מחר: האקרים תומכי דאע"ש צפויים לתקוף את ישראל – איך מתגוננים?

צוות מודיעין הסייבר של חברת MadSec, החוקר את מבצע הסייבר OpIsrael 2016 כנגד ישראל המתוכנן ל- 7.4.2016, מדווח כי קבוצת ההאקרים תומכי דאע"ש AnonGhost, הודיעה ברשתות הפנימיות שלה כי תתקוף משרדי ממשלה, מוסדות חינוך אקדמיים, רשויות לאומיות, משפטיות ופיננסיות, בנקים, ספקיות אינטרנט ושגרירויות של ישראל סביב העולם.

עוד מדווחת MadSec כי האתרים והרשתות הפנימיות של אותן מטרות יסבלו ממתקפות מניעת שירות (DDoS), הנדסה חברתית ומתקפות אחרות ושונות לפני מתקפת OpIsrael, הכוללות "ניסוי כלים", איסוף מידע ותצוגת יכולות.

דורון סיון, בעלי חברת MadSec אמר כי: "מדינת ישראל תיאלץ להתמודד השנה כנגד גל נרחב של מתקפות שונות כנגד הרשתות והתשתיות שלה. ההאקרים משדרגים השנה את טכניקות התקיפה ומשתמשים בכלים חדשים שלא נראו במבצעים הקודמים. יתרה מכך, על מנת להגדיל את היעילות של המבצע, ההאקרים מפרסמים מדריכים טכניים לשימוש בכלים ורשימה של מטרות תקיפה. ארגונים נדרשים להתכונן מראש ולבחון את מוכנותם".

סיון עוד מוסר: "על חברות וגופים ממשלתיים לשקול הקשחה של מערכות ההגנה המקיפות שלהם על מנת לזהות סוגי תקיפה שונים, מתקפות מניעת שירות (DDoS) ומתקפות על שירותי אחסון אתרים (Web Application). לעסקים קטנים ומשתמשים בסיסיים מומלץ ליצור קשר עם ספקית האינטרנט שלהם. כמו כן, עסקים קטנים נדרשים לוודא כי מדיניות אבטחת המידע בארגון מעודכנת וכי ה-Group Policy מוגדר כראוי".

קבוצות נוספות של האקרים שמשתתפות במבצע כוללות את קבוצת האקטיביסטים Red Cult אשר השתתפה בעבר בהתקפות כנגד דאע"ש, וקבוצות תוניסאיות דוגמת Fallaga Team.

ההאקרים פרסמו אירועים ברשת הפייסבוק הקשורים לתקיפה מקוונת כנגד מדינת ישראל ב-7 לאפריל, וזאת על מנת לשתף ולחשוף את עבדותם ובכך לגרום לתומכיהם להצטרף ולהשתתף במבצעי התקפה.

צוות המודיעין של MadSec הצליח להשיג מידע אודות קבוצת טלגרם סודית שהוקמה על ידי AnonGhost Team לקראת OpIsrael. בקבוצה יעבירו התוקפים בזמן אמת מידע על המתקפות: Telegram.me/OpIsrael. 

מדריך התגוננות :

אלי כהן, מנכ"ל Experis Cyber  המתמחה בשירותי soc , שירות מנוהל המעניק הגנה היקפית 24/7 מוסר כאן כמה דרכי התגוננות:

יעדים לתקיפה:

יעדי התקיפה הטיפוסיים על בסיס ממתקפות קודמות הם: אתרי ממשל, בנקים, אוניברסיטאות, עמותות, עסקים קטנים, עיתונים בישראל ואף משתמשים פרטיים.  בשנים עברו היקף הפגיעה היה שולי יחסית, והתקיפות שנצפו לא היו ממוקדות.  אולם, אין לכך כל ערובה ויתכן כי בחסותה של פעילות זו יבצעו התוקפים תקיפות ממוקדות נגד ארגונים או יעדים ספציפיים.

