טכנולוגיות ענן המשמשות בלוחמת הסייבר בין רוסיה לאוקראינה

יום ג', 19 באפריל 2022

 

העימות בין רוסיה לאוקראינה אינו מתחולל רק בשדות הקרב אלא גם בחזית הסייבר, שבה ממשלות, קבוצות האקרים ובעלי אינטרסים שונים מנסים להוציא לפועל את תוכניותיהם. במאמר זה חוקרי צוות נאוטילוס מאקווה סקיוריטי, המפתחת פתרונות אבטחת מידע לסביבות הענן, מנתחים מספר דוגמאות להתקפות הסייבר שהתרחשו כחלק מהעימות הנוכחי וסוקרים את השיטות המשמשות את התוקפים ואת השפעתן.

לוחמת סייבר רוסית: נוזקת Wiper

למערכה הצבאית קדמה מתקפת סייבר מתוחכמת שיזמה רוסיה נגד ארגונים אוקראינים רבים. היא כללה נוזקות הרסניות ביותר המכונות IsaacWiperו-HermeticWizard, שהן גרסאות חדשות של הנוזקה Wiper. כך, לצד המערכה הצבאית, בוצעה מתקפת סייבר כדי להשפיע על העימות גם במרחב הווירטואלי.

הנוזקה הותקנה במאות מכונות דיגיטליות שונות באוקראינה, ולהן קדמו גל של התקפות שמטרתן השבתת השירות של אותן המכונות (DDoS). נוזקות ה-Wiper  החדשות יכולות להשחית את הנתונים במכונה ובכך להשבית אותה. לנוזקה ישנו מנגנון "תולעת" המאפשר להתפשט על פני רשת מקומית במטרה להדביק מכונות נוספות, ובנוסף יכולה הנוזקה גם לבצע מתקפת כופר ולהצפין קבצים של המכונה שנפגעה.

ככל שידוע עד כה לחוקרי אקווה סקיוריטי, מתקפת הנוזקה החדשה הזו מכוונת רק למערכות Windows. על פי מחקר פנימי של צוות נאוטילוס, צוות המחקר של אקווה סקיוריטי, רוב הסביבות המקומיות בענן (96%) הן מבוססות לינוקס. לכן מסתמן כי נוזקת Wiper  מהווה סיכון נמוך עבור סביבות ענן. עם זאת, מערך לוחמת הסייבר של רוסיה עשוי לכלול כלים דומים המתוכננים לתקיפת סביבות לינוקס.

ההאקרים-האקטיביסטים נכנסים לתמונה

עם הסלמת העימות בין רוסיה לאוקראינה, הוא החל למשוך את תשומת לבם של קבוצות האקרים גלובליות כגון תנועת ההאקרים-האקטיביסטים אנונימוס. אנונימוס מבצעת באופן קבוע מתקפות סייבר שמטרתן תמיכה באידיאלים החברתיים והפוליטיים שלה, כמו גם נגד ממשלות ומשאביהן. במקרה זה, אנונימוס הכריזהעל מלחמת סייבר נגד רוסיהוקראה להאקרים ברחבי העולם לתקוף מערכות של ממשלת רוסיה וארגונים רוסיים.

טכנולוגיות ענן המשמשות בלוחמת סייבר

ההתקפות משכו את תשומת הלב של צוות נאוטילוס, שעקבאחר האירועים האחרונים לצורך סקירה כללית של התקפות הסייבר שהתרחשו. הצוות אסף נתונים ממאגרים שמכילים קוד פתוח וכלים שמטרתם לתקוףכל אחד מהצדדים.

בין המאגרים, ניתחו קבצי התקנה של Dockerב-Docker Hubוכן ספריות קוד וחבילות תוכנה פופולריות כגון PyPINPMו-Ruby. ביצעו חיפוש לשמות ספציפיים ותוויות טקסט שקראו לפעולה אקטיבית נגד כל צדוחקרואת סוגי הפעילויות במקורות ציבוריים אלה.

