חברת הסייבר הישראלית סיגניה (Sygnia) חושפת כי קבוצת ההאקרים הסינית Velvet Ant ("נמלת הקטיפה"), מהמתוחכמות בעולם, עברה לפעול ממכשירי Cisco Nexus של חברת סיסקו וניצלה חולשת אבטחה מסוג Zero-Day, על-מנת לגשת לשכבת הלינוקס הבסיסית של המתג כדי להתקין את התוכנה הזדונית שלהם – בשם 'VELVETSHELL'. מכשירים אלה אינם נותנים למשתמש גישה למערכת ההפעלה הבסיסית, מה שהופך את הסריקה לאיתור מזהי תקיפה לכמעט בלתי אפשרית. מעבר זה למכשירי רשת מדגיש את התחכום והנחישות של הקבוצה לשמור על התמדה בסביבה נפגעת על מנת להמשיך ולנהל פעילויות ריגול.
בחדירת ההאקרים לתוכנת סיסקו, שנפרשה על פני שנים רבות, הסלימו ההאקרים הסינים את הטקטיקה שלהם כדי לשמור בחשאי על נוכחות מתמדת ברשתות. במשך יותר משלוש שנים הם התחמקו מגילוי, והסתננו בהדרגה למערכות Windows חדשות, שרתים ומחשבים ניידים. בהדרגה, הם העבירו את פעילותם למערכות Windows מדור קודם, כגון שרתי Windows 2003. מערכות ישנות אלו, עם רישום (לוג) בלתי הולם וחוסר יכולת לתמוך בטכנולוגיות אבטחה מודרניות, סיפקו סביבה אידיאלית עבור התוקפים להמשיך לפעול מבלי שזוהו.
"קבוצת התקיפה Velvet Ant הציגה יכולות מתקדמות ורמת תחכום גבוהה, שבאות לידי ביטוי גם בהיבט ארסנל הכלים וגם בהיבט העבודה בצורה חשאית דרך רכיבי תקשורת", אומר אמנון קושניר, דירקטור Incident Response בחברת סיגניה. "ניהול המבצע דרך Cisco Nexus Switch, היווה עליית מדרגה בחשאיות המבצע, שכן רכיבים מסוג זה מנוטרים לעיתים רחוקות, והם אינם יעד מסורתי לתקיפה. בנוסף, זיהוי כלי תוקף ברמת הלינוקס של מכשיר הSwitch- מהדגם הזה הוא אינו טריוויאלי ומצריך כלים מתקדמים וסיוע ספציפי מסיסקו כדי לאפשר איסוף ראיות פורנזיות מרמת הלינוקס".
עוד באתר:
התוכנה שאיפשרה להאקרים להתחבר מרחוק
חולשת האבטחה בתוכנת Cisco NX-OS של חברת סיסקו, נחשפה בחודש שעבר על-ידי חוקרי סיגניה. חולשה זו משפיעה על מגוון רחב של ציוד תקשורת מסוג Cisco Nexus שנמצא בארגונים רבים בארץ ובעולם. את פרצת האבטחה ביצעה קבוצת Velvet Ant שנחשפה על-ידי חוקרי סיגניה שגילו את הפגיעות, דיווחו עליה לסיסקו, תוך שהם מספקים לה מידע מפורט על מהלך התקיפה, שבוצעה למטרות ריגול.
חולשת האבטחה זוהתה כחלק מחקירה נרחבת שביצעו צוות חוקרי סיגניה, לאחר שנקראו לסייע ללקוח החברה שהותקף על-ידי קבוצת Velvet Ant. על ידי ניצול פגיעות זו, קבוצת ההאקרים הסינית הצליחה להריץ תוכנה זדונית (malware) בשם VELVETSHELL שיצרה בעצמה. תוכנה זו לא הייתה ידועה בעבר והיא איפשרה להאקרים להתחבר מרחוק למכשירי Cisco Nexus שנפגעו, להעלות קבצים נוספים ולהריץ קוד זדוני על המכשירים. החולשה מאפשרת לתוקף אשר הצליח להשיג גישת אדמין לציוד התקשורת של סיסקו, להריץ פקודות שרירותיות ישירות על מערכת ההפעלה מסוג לינוקס שבבסיס מערכת ההפעלה של סיסקו, תוך כדי שהתוקף "מדלג" בין שכבת סיסקו ללינוקס.
בדו"ח הראשון בסדרה, מחודש יוני, חשפה סיגניה כי סייעה לבלום מתקפת סייבר חמורה מצד Velvet Ant, שנחשבת לאחת המתוחכמות בעולם. בדו"ח חושפת סיגניה, שלב אחר שלב, את פעולות נטרול התקיפה שבוצעה בסוף 2023 כלפי ארגון גדול שנפל קורבן ופנה לעזרת סיגניה. מהדו"ח עולה גם כי ההאקרים הסינים ביססו ושמרו על מספר אחיזות בסביבת החברה הנפגעת, כאשר אחד המנגנונים ששימשו לכך היה מכשיר F5 Big IP מדור קודם, שהיה חשוף לאינטרנט, ועליו התוקפים התקינו כלים אשר איפשרו להם להריץ פקודות מרחוק ולהפוך אותו לשרת שליטה פנימי. לאחר שהתגלתה ונבלמה אחיזה אחת של התוקפים, הם "התהפכו" במהירות והשיגו אחיזה אחרת, תוך שהם מפגינים זריזות ויכולת הסתגלות בהתחמקות מגילוי.
