באמצע ספטמבר, סוכנות הביטחון של ממשלת ארה"ב CISA הורה כל הסוכנויות הפדרליות לתקן שתי נקודות תורפה של יום אפס ב-OS, iPadOS ומכשירי macOS. אלה היו רק באגי התוכנה האחרונים שטרם התגלו, שנוצלו כדי לספק את תוכנת הריגול הידועה לשמצה של פגסוס - שהמפתח שלה, NSO Group, נמצא במרכזן של תביעות משפטיות רבות.
המשרד הישראלי הוא אחת מחברות ריגול מסחריות רבות המכונות "שכירי סייבר" על ידי ממשלות מערביות וחברות טכנולוגיה. הם וקבוצה מפוקפקת יותר של האקרים להשכרה מייצגים איום הולך וגובר על ארגונים מכל הגדלים והמגזרים - המאפשרים ריגול תעשייתי, חטטנות ממשלתית ופעילויות מרושעות אחרות.
אם אפילו הטלפון של ג'ף בזוס עלול להיפרץ על ידי קבוצות אלה, הגיע הזמן לקחת את האיום ברצינות.
מי הם שכירי הסייבר?
שכיר סייבר הוא מונח המשמש בדרכים שונות על ידי גורמים שונים. בגדול, אנו יכולים לפצל אותו לשני סוגים של גורמי איום:
יצרני תוכנות ריגול מסחריות: חברות אלו פועלות בתחום אפור משפטי, טוענות למכור תוכנות ריגול וניצולים לממשלות רק למטרות לגיטימיות לאכיפת חוק ואיסוף מודיעין. במציאות, הכלים שלהם נמצאים לעתים קרובות ממוקדים לעיתונאים, מתנגדים, פעילי זכויות ומתנגדים אחרים של משטרים אוטוקרטיים בדרך כלל. Citizen Lab גילה את שני ימי האפס שצוטטו לעיל בטלפון של עובד בארגון חברה אזרחית מוושינגטון.
דוגמאות לחברות אלה כוללות NSO Group, Circles, Intellexa, Cytrox ו- BellTroX InfoTech Services.
האקרים להשכרה: אלו הן קבוצות פליליות ברורות יותר שאין להן יומרה לפעול כארגונים מסחריים לגיטימיים למחצה. עם זאת, כמו יצרני תוכנות ריגול מסחריות, עבודתם עם לקוחות נשמרת בסודיות מוחלטת. למרות שהם מכוונים גם לעיתונאים, פעילים ואנשים אחרים בסיכון גבוה, קבוצות כאלה עשויות גם להציע את שירותין לריגול תעשייתי, מה שיאפשר לארגונים בעלי מוניטין אחרים לשמור על הכחשה סבירה.
הקבוצות כוללות את Deceptikons, Dark Basin ו- Void Balaur.
בשני המקרים, לקבוצות שכירי חרב יש חשד לקשר עם סוכנויות ביון שונות. שלושה קציני מודיעין ארה"ב לשעבר נחשפו בשנת 2021 על עבודה כהאקרים להשכרה עבור ממשלת איחוד האמירויות ו נתבע לאחר מכן לצד יצרנית תוכנות הריגול המסחריות DarkMatter. אומרים כי אינטלקסה מנוהלת על ידי מרגל ישראלי לשעבר. וגם נפרד דיווח נחשף "חיבור ייחודי וקצר מועד" בין תשתית התקיפה המשמשת את Void Balaur ושירות ההגנה הפדרלי הרוסי (FSO).
כיצד פועלות התקפות?
לרשות האקרים להשכרה יש מגוון עצום של טכניקות, טקטיקות ונהלים (TTPs). אבל כמו רוב שחקני האיומים, היכן שהם מסוגלים, הם יבחרו בדרך המהירה והקלה ביותר להשיג את מטרותיהם. זה יכול להיות התחזות וגניבת מידע תוכנות זדוניות והכלים העיקריים שלה כדי לסכן את הקורבנות שלה ושימוש בכלים לגיטימיים כמו PowerShell לפעילות לאחר חדירה. הם עשויים למקד דואר אלקטרוני מסחרי, חשבונות חברתיים והודעות, כמו גם המקבילות הארגוניות ומערכות ה-IT האחוריות שלהם.
"האיום הגדול ביותר של קבוצות שכירי חרב אלה הוא שלא אכפת להם מהמטרה. תמורת הסכום הנכון, שכירי חרב, בהגדרה, יבצעו חוזה על חשבון כל אתיקה. זה מעמיד תשתיות קריטיות, שירותי בריאות ומגזרים חיוניים אחרים על הכוונת של מי שמוכן אי פעם לשלם", אומר יועץ האבטחה הראשי של SentinelOne, מורגן רייט, ל-ISMS.online.
"האנשים והארגונים שנמצאים בסיכון הגבוה ביותר הם אלה שעושים הכי פחות כדי להגן על עצמם. עובדים מסכנים את עצמם כאשר הם משתפים מידע על עצמם באתרים כמו לינקדאין או פלטפורמות שונות של מדיה חברתית".
