התקפת APT - Advanced Persistent Threat הטכנולוגיה של העידן הנוכחי מעניקה לתוקף סייבר עמדת פתיחה טובה יותר מזו של המגן. בשלש השנים האחרונות התפתחו קונספציות לפיתוח שיטות תקיפה מתוחכמות ומורכבות מאוד, אשר העיתונות חשופה אליהן חלקית רק בשנה האחרונה. תקיפות מתוחכמות אלו זכו לכינוי APT. שיטות תקיפה אלו, מביכות את יצרני מוצרי האבטחה. לפיכך, התפתחה לאחרונה אופנה, לפיה כנגד ה- APT, החלו יצרני מוצרי האבטחה לפרסם מוצרי "Counter-APT". לא זאת בלבד, אלא שעל-מנת להציג את מוצריהם כמסוגלים להתמודד כנגד התקפת APT, היצרנים אף החלו לכנות בכינוי "התקפת APT", כל התקפה שמוצריהם מסוגלים לזהות ולהתמודד עימה, ובכך – יצרו זילות של המונח. ארגון NIST הגדיר מהי התקפת APT: - Advanced – התוקף עושה שימוש במגוון רחב של אמצעי תקיפה שמעבר לתחום הגישה של תוקף טיפוסי. יתכן שמדובר ביכולת לפתח או לקנות קוד המנצל פגיעות 0-Day, ויתכן –שימוש בכלים מונעי זיהוי ואיתור עקבות.
- Persistent – ההתקפה מבוצע מול יעד מוגדר היטב, ולא כ"התקפה כללית" אשר מחפשת נקודת תורפה בסביבה כללית, רק למען האתגר. השגת היעד, משמעו – נחישות ודבקות במטרה, פשוטו כמשמעו. התוקף יבצע פעילות מתמשכת, לעיתים ארוכת טווח, עד להשגת היעד. התוקף יעשה כמו-כן, מאמץ רב על-מנת להסוות את התקיפה, ולהסתיר כל סימן העשוי להסגירו או את סביבתו.
- Threat – אין מדובר בסוג האיומים שמאפיינים את אלו המוזכרים בגאווה על-ידי תוקף טיפוסי. אין מדובר בפעולות של Port Scanning או על רכיבי קצה חשופים, או התקפת SQL Injection באמצעות קוד שניתן להורידו באינטרנט. הכוונה היא לאיום מתוחכם שאינו תוצר של "פעולה אוטומטית", איום שהמציג יכולות גבוהות של תקיפה ממוקדת ו"תפורה", אשר מקשה על המגנים את היכולת לזהות, לנטר ולמנוע את ההתקפה באמצעות "אמצעים אוטומטיים טיפוסיים", או בעזרת נהלים, "התנהגות נכונה" ושיגרת אבטחה. מדובר באיום שידרוש מהתוקף חריפות ומקוריות כדי לפענח ולמנוע התקפה.
האם "Operation Aurora" הינה התקפת APT? ההתקפות שסבורים כי הגיעו מסין על עשרות חברות הייטק כמו Google, Adobe ונוספות, אכן כללו מספר שלבים, במסגרת תוכנית תקיפה ממוקדת. בשלב הראשון נשלחו מיילים ומיסרונים לנמענים ממוקדים, עם הפניה לשרת שנשא קוד עוין מבוסס JavaScript. הקוד עשה שימוש בפגיעות 0-Day על Internet Explorer אשר אפשרה הורדת Back Door אל המחשב המותקף. מרגע שהקוד הורד, היה המחשב המותקף מחובר לרשת שנשלטה היטב באמצעות התוקפים, באופן שאיפשר להם לדלות נתונים מהמשאבים המחוברים אל המחשב המותקף. ובכן, אכן, המטרה היתה ממוקדת, היה שימוש בקוד יקר מציאות הנושא 0-day, היו בתוכנית מספר שלבים, ומוצרי אבטחת מידע טיפוסיים לא יכולים לאתר את ההתקפה. האם זוהי התקפת APT? תשובה: אין תשובה בינארית. APT הינו מונח יחסי. האם ההתקפה על RSA ב- 18 במרץ 2011 היא תקיפת APT? ההתקפה גרמה לגניבת מידע חיוני ומהחברה, בעיקר מידע סודי הנוגע למוצרי סדרת "SecurID two-factor Authentication" של RSA. התקיפה בוצעה על-ידי שליחת גליון אקסל הנושא פגיעות 0-Day של Adobe Flash למספר עובדי החברה, וחלקם– אכן נפלו ברשת. התוקפים מימשו גם כאן "דלת אחורית" אשר איפשרה השתלטות על המחשבים המותקפים, וניצול הרשאות הרשת שלהם לשם שדרוגם