ישראל היא היעד המוביל בעולם להתקפות סייבר

יום ה', 24 בדצמבר 2020
 
מעבדות F5 Labs חושפות כי ישראל הייתה היעד המוביל בעולם להתקפות סייבר ברבעון השלישי של 2020. על פי דוח הגנת היישומים לשנת 2020 (2020 Application Protection Report) לאחריה נרשמו ארה"ב, רוסיה והודו . 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
הדוח מבוסס על ניתוח מפורט של נתוני מלכודות דבש (honeypots) שנאספו מאמצע יולי עד אמצע אוקטובר 2020. מלכודות דבש מחקות מטרות של תוקפים ומאפשרות לחוקרי האבטחה של F5 Labs לנטר את ההתנהגות של התוקפים. החוקרים השתמשו ברשת מלכודות הדבש הגלובלית של Effluxio, המאפשרת לספק מדגם רחב אודות פעילות זדונית ביותר ממיליון קישורים (logged connections), עשרות אלפי כתובותIP  ייחודיות, ועוד.
 
עוד מעלה הדוח כי התעבורה העצומה המרוכזת בנכסים ישראליים, התמקדה בפורטלים ניהוליים של WordPress, בעיקר להתקפות מסוג credential stuffing או brute force. למעשה, 92% מההתקפות כנגד אתרי WordPress, התמקדה בישראל. 
 
הדוח מציין כי כתובת ה-IP שנצפתה במידה הגבוהה ביותר, היא 195.54.160.21, שכללה פי שלושה יותר קישורים (logged connections) לעומת כתובת ה-IP הבאה הנצפית ביותר. מדובר בכתובת IP זדונית ידועה הקשורה לרשתות סריקה רוסיות. אף אחת מעשר כתובות ה-IP המובילות האחרות בדוח לא התבלטה כנכס זדוני מאושר.
 
ניתוח היעדים
שני היעדים הבולטים הנם בקשות שרת המתחברות ל-web root עצמו (הנתיב "/"), או קבצי robots.txt. שאר 20 מסלולי התקיפה המובילים בדוח הציגו שילוב של נקודות תורפה ידועות, כגון מספר חולשות של ביצוע קוד מרחוק ב-PHP וחולשה של Apache SOLR, או סריקות אחר פורטלים של אימות ליעדים נפוצים כגון אתרי WordPress. 
הדוח מעלה כי רבות מהחולשות הידועות היו כנגד התקני IoT כמו נתבים ומצלמות אבטחה. האחרון מבין 20 היעדים המובילים היה סריקות אחר favicons, המשקף את השימוש הגובר ב-favicons להזרקת קוד זדוני. אמנם זה נפוץ ביותר כנגד אתרי WordPress3, אך ב-2020 Magecart שחקני האיום השתמשו ב-favicons כדי להזריק סקריפטים כחלק מהמגמה ההולכת וגוברת של התקפות formjacking4.
 
מהו תזמון ההתקפות?
כמה כתובות IP של תוקפים נוטות להיות "פטפטניות", ומריצות התקפות נגד מטרות ברציפות במשך שבועות בכל פעם. אחרות נוטות לצאת לקמפיינים קצרים וממוקדים. מומחי F5 Labs מצאו כי כתובות ה-IP שהיו בהן פרצי פעילות קצרים וממוקדים, נטו למספר רב של יעדים, ואילו מקורות ההתקפה שנטו להיות הדרגתיים יותר לאורך זמן נטו למספר קטן של יעדים.
סנדר וינברג, מומחה מחקר האיומים ב-F5 Labs אמר כי: "מהנתונים אנו יכולים להסיק טנטטיבית שככל שההתקפות נעשות ממוקדות יותר, התוקפים מודאגים פחות מלהתגלות באמצעות נפח התעבורה בלבד. הדיוק של התעבורה שלהם מספק להם קצת יותר מרחב מבחינת העיתוי ומאפשר להם לחפש יעדים ומערכות ספציפיים כגון נקודות תורפה של IoT או נקודות קצה לא מוגנות של API עבור אותו נפח תעבורה נתון".