חשיפת איום תוכנות הריגול
עם זאת, במקרה של גופים מסחריים, TTPS יכול להיות מתוחכם משמעותית. פגיעויות של יום אפס נחקרות בקפידה, ולעתים קרובות מכוונות למכשירי אפל עם חדירות אפס קליק שהמשתמש אפילו לא צריך לקיים איתם אינטראקציה כדי להידבק. לאחר מכן, תוכנות ריגול נפרסות כדי לגשת להודעות, מיילים, תמונות, כניסות, פנקסי כתובות, שימוש באפליקציות, נתוני מיקום ומיקרופון ומצלמה של הקורבן.
מומחה אבטחת הסייבר של Corelight, מאט אליסון, מתאר את הקבוצות שעומדות מאחורי איומים כאלה כהצגת "הופעה והתנהגויות של סוחר נשק חסר מצפון". אף אחד בארגון אינו בטוח, אם כי נראה כי מנהלים בכירים הם יעד טבעי בהתחשב ברמת ההשפעה והגישה שיש להם.
"זה יכול להשתנות ותלוי בתפקיד, בארגון ובמטרה של הלקוח של שכיר הסייבר", אומר אליסון ל-ISMS.online. "זו בהחלט רמה נוספת של איום מעבר לאיומי הסייבר האופייניים שרואים רוב הארגונים המסחריים."
ארה"ב חוזרת
למרבה המזל, ממשלת ארה"ב שינתה את עמדותיה באופן משמעותי לאחרונה, והוסיפה כמה יצרניות ריגול מסחריות ל"רשימת ישויות" -לְרַבּוֹת קנדירו, קבוצת NSO, אינטלקסה וסיטרוקס. זה יהפוך את זה למאתגר יותר על הנייר עבור חברות אלה לקנות רכיבים מחברות אמריקאיות. צו נשיאותי מבקש גם למנוע מהממשלה הפדרלית לרכוש תוכנות ריגול שמדינות זרות השתמשו בהן כדי לרגל אחר פעילים ומתנגדי משטר. זה אמור לצמצם הזדמנויות מסחריות עבור מפתחים כאלה.
ארה"ב מנסה גם לאלץ ממשלות אחרות לקחת קו קשה דומה. תעשיית הטכנולוגיה איחד כוחות לרסן את פעילותם של שכירי סייבר, המודאגים לא רק מזכויות אדם אלא גם מאגירת נקודות תורפה, מה שהופך בסופו של דבר את העולם הדיגיטלי ל מקום מסוכן יותר.
ISMS ומעבר
אבל בינתיים, מה יכולים ארגונים לעשות כדי לצמצם את האיום על המנהלים ונכסי ה-IT/נתונים הקריטיים שלהם? מערכת ניהול אבטחת מידע (ISMS) יכולה לספק קו בסיס טוב של אבטחה, מה שעשוי לעזור להפחית רבות מהטכניקות שהאקרים להשכרה משתמשים בהם כדי להתפשר על יעדים. עם זאת, רייט של SentinelOne מזהיר מפני שאננות.
"שום דבר אינו ערובה מפני פגיעה. זיהוי חולשות ונושאי מדיניות הוא תחילתו של מסע ליכולת אבטחת סייבר חזקה", הוא טוען. "ציות מסייע לשמור על מודעות לדברים הגדולים."
ארגונים חייבים גם ללכת מעבר ליסודות אם הם רוצים להדוף מתקפות ריגול מסחריות מתקדמות יותר הממנפות פגיעויות של יום אפס.
"עצם טבעם של הכלים הללו ואופן השימוש והפריסה שלהם פירושו בדרך כלל שהם נמצאים ברמת קושי לזיהוי הגבוהה משמעותית מהתוכנה הזדונית הממוצעת או תוכנת הכופר שלך", אומר אליסון מ-Corelight. "אם אתה נמצא בארגון שיש סיכוי גבוה יותר להיות מאוים על ידי הכלים האלה, חשוב לטפל בהם בנפרד במסגרת שבה אתה משתמש כדי לאבטח את הארגון שלך."
קספרסקי מסביר שמשתמשים צריכים להיות מאומנים לזהות את סימני האזהרה של תוכנות ריגול: הסוללה מתרוקנת במהירות ואולי שימוש גבוה בנתונים. צעדים נוספים להפחתת האיום כוללים תיקון קבוע של מערכת ההפעלה של המכשיר ותוכנות אחרות, אימות רב-גורמי (MFA), אנטי-תוכנות זדוניות של המכשיר ואתחולים יומיומיים. במכשירי iOS, משתמשים בסיכון גבוה מתבקשים להשבית את iMessage ו-FaceTime. עבור ההתקפות המוזכרות בראש מאמר זה, גם מצב נעילה עוזר.
ובכל זאת אפילו קספרסקי נפגעה על ידי פעולת ריגול מתוחכמת. ארגונים חייבים לנהל את הסיכון כמיטב יכולתם, לתרגל את תוכניות התגובה לאירועים שלהם באופן קבוע ולבנות שכירי סייבר לתוך פרופיל האיומים שלהם.
