא מניעת גישה מחשבונות שנפרצו.
• בנוסף, Google ממליצה לארגונים לתכנן מחדש את הארכיטקטורה האבטחתית לקראת המעבר מ־vSphere 7, שאמורה להגיע לסוף חיי התמיכה באוקטובר 2025.

"כופרה שמכוונת לתשתית vSphere – כולל שרתי ESXi ו־vCenter – מהווה סיכון ייחודי וחמור במיוחד, בשל יכולתה לשתק תשתיות וירטואליות שלמות באופן מיידי," נכתב בדוח. "אי־יישום ההגנות המומלצות עלול להשאיר ארגונים חשופים למתקפות ממוקדות שעלולות לשתק את פעילותם ולגרום להפסדים תפעוליים וכלכליים כבדים".