כ-40% מהחבילות שבחנו היו קשורות לפעילויות מניעת שירות (DoS) שמטרתן לשבש את תעבורת הרשת של שירותים מקוונים. מאגרים ציבוריים אחרים סיפקו הן מידע לאזרחים אוקראינים ורוסים והן כלים לחסימת רשתות משתמשים מאזור העימות. בנוסף, הבחינו בצוות נאוטילוס גם בחבילות קוד שמציעות לבעלי אתרי אינטרנט להוסיף לאתר שלהם באנר שמביע תמיכה באוקראינה. יתר על כן, היו מקורות שהציעו פעולת "דוקסינג" (Doxing), חשיפה פומבית של מידע אישי של בעלי תפקידים בכירים. משאב נוסף שנבחן אסף תרומות עבור אזרחים אוקראינים.

ניתוח קבצי התקנה (container images) ב-Docker Hub

בשלב הבא, החוקרים בצוות ניתחו את קבצי ההתקנה"abagayev/stop-russia:latest" ו"erikmnkl/stoppropaganda:latest", שהועלו ל-Docker Hub. הסיבה העיקרית לבחינת קבצים אלו הייתה שביחד הם הגיעו ליותר מ-150,000 הורדות.

קבצי התקנה אלה הכילו הוראות הפעלה ואת קוד המקור ב-GitHub, כולל רשימה של מטרות עם כתובות של אתרי אינטרנט רוסיים. בין היתר, ההנחיות הסבירו כיצד ליזום מתקפה ואילו כלים יש להוריד, ואפשרו לאנשים ללא רקע טכנולוגי ליזום מתקפות בעצמם.

כפי שניתן לראות, המאגרים שיחקו תפקיד משמעותי בעימות הווירטואלי המתמשך, ומה שסייע לכך הם הכלים בסביבת הענן, שזמינים באופן נרחב עבור קהל פחות טכני. הדבר מראה לנו שוב שבימינו, לא צריך להיות האקר מיומן כדי לקחת חלק במלחמת סייבר.

כדי לנתח את קבצי ההתקנה שלעיל, בצוות נאוטילוס סרקו אותם באמצעות סורק האיומים הדינמיים (DTA) של Aqua. הסורק הריץ את קבצי ההתקנה בסביבה ייעודית מאובטחת (Sandbox), באופן שסיפק תובנות על כלים אלה והשפעתם.

ניתוח התקפות בפועל

כחלק ממאמצי המחקר של צוות נאוטילוס, החוקרים טומנים באופן קבוע "מלכודות דבש", כלומריישומי ענן עם הגדרות שגויות על בסיסDockerו-Kubernetes  או יישומים נפוצים אחרים כגון מסדי נתונים שמטרתם להתחקות אחר פעולות התוקפים. צוות נאוטילוס ניתח את הנתונים שנרשמו במלכודות הדבש שלהם עם התמקדות בהתקפות  DDoS  ואספו כתובותIP  שהיו שייכות לרוסיה ולאוקראינה בלבד.

על סמך הנתונים שנצברו במלכודות הדבש, נמצא כי 84% מהיעדים היו קשורים לכתובות IP  ברוסיה ורק 16% לכתובות באוקראינה. פילוח מגזרי נוסף של נתוני המטא הארגוניים המקושרים לכתובות ה-IPמראה שארגוני רשת ותקשורת היו המטרות העיקריות וספגו את מרבית המתקפות.

אודות אקווה סקיוריטי

אקווה סקיוריטי (Aqua Security)  היא חברה מובילה בתחום אבטחת סביבות Cloud Native. אקווה מספקת לארגונים את החופש ליצור חדשנות ולנהל את הארגון שלהם עם מינימום תקלות. פלטפורמת אבטחת ה-Cloud Native  של אקווה מספקת מניעה, זיהוי ותגובה אוטומטית לכל אורך מחזור חיי היישומים במטרה לאבטח תשתיות ענן ויישומים הפועלים בענן. אקווה, אשר הוקמה בשנת 2015, מעסיקה למעלה מ- 500 עובדים, מתוכם כמחצית במטה החברה ומרכז הפיתוח בישראל.

למידע נוסף בקרו ב- www.aquasec.comועקבו  twitter.com/AquaSecTeam.