כופרה

סיגניה חושפת את קבוצת התקיפה Emperor Dragonfly הסינית

פורסם בתאריך ע"י Techtime

חברת הסייבר הישראלית סיגניה (Sygnia) הצליחה לחשוף קבוצת האקרים מסין המכונה בשם Emperor Dragonfly, אשר מבצעת מתקפות כופר נגד ארגונים בכל העולם, כולל בישראל. שיטת הפעולה העיקרית של הקבוצה היא תקיפת שרתים של ארגונים שאינם מאובטחים כראוי, הצפנת המידע הרגיש ודרישה של מיליוני דולרים מהארגון המותקף בעבור השבתו של המידע. היא תוקפת חברות בעיקר בארצות הברית ובאסיה הפעילות בתחומים שונים: ייצור, שירותים פיננסיים, שירותים משפטיים וחברות הנדסיות.

הקבוצה נוהגת לתקוף חברות גדולות אשר ביכולתן לשלם סכומים גבוהים, לעתים יותר מ-10 מיליון דולר. התקיפה מתבססת על ניצול חולשות בשרתי ארגונים החשופים לאינטרנט, דרכם מתבצעת חדירה לרשת הארגונית כדי לגנוב ממנה מידע רגיש. בשלב הבא היא דורשת כופר שאם לא ישולם, היא תפרסם את המידע שנגנב. לדברי אורן בידרמן, מומחה בכיר לזיהוי ותגובה לאירועי סייבר בסיגניה, בדרך-כלל לא נהוג לראות בנוף האיומים העולמי קבוצות תקיפה שמקורן בסין. בידרמן: "קבוצה סינית מהסוג הזה היא דבר נדיר יחסית, מאחר והממשל הסיני מפקח על תעבורת האינטרנט בסין ומודע מאוד למה שקורה. סביר להניח שהיא לא יכולה לפעול כך בלא שהממשל בבייג'ינג מעלים עין".

הדרקון בעל השמות הרבים

חברי הקבוצה ניסו לשמור על חשאיות ולא להתגלות, ולכן החליפו מספר פעמים את שמם על-מנת שלא ניתן יהיה להתחקות אחר פעילותם, ובעבר היא כינתה את עצמה בשמות Night Sky ,DEV-0401 ו-Bronze Starlight. החקירה החלה לאחר שסיגניה זיהתה שימוש בתוכנת התקיפה Cheerscrypt אצל אחד מלקוחותיה וגילתה שהתוכנה חדרה לרשת הארגונית במשך מספר חודשים. בהמשך התברר שהיא הפעילה כלים אשר זוהו עם Night Sky הסינית ופותחו על-ידה.

סיגניה גם זיהתה שימוש בכלים "סיניים" הזמינים באתר GitHub, אשר נכתבו ופותחו על-ידי מפתחים סיניים עבור משתמשים סיניים. בהם למשל תוכנה העוקפת את מגבלות הצנזורה של הממשל בסין. מדובר בכלים שקבוצות כופרה אחרות אינן משתמשות בהם. בידרמן אמר שניתן להתמודד עם מתקפות כופר מהסוג הזה. "ניתן להתגונן בפני המתקפות באמצעות מספר צעדים בסיסיים – ובראשם לבצע מיידית את עדכוני אבטחה, מכיוון שקבוצת ההאקרים הזו מנצלת בעיקר את האלמנט הזה.

מתחזים לתומכי אוקראינה

"אנחנו רואים כי מרבית הארגונים שהותקפו לא עידכנו את שרתי הארגון".  לקריאת הדו"ח של סיגניה, הקליקו: Emperor Dragonfly. הקבוצה החלה לפעול בשנת 2021 ואפילו מפעילה אתר המתחזה כאתר תמיכה באוקריאנה. בניגד לקבוצות תקיפה אחרות, היא אינה נעזרת בקבלני משנה, וכל מחזור התקיפה מתבצע על-ידה. כדי להסוות את פעילותה, הקבוצה משנה מדי פעם גם את שמות תוכנות התקיפה ואת המטען המזיק שלהן. יחד עם זאת, הן כוללות מרכיבים רבים של קוד משותף המאפשר לקשר ביניהן.

סיגניה היא חברת הסייבר של Team8 ו-Temasek, ומתמקדת בתגובה לאירועי סייבר. החברה הוקמה בשנת 2018 על-ידי יוצאי יחידה 8200, מערכת הביטחון והתעשיות הביטחוניות בישראל. היא מסייעת למאות ארגונים בעולם לבנות אסטרטגיות הגנה מפני מתקפות סייבר, לבלום מתקפות בזמן אמת ולהתאושש לאחר מתקפות. החברה דיווחה שהיא עידכנה בממצאים גורמי אכיפת חוק גלובליים, ושהיא ממשיכה לעקוב אחר קבוצת התקיפה בניסיון לסכל את המתקפות הבאות.

