תמונה: flickr, cc-by, Kevin Marks
במסגרת מעמדה של ישראל בעולם כיעד תקיפה עבור איסלמיסטים, טרוריסטים, ו"לוחמי חופש" למינהם, מתבצעות מידיי יום אלפי התקפות סייבר על אתרי ממשל ואתרים של חברות בישראל.
בשנים האחרונות חלה עליה הדרגתית בכמות ההתקפות, ופורסמו בתקשורת מספר רב של ידיעות באשר לאתרים שהופלו ופרטים אישיים של אזרחים ישראלים שהודלפו. למרות שמתפרסמות ידיעות רבות הכוללות פרטים על התקפות שמופנות כלפי ישראל, כאשר חלק מן התקיפות קשורות למידע או לארגונים רגישים, רבות מן ההתקפות לא מתפרסמות בתקשורת.
בחודש שעבר במהלך מבצע "עמוד ענן" נהדפו יותר מ-100 מיליון התקפות DDOS נגד אתרי ממשלה ומערכת הביטחון. ההתקפות הגיעו מיותר מ-180 מדינות שונות, שהצטרפו ל"מאמץ המלחמתי" של ארגוני טרור איסלאמים, ארגונים פרו-פלסטינים ו"אנונימוס".
קריסת שרתים
בוקר אחד, מספר ימים לאחר סיום מבצע "עמוד ענן", התחלנו לקבל בתמיכה הטכנית של ESET עשרות פניות ממנהלי רשת ואימפלמנטורים של חברות קטנות ובינוניות לגבי שרתים שמאתחלים את עצמם בכל כמה דקות כתוצאה מ-BSOD. במבט ראשון בהודעת השגיאה ניתן היה לראות שמדובר בקריסה של הדרייבר termdd.sys שאחראי על תקשורת Remote Desktop והמלצנו באופן מיידי לעשות שימוש בחומת אש ולחסום את פורט 3389 שמקושר אליו.
קיבלנו אישור מכל הפונים שסגירה של הפורט או של ה-Remote Desktop service מנעה את קריסת השרתים, וביקשנו ממספר פונים לשלוח לנו complete memory dump, שמכיל את כל המידע שרץ בזיכרון הפיזי של המכונה בזמן ה-BSOD כדי לאתר את מקור התקלה.
קמבק לפריצה הישנה
בבדיקה שערכנו בשיתוף עם מעבדת הוירוסים של ESET על מספר קבצי dump, גילינו שהקריסה של השרתים נגרמת כתוצאה מ-"termdd!IcaBufferAlloc" שקשור בהתקפה שמבוססת על פרצה מספר MS12-020 שנסגרה בעדכון אבטחה של מיקרוסופט לפני יותר מחצי שנה. מדובר בפירצה שמבצעת התקפת DOS על השירות Remote Desktop וגורמת לו לקרוס.
אנחנו מכירים את הפרצה הזו היטב בעקבות תולעת העונה לשם Morto, בה חשדנו בשעות הראשונות של ההתקפה, והשתמשה בפרצה כדי לתקוף רשתות רבות במהלך החודשים האחרונים. בעקבות הבדיקות שלנו שחררתי עדכון RSS שנועד לעזור למנהלי רשת ואימפלמנטורים לפתור את התקלה או רק "לכבות את השריפה".
כמה קל, ככה פשוט
כמו במרבית ההתקפות המאורגנות, שבהן שולחים הוראות ביצוע לעשרות או מאות פעילים, גם כאן מדובר בהתקפה שקל מאוד ליזום וליישם בשימוש בכלים אוטומטיים נפוצים. כלים כמו RDProbe מסתובבים בפורומים מחתרתיים כבר שנים רבות, והם מאפשרים לסרוק טווח של כתובות IP ולשלוח אוטומטית התקפה לכתובות שבהן הפורט 3389 פתוח.
כדי לשלוח את ההתקפה עצמה, ניתן להשתמש במספר כלים שנפוצים בחודשים האחרונים מאז שפורסמה הפרצה כמו RDPkill. ניתן בקלות לשלב בין שני כלים ולהגדיר טווחי כתובות IP של ספקיות אינטרנט ישראליות.
