אבטחת מידע ארגונית
סופוס – גובר השימוש במתקפות סייבר המשתמשות בעוגיות זמניות
גובר השימוש בעוגיות זמניות לעקיפת מנגנוני אימות רב־גורמי ולהשגת גישה לרשתות ומערכות בארגונים.
עוגיות זמניות גנובות מאפשרות לתוקפים להתחזות למשתמשים לגיטימיים ולנוע בחופשיות ברשת הארגון.
סופוס (Sophos), חברת אבטחת המידע והסייבר המובילה, פרסמה מחקר בשם "Cookie stealing: the new perimeter bypass" (גניבת עוגיות: הפירצה החדשה שקוראת לגנב) שבוצע על ידי צוות מומחי הסייבר Sophos X-Ops וסוקר את הגידול במתקפות הסייבר המשתמשות בעוגיות זמניות (Session Cookie) גנובות כדי לעקוף מנגוני אימות רב־גורמי וכך להשיג גישה לרשת ולמערכות מידע בארגון.
בחלק מהמקרים, גניבת עוגיות זמניות היא בעצמה מתקפת סייבר ממוקדת שמנצלת מערכות לא מאובטחות במטרה להשתמש בהן לאיסוף עוגיות זמניות, תוך שימוש בתכניות מחשב לגיטימיות כדי להסוות את הפעילות הזדונית. מרגע שהשיגו התוקפים גישה לחשבונות משתמשים ולשירותי ענן באמצעות עוגיות זמניות גנובות, הם ממשיכים לשלב הבא של המתקפה הכולל פריצה לחשבונות מייל, שימוש בהנדסה חברתית לקבלת גישה למערכות נוספות ואפילו ביצוע שינויים במאגרי מידע ובקוד מקור.
"בשנה האחרונה, ראינו עלייה בשימוש בעוגיות זמניות גנובות על ידי תוקפים כדי לעקוף את מנגנוני האימות הרב־גורמי שהשימוש בהם הופך לנפוץ יותר. גרסאות חדשות ומשופרות של תוכנות זדוניות לגניבת מידע כמו Raccoon Stealer מקלות על התוקפים בגניבת עוגיות זמניות, הנקראות גם אסימוני גישה, המשמשות לאימות זהות המשתמשים," מסביר שון גלאגר, חוקר איומים ראשי בסופוס. "ברגע שהתוקפים מצליחים להשיג עוגיות זמניות, הם יכולים להתחזות למשתמשים לגיטימיים וכך לקבל גישה חופשית לרשת ומערכות הארגון."
עוגיות זמניות הם סוג של עוגייה (Cookie) למטרת אימות זהות שהדפדפן שומר במחשב ברגע שמשתמש לגיטימי מתחבר לאחד מחשבונותיו. השגתן מאפשרת לתוקפים לבצע מתקפת 'העברת עוגייה' שבה הם מזריקים את אסימון הגישה הגנוב לתוך סשן חדש וכך מצליחים להערים על הדפדפן והשרת לחשוב כי מדובר במשתמש לגיטימי שכבר אימת את זהותו. מכיוון שעוגיות זמניות נוצרות ונשמרות במכשיר גם כחלק מתהליך האימות הרב־גורמי, גניבתן מאפשרת לתוקפים לעקוף גם את מנגנון האימות הזה שנועד לשפר את אבטחת חשבונות המשתמשים. איום זה מתעצם לנוכח העובדה שיישומי רשת ושירותי ענן רבים משתמשים בעוגיות (Cookies) עם זמן תפוגה ארוך, ולעתים אפילו בעוגיות ללא תאריך תפוגה ואשר תוקפן פג אך ורק אם המשתמשים התנתקו מחשבונם באופן יזום.
התפתחות תעשיית הנוזקה כשירות (MaaS), שבה מוצעות תוכנות זדוניות מוכנות לשימוש לכל המעוניין, מאפשרת גם לעברייני סייבר חסרי ידע ולא מנוסים להצטרף למאמצי גניבת פרטי ההזדהות. כך למשל, תוקפים לא מנוסים יכולים לקנות סוס טרויאני כמו Raccoon Stealer המיועד לגניבת מידע והם משתמשים בו כדי לגנוב כל מידע רגיש, כמו סיסמאות או עוגיות, שאותו הם מעמידים למכירה בזירות מסחר של פושעי סייבר כמו Genesis. פושעי סייבר וקבוצות כופרה קונים את המידע הזה ונעזרים בו כדי לייעל את המתקפות שלהם.
עם זאת, בשני אירועי סייבר שחקרה לאחרונה סופוס, נקטו התוקפים בגישה ממוקדת יותר. באחד מהם, שהו התוקפים ברשת המותקפת במשך חודשים כשהם אוספים עוגיות מהדפדפן Edge של מיקרוסופט. הפריצה הראשונית לרשת הארגון התבצעה באמצעות ערכת ניצול מוכנה, ומרגע שחדרו לרשת, השתמשו התוקפים בכלים כמו Cobalt Strike
ו־Meterpreter כדי להסוות את פעילות איסוף עוגיות הזמניות. במקרה אחר, השתמשו התוקפים ברכיב לגיטימי בתוכנת Visual Studio של מיקרוסופט כדי להחדיר לרשת הארגון קוד זדוני שאסף עוגיות זמניות במשך שבוע.
"אם בעבר גניבת העוגיות הייתה פעילות ללא מטרה מוגדרת, כיום נוקטים התוקפים בגישה הרבה יותר מדויקת וממוקדת. מכיוון שבימינו נעשית רוב העבודה מהדפדפן ובענן, גניבת עוגיות פותחת בפני התוקפים אינספור אפשרויות זדוניות. הם יכולים לחבל בתשתית הענן של הארגון, לפרוץ למייל הארגוני, להערים על עובדים בארגון להוריד תוכנות זדוניות ואפילו לבצע שינויים זדוניים בקוד המקור של מוצרים. השמיים הם הגבול והתוקפים מוגבלים רק על ידי היצירתיות שלהם," מסכם גלאגר. "ההתמודדות עם האיום הזה היא מורכבת במיוחד מכיוון שאין לו פתרון פשוט. פתרונות אפשריים כוללים קיצור תוקף העוגיות, אבל המחיר כאן הוא שהמשתמשים יידרשו לבצע אימות מחדש לעתים קרובות הרבה יותר, ועל רקע המעבר של התוקפים לשימוש ביישומים לגיטימיים לצורך גניבת העוגיות, נדרשים הארגונים לנקוט בגישה המשלבת בין פתרונות אבטחה מסורתיים לאיתור חדירות לרשת וקוד זדוני לניתוח התנהגות המשתמשים ברשת."
מידע נוסף על גניבת עוגיות זמניות והשיטות החדשות שבהן משתמשים פושעי הסייבר אפשר למצוא בדוח "Cookie Stealing: the new perimeter bypass," המלא באתר Sophos.com.
תמונה: יח"צ סופוס