עד אשר יכלו להגיע אל יעדם - המידע המבוקש. מידע זה, היה אולי שלב בלבד – אל היעד האמיתי: ניצול תוכנת האבטחה המותקנת באלפי אתרים אחרים בעולם – על-מנת לחדור אליהם. ובכן, גם כאן המטרה היתה ממוקדת, נעשה שימוש במשאב יקר מציאות של 0-Day, היעד היה לגנוב מידע מסוים, היו בתוכנית מספר שלבים, ומוצרי אבטחת מידע טיפוסיים לא יכולים לאתר את ההתקפה. האם ההתקפה על Oak Ridge National Laboratories ב- 21 באפריל 2011 היא תקיפת APT? המכון עוסק במחקר אודות אנרגיה גרעינית לצורכי בטחון. המכון, ועימו מספר מכוני מחקר נוספים, הותקפו על-ידי קוד המנצל פגיעות 0-Day על Internet Explorer, כ- 60 עובדים נפלו בפח, ומידע נגנב. ניתן, אם כי לא בצורה נחרצת, להגדיר אם מתקיימים מספיק תנאים כדי לכנות את ההתקפות הללו APT. מדוע? כי הקוד, אף שלא היה זמין באותו מועד להאקרים טיפוסיים, לא היה מתוחכם ברמה גבוהה. שאר התנאים – אכן התקיימו. אמצעי נגד עולם אבטחת המידע נאלץ להתמודד עם התקפות מתוחכמות, לא שגרתיות, המערבות את הגורם האנושי (Social Engineering), ותבונת קוד. ברחבי העולם מתגבשות קבוצות מחקר להתמודדות אם APT. בישראל, הקציב משרד התעשיה, המסחר והתעסוקה תקציב למימון מאגד מחקר מסוג זה. מניתוח יעדיו של המחקר, ניתן להסיק עד כמה הבעיה חריפה. המחקרים אינם דנים בפיתוח "כלי", כי לא יימצא כלי שכזה, אלא בפיתוח אלוגריתמים שינתחו אירועים ותהליכים ויסיקו כי מתקיימת התקפת APT. להלן הרשימה שפירסם המשרד: - אלגוריתמים לניתוח דפוסי התקפה ואנומליות בזרימת המידע.
- אלגוריתמים לזיהוי התקפה ואנומליות בזרימת המידע החל משלבההכנות דרך נסיונות ועד למימוש ההתקפה, כוללשיערוךמקור האיומים וכוונות התקיפה.
- אלגוריתמים חכמים לאיתור . (Advanced Persistent Threats) APT
- אלגוריתמים לניתוח ההתקפות ומציאת קורלציה בין איומים.
- אלגוריתמים יעודיים לניתוח, הבנה וסיווג התקפות פרטיות ,שלמות וזמינות המידע(.
מבחר אירועי לוחמת סייבר שפורסמו בעיתונות בחו"ל יש להביא בחשבון כי אחדות מהתקפות הסייבר המתוארות הינן התקפות ברמה טכנית ירודה אשר ספק רב קיים באשר לעמידת ממשלה כלשהי מאחוריה. אחדות – כדוגמת ההתקפות על אסטוניה ועל גיאורגיה, עומדות בסתירה לאינטרס רוסי ממלכתי, שכן הן חושפות פגיעויות של אויבות בפוטנציה, ובכך מסייעות להן לשפר את ההגנה. להתקפות אחרות ברשימה זו, אין סימוכין רשמיים. (אבי ויסמן) 1. ב- 1982 נגנבה מערכת שליטה ובקרה ממוחשבתמחברה קנדית על-ידי סוכנים סובייטיים. במערכת זו, כך נטען, נשתל קוד עוין "מותנה מועד" על-ידי ה- CIA, למקרה שהמערכת תגנב. הקוד, מופעל לאחר פרק זמן מעצמו, ומשנה את מהירות הפעולה של המשאבה אליה מתחברת המערכת, כך שמהירויות שאיבה בלתי רצויות תבאנה להתפרקות רכיבים בצינור ההולכה. הפעלת המערכת באמצעות רוסיה גרמה לפיצוץ רחב היקף בקו גז בסיביר, אשר נצפה מלווינים אמריקאים. כך טוען מזכיר חיל האויר האמריקאי תומס ריד. The Economist: War in the fifth domain 2. ב- 1991, ב- 1 באפריל, ערב מלחמת המפרץ הראשונה, מתפרסמת ב- InfoWorld ידיעה בדבר שבב שזכה לכינוי "AF/91" הכולל קוד עוין שנועד להשבית את מערך ההגנה האוירית העירקי. נראה כי הידיעה לא נכונה ושורבבה במסגרת ידיעות השווא המאפיינות את ה- 1 באפריל. לכאורה, הוברח השבב באמצעות מדפסת, וחובר על-ידי כוחות ה- Seals לכבל אופטי תת קרקעי הסמוך למפקדת ההגנה האוירית העירקית. 