סימנים מקדימים לתקיפה:

בשבועות האחרונים, מזוהה התארגנות לקראת מתקפה בהיקף נרחב ואנו עדים למספר סימנים מקדימים במרחב הסייבר הישראלי:

• פרסום הודעה פומבית ברשת

כדוגמאות לפרסום ניתן להתייחס להודעות להלן: בחודש מרץ 2016 פורסם בשמם של קבוצת התוקפים Anonymous סרטון בשם "Anonmous: #OpIsraHell2016" הקורא לפתיחת סבב תקיפות ב-7 לאפריל 2016.  כמו כן, הודעה ברוח דומה פורסמה בדף הטוויטר OpIsrael.

• הדלפת מידע שנגנב בפריצה למאגרי נתונים

בשמה של קבוצת התוקפים "AnonGhost" פורסמו הודעות באתרי שיתוף שונים, בהן צוינו כי חבריה פרצו למאגרי נתונים ישראליים וכי בכוונתם להדליף ב-7 לאפריל את המידע שנגנב במסגרת פעילות "#OpIsrael".  כמו כן, בתקופה האחרונה מפורסמות רשימות הכוללות שמות משתמש, סיסמאות ופרטי כרטיס אשראי כביכול של ישראלים.  בעוד שמרבית הפרסומים מכילים פרטים שגויים או לא עדכניים המיועדים לצבירת הצלחה תודעתית בלבד, מיעוטן של הרשימות מכילות מידע אותנטי.

• פריצה מקדימה לאתרים ישראלים והשחתתם

בזמן האחרון מורגשת עליה בניסיונות של קבוצות האקרים עצמאיות להשחית עשרות אתרי אינטרנט ישראלים שונים, עד כה בהצלחה מוגבלת מול אתרים קטנים בלבד.  אפשר, כי מדובר בפעילות מקדימה לקראת "#OpIsrael".

הנחיות אבטחת מידע מומלצות:

1. התמודדות עם מתקפות DDoS/DoS:

• ישנן מספר דרכים להתמודד עם מתקפת DDoS/DoS– כדי להתמודד עם מתקפות מניעת שירות DoS, ומומלץ לארגונים בישראל לקדם מענה מול מתקפות מניעת שירות באמצעות שירותים הניתנים על ידי גופים שונים בישראל, הכוללים פתרונות לזיהוי והפחתת מתקפות נפח ו/או שימוש במוצרים בתחום הזה.  להרחבה בנושא ניתן לקרוא בקישור הבא:

A Cisco Guide to Defending Against Distributed Denial of Service Attacks

2. התמודדות עם תקיפות אתרים:

• יש לבצע באופן שוטף עדכוני אבטחה לשרתי ה-Webולמערכות ההפעלה.
• במקרה של שימוש במערכות CMS (Content Management Systems) נפוצות, כגון: Wordpress, Joomla, Drupalוכיו"ב – מומלץ לבדוק את הגרסה המותקנת ובפרט את גרסותיהם של התוספים (Plugins– בהם מצויות רוב החולשות).  לבדוק האם קיימת חולשה ידועה לרכיבים אלו ולהתקין את עדכון האבטחה שהופץ עבורה.  ככלל, מומלץ מאוד לעדכן לגרסה האחרונה שהופצה.  בנוסף, חשוב לבצע עדכון גרסאות לתוכנות אפליקטיביות מסוג Flash, Adobe Reader, Office, Java וכדומה.
• יש לבדוק את תקינותם של שדות הקלט באתר ולוודא כי אינם מאפשרים הכנסת תווים שאינם נדרשים או תואמים את הערכים הצפויים.
• להפעיל ניטור לוגים (Logs) על שרת ה-Webלאיתור פניות חריגות ובכדי לאפשר יכולת זיהוי תקיפות בדיעבד.
• לוודא כי ה-Firewallהחיצוני מגן על השרתים ומאפשר רקגישה בפרוטוקולים המתאימים.