מספרים מדאיגים
על פי חישובים שערכנו, פנו אלינו ישירות ובעקיפין כ-400 חברות שנפגעו מההתקפה. אנחנו מעריכים שהיו עוד מאות חברות שלא פנו אלינו וקיבלו את העדכון שהוצאנו ממרכזי התמיכה של HP, DELL ו-IBM. המספרים מראים שהרבה מהחברות הקטנות והבינוניות בישראל משאירות את הפורט והשירות של Remote Desktop פתוח, ולא מבצעות עדכוני אבטחה של מיקרוסופט בשרתים שלהן. הסיבה למצב נובעת מחברות שמעדיפות לחסוך את העלות של ביקור טכנאי רשת, וחברות שמנהלות מרחוק את חומת האש או שירותי רשת אחרים.
במקרה זה ההתקפה גרמה "רק" לשיתוק של השרתים. התקפה מתוחכמת קצת יותר היתה יכולה גם להשמיד או לגנוב מידע מאותן החברות, ולגרום לנזקים של מאות מליוני שקלים.
כללי אבטחת מידע בסיסיים
על מנת למנוע התקפות מסוג זה, שמנצלות חוסר בעדכוני אבטחה והגדרות מקלות בגישה מרוחקת לרשת, חשוב להקפיד על אבטחת מידע בסיסית. מנהלי רשת ואימפלמנטורים רבים חוששים לבצע עדכוני אבטחה בשרתים מחשש שיפגעו ביציבות השרת, או מחוסר רצון להשבית את הרשת בזמן שדרוש לאתחול השרת. חשוב להבין שהנזק עולה על התועלת במקרה כזה, ושרת שאיננו מעודכן מספר שבועות או חודשים חשוף לפרצות רבות שחלקן מיושם על ידי כלים וערכות פריצה.
בפתיחה של אפשרות חיבור מרחוק לרשת, חשוב להקפיד על הגדרה של חיבור VPN מאובטח, שיהיה דרוש לפני ביצוע החיבור ב-Remote Desktop. כמו כן חשוב להגדיר סיסמאות מורכבות לשירות ולמנהל המערכת על מנת למנוע התקפות Brute force שעושות שימוש במאגרים של סיסמאות נפוצות ופשוטות.
הפוסט בחסות ESET
חברת האבטחה הבינלאומית ESET היא חלוצת האנטי וירוס מזה 25 שנה, המגינה כיום על יותר מ-100 מיליון משתמשים בכל רגע. פתרונות האבטחה המובילים שלה – ESET NOD32 Antivirus, ESET Smart Security ו- ESET Mobile Security for Android – מיועדים לצרכנים פרטיים ולארגונים בגדלים שונים. החברה מתמחה ביכולות זיהוי מדויקות בזכות טכנולוגיה פרו-אקטיבית (מזהה וירוסים ומזיקים לא מוכרים על סמך ניתוח קוד ודפוסי התנהגות, ללא תלות בעדכוני חתימות) ומוצריה נחשבים ליעילים בצריכת משאבים כך שלא יכבידו על המערכת.
בשנתיים האחרונות ESET הוכרזה כחברת הסקיוריטי בעלת הצמיחה גדולה ביותר בעולם בשוק הפרטי ולאחת מ 500 חברות ה-IT בעלות קצב הצמיחה הגבוה ביותר בצפון אמריקה , על פי גרטנר ומדד Fortune500.
בישראל מיוצגת ESET על ידי חברת קומסקיור בע"מ, המשווקת את מוצריה בלעדית ומפעילה מרכז תמיכה טכני בשפה העברית לכל הלקוחות. בין לקוחות ESET בישראל ניתן למצוא חברות היי-טק, ארגוני ענק, חברות אינטרנט, מכללות ואוניברסיטאות, עיריות ומשרדי ממשלה ועסקים קטנים,בינוניים וגדולים מתחומים מגוונים.