3. ב- 1998 מבוצעת סדרת חדירות סדרתיות של האקרים רוסיים אל מערכות הפנטגון, NASA, משרדהאנרגיה. החדירה הזוכה לכינוי "Moonlight Maze" לא נתגלתה במשך שנתיים תמימות, וההערכה היא כי התוקפים זכו לגישה נוחה ושוטפת לנתונים צבאיים כגון מפות, תרשימים, ונתונים כמותיים על כוחות צבא ארצות הברית ועל תצורות נשק. http://www.prnewswire.com/news-releases/newsweek-exclusive-were-in-the-middle-of-a-cyberwar-74343007.html 4. מ- 2003 עד 2005 מבוצעות "פשיטות סייבר" על Sandia National Laboratories – יצרנית טכנולוגיות בטחוניות רגישות, על Lockheed Martin"" –יצרנית מטוסים ורכיבי תעופה, על Redstone Arsnal ועל NASA. התקיפות אשר זוכות ב- FBI לכינוי "Titan Rain", מבוצעות בהצלחה על סדרת רשתות רגישות במיוחד של הגופים הללו, כנראה באמצעות תאים של האקרים סיניים, אשר המימשל מאמין כי נתמכו על-ידי המימשל הסיני. גופים אלו עסוק בין השאר, בפיתוח מטוס החמקן העתידי של ארה"ב, ה- F-35. המימשל איננו מנדב מידע על תוצאות החדירה, מודה בהצלחת ההתקפה, אך מכחיש כי נגרמו נזקי דליפת ידע. http://www.washingtonpost.com/wp-dyn/content/article/2005/08/24/AR2005082402318.html 5. ב- 2006, במהלך מלחמת לבנון השניה, כך מפרסם מגזין Military.Com, מסייעות אחדות משכנותיה של ישראל לחיזאללה באמצעות התקפות על אתרים ישראליים, בסיוע האקרים רוסים שגוייסו בתשלום. גם שירותי המודיעין של ישראל, על-פי המקור, לא טמנו ידם בצלחת והפעילו מעקבים על אתרים לבנוניים, ושל שכנות התומכות בארגון הטרור. 6. ב- 2007, מתבצעת סדרת התקפות השבתה על גופי מימשל אסטונים, על בנקים, על הוצאות לאור של העיתונים, ועל גופים מוניציפליים. אלו - הותקפו והושבתו למשך שעות רבות על-ידי מאות האקרים רוסיים, בתגובה על החלטת ממשלת אסטוניה להסיר את פסל החייל הסובייטי האלמוני שהוצב בעבר בכיכר מרכזית בטאלין ולהעבירו לפרברי העיר. זוהי כנראה, בעיני משקיפים, מלחמת הסייבר המשמעותית ביותר מאז "Titan Rain". ההתקפה כה מרוכזת וכה מסיבית, עד כי ממשלת רוסיה מואשמת ברמיזות עבות על-ידי שר החוץ האסטוני במישרין, ואילו ראש הממשלה האסטוני מודה שאין הוכחות למעורבות ישירה של המימשל הרוסי בריכוז המתקפה, אך מציין שההתקפות באות מהמרחב הרוסי. גם ועדת חקירה של נאטו לא מצליחה למצוא ראיות חותכות למעורבות ממשלתית. 7. ב- 2007 תוקפים מטוסי חיל האויר הישראלי מתקן גרעיני סורי ב"דיר א-זור" שבמזרח סוריה, ליד הגבול העיראקי. המבצא מכונה "מבצע בוסתן" (Operation Orchard). חדירת המטוסים הישראלית כביכול, מבוצעת בצפון מערב סוריה, והמטוסים מבצעים גיחה עמוקה מאוד עד מזרח המדינה, באופן שחושף אותם ללא הרף לאיתור של מתקני ההגנה האוירית הסורית. למרבה ההפתעה, המטוסים אינם מתגלים כלל, ובעולם מתפרסמות ידיעות שלפיהן, מטוסי ביון ישראליים הפעילו מערכת לוחמת מידע (לא לוחמהאלקטרונית), כנגד מתקני ההגנה האוירית, ושיבשו אותם מבלי שהבקרים הסורים במתקנים אלו הבחינו בדבר מה חריג. מיכלי דלק נתיקים נמצאו מספר ימים מאוחר יותר מעבר לגבול הסורי, בשטח טורקי. מערכות תוכנה למלחמת סייבר קיימת על-פי המקורות ברשות צבא ארה"ב, ומכונה "Suter", ועיקרה – התממשקות סמויה עם מערכות הגנה אויריות מתוצרת רוסית, ושיבושן באמצעות כח אנושי מוטס המתערב במערכות, מסווה התראות מכ"ם ומרגיע את הבקרה. מגזין IEEE Spectrumמצטט מומחה אשר לדבריו, ספקית מערכת הגנה אירופאית שתלה במערכת ההגנה מתוצרתה "Kill Switch", ויתכן שמנגנון דומה סייע לישראל לשתקאת ההגנה הסורית. יתכן כי אין שחר לדיווחים אלו אודות לוחמה קיברנטית, ומדובר בלוחמה אלקטרונית טיפוסית. 