"נכון לעכשיו, רוב החברות לא יודעות שהן נפרצו"
דוח של SentinelOne חשף כי חברות הסייבר עצמן הפכו ליעד של מתקפות מדינתיות. בשיחה עם ITtime מזהיר חוקר בכיר בחברה: "ההסתננות שקטה, והיא מתחילה בתהליך הגיוס"
תמונה: Pixabay
חברות הסייבר רגילות להיות בצד המגונן, הן הסמכות שאליה פונים כשהארגון נמצא תחת מתקפה שמסכנת את כל מה שעבדתם עליו במשך שנים, אבל לאחרונה החלה להתפתח תופעה חדשה – חברות הסייבר עצמן נמצאות תחת מתקפה שמטרתה אחת: לשבור את המגן לפני שבכלל משתמשים בו.
חברת SentinelOne, שהחלה את דרכה בישראל ונחשבת לאחת מהשחקניות המובילות בתחום ההגנה מבוססת בינה מלאכותית, פרסמה בחודש שעבר דוח חמור שמסמן שינוי מגמה: חברות סייבר עצמן הפכו למטרות תקיפה בולטות, כולל ניסיונות התחזות, חדירה דרך שרשראות אספקה וקמפיינים ממושכים של שחקנים ממדינות אויב.
"הספקים בתחום האבטחה נמצאים בנקודת מפגש מעניינת בין גישה, אחריות וזעם של תוקפים, מה שהופך אותנו למטרה אטרקטיבית עבור מגוון רחב של שחקני איום", אמר סטיב סטון, סגן נשיא בכיר ב‑SentinelOne.
ציידים ניצודים
במרכז הדוח בולטת תופעה שמזכירה תסריט ריגול ולא בהכרח את עולמות ה-IT שלנו: קמפיין נרחב שמקורו בצפון קוריאה, ובמסגרתו סוכנים שפועלים מטעם המדינה מנסים להתקבל לעבודה לא כפורצים, אלא כעובדים מן המניין, אנשי DevOps, מפתחים ואנליסטים. תוך התחזות זהירה, שימוש בזהויות גנובות ומעקב קפדני אחרי נורמות תעסוקה מערביות, הם חודרים לתוך תהליכי גיוס כאילו היו כל מועמד אחר. תופעה זו אף הגיעה לכותרות לאחרונה לאחר שמשרד המשפטים האמריקאי ניסה לחלט חזרה 7 מיליון דולר שנגנבו על ידי קבוצה צפון-קוריאנית שרימתה חברות.
ב-SentinelOne זיהו בקמפיין הזה יותר מ-360 זהויות מזויפות וכ-1,000 בקשות עבודה, כולל ניסיונות להתקבל למשרות בתוך SentinelLABS עצמה. "בחרנו באופן מודע בגישה מבוססת מודיעין", מסביר טום הגל, חוקר איומים בכיר ב-SentinelLABS, בשיחה עם ITtime. "בתיאום עם צוותי הגיוס שלנו, פיתחנו תהליכי עבודה לזיהוי ויצירת קשר עם מועמדים חשודים מצפון קוריאה כבר בשלבים הראשונים של הפנייה שלהם".
לדבריו, הצלחת הזיהוי התבססה על שילוב של אותות סינון עדינים ומעקב ישיר כחלק מתהליכי הגיוס. הקריטריונים כללו בין השאר פרטים מזהים של הפרסונות, כמו שמות, כתובות אימייל, ומטא-דאטה ייחודית שמעידה לעיתים על תהליך הגשה אוטומטי מצד התוקפים.
משאבי אנוש הם קו ההגנה הראשון
ב-SentinelOne הדגישו כי האחריות לזיהוי חדירות כאלה לא נשענת רק על צוותי האבטחה, אלא גם על יחידות משאבי אנוש. "צוותי גיוס צריכים להתייחס לגיוס כאל תהליך אבטחה ולא רק תהליך של משאבי אנוש", אומר הגל, "זה כולל אימות זהויות מעבר לפרופיל בלינקדאין. למשל, ראיונות וידאו עם בדיקת עקביות אזורית, הצלבת היסטוריית עבודה ציבורית, וזיהוי סימני אזהרה כמו שימוש ב־VPN או מטא־דאטה לא עקבית. זה לא רק עניין של לזהות זיופים, זה עניין של צמצום החשיפה מראש". בנוסף, הדוח כולל טיפים מעשיים נוספים: הגברת בקרות גישה, בדיקות רקע באמצעות שותפים אמינים, והכשרת מגייסים לזיהוי האיום בפועל.