3. התמודדות עם פוגענים למחיקת/הצפנת נתונים (RansomWare/Wipers):

• לוודא קיומו של Anti-Virusמעודכן עדיף כזה הכולל מנגנון Host-IDS.
• מומלץ שמערכות סינון הדואר האלקטרוני יבצעו סינון בתצורה של Whitelistרק לקבצים מותרים: במידה ומערכות סינון הדואר עדין עובדות עם Blacklist– אזי להגביל ולחסום כניסת קבצי הרצה כגון: EXE, MSI, CAB, BAT, CMD וכדומה.
• להדריך ולחנך את העובדים לאבטחת מידע.  להגביר את המודעות באופן כללי ובפרט בזמן זה – לא להתפתות לפתוח הודעות מגורמים לא מוכרים או צרופות וקבצים חשודים.  מומלץ להוציא תזכורת בתחילת השבוע (3/4/16) ושוב יומיים קודם (5/4/16) כדי לוודא שהעובדים מודעים.
• לחדד את נהלי אבטחת המידע ואכיפתם.
• לבדוק כי מערך הגיבוי פועל ועובד בתורה תקינה.  במידה ולא קיים גיבוי, לבצע גיבוי ולאחסנו במקום נפרד ומוגן.  לרענן את נהלי השחזור של הגיבוייים המקוריים ואף לערוך ניסוי מצומצם לשחזור מגיבוי לבדיקת תקינות הגיבויים.

הנחיות כלליות נוספות:

• להקשיח את מערכת ההפעלה של השרתים, תחנות עבודה חשובות וציוד תקשורת לפי הנחיות יצרן או המלצות לאבטחת מידע.
• לבדוק כי כל תחנות העבודה והשרתים עם מערכת הפעלה Windowsמעודכנות בעדכוני האבטחה האחרונים ומותקנת מערכת אנטי-וירוס ותאריך החתימות מעודכן לתאריך האחרון.
• ווידוא שכל המרכיבים במערכת המחשב מעודכנים: הדפדפן, מערכת ההפעלה, תוכנות לקריאת PDF, יישומי JAVAושאר התוכנות הנפוצות האחרות אופיס פלאש וכדומה.
• להסיר הרשאות מיותרות במערכות הפעלה ואפליקציות, במיוחד את הרשאות מנהל המערכת Administrator.  להסיר חשבונות ברירת מחדל (Default Accounts).
• לשנות סיסמאות בתחנות, שרתים וציוד תקשורת לסיסמאות מורכבות בעלות 14 תווים או יותר הכוללות: תווים גדולים וקטנים, ספרות וסימנים מיוחדים.  כמו כן, מומלץ להחליף סיסמא בטווח של 30-90 ימים.
• להפעיל לוגים בשרתים ואפליקציות ולנטר אותם בתכיפות גבוהה יותר לממצאים חשודים.  באם קיימת מערכת SIEMמומלץ לוודא שהניטור פועל באופן תקין ויש חיווים למערכות הקריטיות בפרט לאלה החשופות לאינטרנט ולפי החיווים וההתקפות שצויינות.
• להגביר את פעילות הניטור במערכות השונות (FW, IDS, IPS, AVוכיו"ב), בדגש על סוגי התקיפה שצויינו.
• לוודא שאפליקציות WEB תומכות לפחות ב-OWASP Top10.  להרחבה בנושא ניתן לקרוא בקישור הבא: https://www.owasp.org/images/c/cd/OWASP_Top_10_Heb.pdf
• לרענן את התוכנית הארגונית להתאוששות מאירוע סייבר.  אם לא קיימת כזו, זהו הזמן ליצור אותה.
• לחדד את המודעות הארגונית הכללית לאבטחת מידע, כמו גם לסימנים העשויים להעיד על תקיפת סייבר על רשתות הארגון.
• הקפדה יתרה על פתיחת פניות חשודות: פניות מגורמים לא מוכרים, קישורים, הורדות, קבצים מצורפים- גם אם נשלחו מגורמים מוכרים אך נראים חשודים ו/או לא צפויים.
• להגביל את הגישה לאתרי האינטרנט של הארגון ו/או לארגון עצמו רק מישראל (ולכתובות ספציפיות מוכרות בלבד – לדוגמא הגבלה לישראל בלבד לגישה מרחוקSSLVPN).
• לא להתקין שום תוכנות לא מזוהות מכל סוג שהוא – מומלץ להגביל התקנת תוכנות בכלל בתאריך הזה.
• צמצום הגלישה לאתרים נפוצים.  במידה ותהיה פריצה לאתר גדול ומוכר יתכן וישתלו בו וירוסים/ או רוגלות שיכנסו למחשביכם מיד עם הכניסה לאתר.

תמונה: מתוך דף האירוע Op_Israel ברשת הפייסבוק