8. ב- 2007, מאות סוכנויות של המימשל האמריקאי וחברות הייטק רגישות מותקפות על-ידי גורם זר, סיני לכאורה, וכ- 1 Terra של נתונים נגנבו. התקיפה כונתה לאחר מכן – "מתקפת פרל הרבור הדיגיטלית" ("Digital Pearl Harbor"). המידע אודות ההתקפות מועט מאוד, אך זוכה לאמון כי אכן התרחש. יתר-על-כן, אתרים שונים אשר פרסמו כתבות ומאמרים בנושא זה, אינם זמינים עוד ברשת. Cyber War: Sabotaging the System 9. ב- 2008, במהלך מלחמת רוסיה-גיאורגיה בדרום אוסטיה, הותקפו מאות גיאורגיים ואוסטיים, לרבות הפרלמנט הגיאורגי ומסודות דומים. ההתקפות אינן מתוחכמות, ומרביתן – מסתיימות בהחלפת מלל ותמונות באתרים המותקפים. החשד נופל בדומה למתקפה על אסטוניה, על קבוצות האקרים רוסיות כדוגמת ה- PRB (חבורת האקרים סוסיים שמרכזה בסנט פטרסבורג ונקראת: "Russian Business Network"). 10.ב- 2008, איתרו מנגנוני הבטחון האמריקאים כונן USB המכיל קוד זדוני לאיסוף מידע לאחר שחובר למערכת רגישה של הפנטגון במתקן צבאי במזרח התיכון. הקוד חדר למערכות ברשת המסווגת וברשת הבלתי מסווגת כאחד, והיבא לדעת בכירים בפנטגון לחשש כבד באשר ליכולתה של ארצות הברית להגן על עצמה מפני תקיפות סייבר. בהמשך, הביא הגילוי גם להחלטות על הפניית תקציבי ענק לתוכנית הגנה כנגד תקיפות Cyber בארצות הברית – 2008. מאמרים וכתבות על אירוע זה אינם זמינים עוד ברשת. 11.ב- 2009, בדצמבר ובינואר 2010, מתבצעת התקפה חסרת תקדים בהיקפה כנגד Google וכ- 20 חברות נוספות. העקבות מובילים לסין, והאירוע נקרא "מבצע אורורה" ("Operation Orora"). מדובר בהתקפה מאוד ממוקדת ומתוחכמת על התשתיות הארגוניות של החברה, לדברי דובר Google, אשר מטרתה – להשיג מידע אודות פעילותה של גוגל בסין, לרבות בחינת האפשרות להשביתה בכח. קרוב לודאי שמטרת התוקפים היתה להניח יד על קוד המקור של גוגל. Google Attack Is Tip Of Iceberg 12.ב- 2010, בספטמבר, נחשפת תולעת Stunet ברשתות פנימיות של מתקני גרעין אירניים, כנראה בעיקר בנאתנז. התולעת, בעלת כישורים מולטי דיסציפלינאריים, צויידה בקוד המנצל מספר פגיעויות בלתי ידועות עד לאותו מועד (zero Day), חתימה מזויפת, ואמצעים לאיתור קוד של מערכות שליטה ובקרה (SCADA). בנוסף, מצויד הקוד ביכולת לשבש מחד את הפקודות והתהליכים הקשורים למהירות המתקנים המייצרים סירכזות לזיקוק אורניום ופלוטניום (צנטרפוגות), ולהטעות את המפקחים במערכת הבקרה באופן שלא יחושו בשינויים במהירות. ישראל הינה אחת מהמדינות החשודות בביצוע, לצד ארה"ב ובריטניה. |
|
|
|
נושאים נוספים בתחום ה- Cyber Warfare: o מבוא ללוחמה קיברנטית / מלחמת סייבר
o ההיסטוריה של Cyber Warfare
o תחזית לעולם Cyber Warfare
o התקפת APT - Advanced Persistent Threat
o קישורים לקטעי וידיאו Cyber Warfare
o קישורים לכתבות Cyber Warfare |