לטענתו של הגל, בין הצעדים שיכולים להסגיר ניסיונות התחזות באופן מיידי: דרישת ראיונות וידאו מאומתים, אכיפת התחברויות תלויות מיקום, ביקורות על קבלני משנה וספקים, והגבלת גישת מפתחים רק למה שנדרש להם בפועל.
ומה לגבי רמת המוכנות בשטח? "רוב העסקים הקטנים והבינוניים אינם מוכנים כלל", מזהיר הגל. "לעיתים קרובות אין להם את המשאבים, את הגישה למודיעין איומים, או את תהליכי הסינון הנדרשים כדי לזהות פעילות כה עדינה, כמו עובד IT מצפון קוריאה שמשתמש בזהות מזויפת. לא מדובר בפריצות כוחניות, אלא בהסתננויות שקטות וממושכות דרך צינורות גיוס לגיטימיים. האיום נטמע בתוך פעילות תקינה, מה שהופך אותו לבלתי נראה עבור חברות שאין להן פונקציית אבטחה ייעודית. נכון לעכשיו, רוב החברות כלל לא יידעו אם הן נפרצו".
האיום הסיני: תקיפה דרך שרשראות אספקה
אבל לא רק צפון קוריאה מנסה לחבל בעבודה של חברות הסייבר. SentinelLABS זיהתה גם פעילות שמיוחסת לסין – ובפרט לשחקן APT שכונה בדוח PurpleHaze, המיוחס ברמת סבירות גבוהה ל-APT15 (Nylon Typhoon). ההתרעה הגיעה בעקבות חדירה לארגון שסיפק שירותי לוגיסטיקה עבור החברה באוקטובר 2024.
"PurpleHaze ממוקד במגזרים קריטיים כמו טלקום, טכנולוגיות מידע וארגוני ממשל", טען אלכסנדר מילנקוסקי, חוקר איומים בכיר. "הפעילות כללה תשתיות מתקדמות, רשתות ORB (Operational Relay Box), ודלת אחורית מבוססת Windows בשם GoReShell". כל אלה, לדבריו, איפשרו הקמה של תשתיות דינמיות שקשה לאתר, ושמשמשות לתמרון והסתרה של מקור התקיפה.
העובדה שמרכיבים כמו GoReShell הופיעו רק בפעילויות המיוחסות לשחקנים סיניים מחזקת את הערכת המודיעין, ומדגישה עד כמה שרשראות אספקה הפכו לנקודת תורפה מערכתית.
כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime
אחד המסרים המרכזיים שעולים בשיחה עם הגל הוא ש"אבטחת מידע היא משחק קבוצתי". יחידות עסקיות כמו רכש, תפעול ולוגיסטיקה חייבות להיות מחוברות למודיעין איומים לא פחות ממחלקת הסייבר.
SentinelOne מציעה שלושה כיווני פעולה מרכזיים:
- הפצת מודיעין איומים בתוך הארגון – גם ליחידות עסקיות שאינן אבטחה.
- שילוב הקשר איומים במאגרי הנכסים – כך שניתן יהיה להבין אילו רכיבים חשופים לאילו קבוצות תקיפה.
- הרחבת מודלי איומים – כך שיכללו איומים על שרשרת האספקה באופן מפורש, ולא רק חדירה ישירה.
"אבטחת מידע היא משחק קבוצתי, ושיתוף פעולה בין-תחומי חייב להפוך לנהוג בכל ארגון. יחידות קצה עסקיות מגיוס ועד מכירות, חייבות להיות מצוידות בהקשר מודיעיני משותף ונתיבי הסלמה ברורים, כדי לחשוף אנומליות בשלב מוקדם ולמנוע תקיפות עוד לפני שהן מתרחשות.בנוסף, מומחים שפועלים בחזית המחקר והטכנולוגיה חייבים לשתף פעולה בזמן אמת, כדי לחזק את ההגנות הקולקטיביות ולשמור על בטיחותם של כל הארגונים שבונים ונשענים על טכנולוגיות אבטחה מתקדמות", מסכם הגל.