אנבידיה נפלה קורבן למתקפת כופר

פורסם בתאריך ע"י Techtime

מערכת המידע של חברת אנבידיה נפרצה על-ידי קבוצת האקרים אשר גנבה ממנו מידע בהיקף של כ-1 טרה-בייט, הכולל את כל ססמאות עובדי החברה ומספר רשיונות לשימוש במוצרים של החברה. כך דיווח האתר SemiAnalysis, אשר עוקב אחר תעשיית השבבים. האתר הגדיר את הפריצה כ"אסון לאנבידיה ולביטחון הלאומי של כל הממשלות 'המערביות'". בהמשך דיווחו ההאקרים שחברת אנבידיה ניסתה לתקוף אותם בחזרה, ובתגובה הם שחררו לרשת את הססמאות של כל עובדי החברה.

הפריצה בוצעה על-ידי קבוצת האקרים בשם Lapsus$ אשר דרשה בתחילה כסף תמורת החזרת המידע, ובהמשך העלתה דרישות חדשות ומפתיעות: עידכונים נוספים לתוכנות, העברת תוכנות של אנבידיה למתכונת קוד פתוח והסרת המגבלות לשימוש במעבדי ה-GPU של החברה לצורך כריית מטבעות וירטואליים. מדובר בתוכנת Lite Hash Rate שאנבידיה התקינה בפברואר 2021 במעבדי RTX 3060 GPU אשר מקטינה במחצית את קצב כרריית המטבעות הווירטואליים. בהמשך היא התקינה את התוכנה בכל מעבדי ה-GPU שלה במטרה שהם יהיו פחות אטרקטיביים לכריית מטבעות ויותר זמינים עבור גיימרים.

בעקבות הפריצה הם גם דיווחו שהחלו למכור את תוכנת full LHR V2, אשר עוקפת את המגבלה של אנבידיה, תמורת מיליון דולר לרישיון. בסוף השבוע הגיבה אנבידיה לארוע וטענה שנגנבו שני רשיונות שפג תוקפם. יחד עם זאת היא הזהירה את הלקוחות שיכול להיות שהרשיונות האלה ישולבו בתוך רוגלות ולכן חשוב לבדוק שכל רשיון הגיע ממנה ולא ממקורות אחרים. בתגובתה היא מסרה: "ב-23 בפברואר 2022 נודע לנו על ארוע אבטחתי אשר השפיע על משאבי ה-IT של החברה. לאחר גילוי הארוע נקטנו בפעולות להקשחת ההגנה על הרשת שלנו ודיווחנו על הארוע לרשויות החוק".

אחד ממכתבי הדרישה של ההאקרים, שבו הם מדווחים על היקף המידע שגנבו
אחד ממכתבי הדרישה של ההאקרים, שבו הם מדווחים על היקף המידע שגנבו

"אין לנו עדות לכך שבוצעה מתקפת כופרה על סביבת אנבידיה או שהארוע קשור למלחמת רוסיה-אוקראינה. אולם אנחנו מודעים לכך שהתוקפים גנבו ססמאות של עובדי אנבידיה ושהם השיגו מידע בבעלות אנבידיה שהוצא מהמערכות שלנו ודלף אל הרשת. הצוות שלנו מנתח כעת את המידע הזה. כל עובדי החברה נדרשו לעדכן את הססמאות שלהם. אנחנו לא צופים שהארוע יפגע במהלך העסקים של החברה או שהוא יפגע ביכולת שלנו לספק שירות ללקוחות".

אתר SemiAnalysis דיווח שהמידע שנגנב כולל מידע טכנולוגי, הכולל גם סימולציות שבהן אנבידיה בוחנת את הארכיטקטורה של שבבים עתידיים ואת היתרונות והחסרונות של שינויים ארכיטקטוניים. "זהו מרכיב קריטי בתהליך התכנוני של אנבידיה. המידע הזה מאפשר ליצרניות GPU ולחברות AI סיניות להדביר במהירות את הפער בינן לבין אנבידיה. חברות מערביות לא יעזו לגעת במידע הזה מכיוון שהוא לא חוקי, אולם הנסיון מראה שגורמים אחרים ישמחו להשתמש בו".

בשבוע שעבר אישר חברת סמסונג שגם ממנה נגנב מידע על-ידי קבוצת Lapsus$, הקשור לאבטחת הטלפונים מסדרת גלקסי. המידע שנגנב כולל בין השאר את תוכנת הזיהוי הביומטרית של הטלפונים. סמסונג מסרה שלא נגנב מידע אישי של העובדים ושהמידע שנגנב לא פוגע בעסקיה.