האקרים צפון קוריאנים חטפו את Axios במתקפת שרשרת אספקה שלקח שבועות להקים
פרויקט נפוץ הפך לווקטור למתקפת סייבר
מבצע סייבר צפון קוריאני חטף לזמן קצר את Axios, אחד מפרויקטי הקוד הפתוח הנפוצים ביותר ברשת, במתקפה ב-31 במרץ שנראה כי נבנתה במשך שבועות. הפריצה מדגישה כיצד האקרים בחסות מדינה מכוונים יותר ויותר לתשתיקות תוכנה מהימנות, שבהן פריצה אחת יכולה להתפשט לאלפי מערכות.
Axios היא ספריית JavaScript פופולרית שבה משתמשים מפתחים כדי לחבר יישומים לאינטרנט. בגלל שהיא משולבת בהרבה פרויקטי תוכנה, פריצה לפרויקט יכולה להיות בעלת השלכות הרבה מעבר לפרויקט עצמו. במקרה זה, העדכונים הזדוניים היו פעילים רק כשלוש שעות לפני שהוסרו, אך חלון זמן זה עדיין יכול היה להספיק כדי להדביק אלפי מערכות.
המתקפה תועדה בניתוח לאחר מעשה על ידי ג'ייסון סיימן, שמתחזק את הפרויקט ופרט את ציר הזמן של הפריצה. לדברי סיימן, התוקפים החלו לכוון אליו כשבועיים לפני שקיבלו שליטה על המחשב שלו והשתמשו בו כדי לפרסם קוד זדוני.
הונאה ממושכת שנבנתה על אמון
המבצע הסתמך פחות על כוח ברוטלי ויותר על סבלנות. סיימן אמר שהתוקפים התחזו לחברה אמיתית, יצרו סביבת עבודה משכנעת ב-Slack, ומילאו אותה בפרופילי עובדים מזויפים כדי שהתרמית תיראה לגיטימית. לאחר מכן הם הזמינו אותו לפגישת אינטרנט שבה התבקש להוריד תוכנה זדונית שהוסוותה כעדכון הנדרש כדי להצטרף לשיחה.
סיימן אמר שהפיתוי תאם טכניקה שקשורה בעבר להאקרים צפון קוריאנים ואשר זוהתה על ידי חוקרי אבטחה של Google: גישת הנדסה חברתית שמשכנעת קורבנות להתקין תוכנה המעניקה לתוקפים גישה מרחוק. במקרה זה, נראה כי גישה זו הייתה המפתח לדחיפת גרסאות Axios הזדוניות.
האירוע ממחיש מדוע מנהלי פרויקטי קוד פתוח הפכו למטרות בעלות ערך כה גבוה. פרויקטים פופולריים מתחזקים לעיתים קרובות על ידי צוותים קטנים או אפילו מפתח יחיד, אך הם יכולים להיות מוטמעים באינספור יישומים ושירותים. זה הופך את המכשירים האישיים של המנהלים לנקודת כניסה אטרקטיבית עבור תוקפים המעוניינים לפרוץ לתוכנה בקנה מידה רחב.
הסיכון חורג הרבה מעבר לפרויקט אחד
הגנו על הפרטיות שלכם עם Doppler VPN
3 ימי ניסיון חינם. ללא הרשמה. ללא לוגים.
חבילות Axios הזדוניות הוסרו במהירות, אך לא לפני שהייתה להן הזדמנות להתפשט. כל מערכת שהתקינה אחת מהגרסאות הפרוצות במהלך חלון החשיפה הקצר עלולה הייתה להיות חשופה לגניבת מפתחות פרטיים, אישורים וסיסמאות המאוחסנים במכונה זו. סודות גנובים אלה יכולים לשמש לאחר מכן כדי לחדור עמוק יותר למערכות ושירותים אחרים, ולהפוך אירוע בשרשרת אספקת תוכנה לפריצה רחבה יותר.
אפשרות זו היא שהופכת מתקפה מסוג זה למדאיגה כל כך. הקורבן המיידי עשוי להיות מחשב נייד של מפתח או מאגר חבילות יחיד, אך היעד הסופי יכול להיות רחב הרבה יותר: המשתמשים והארגונים שסומכים על הפרויקט כחלק מערימת התוכנה שלהם.
אירוע Axios משתלב גם בתבנית רחבה יותר. האקרים צפון קוריאנים נותרו בין איומי הסייבר הפעילים ביותר באינטרנט, והם נקשרו שוב ושוב למבצעים המשלבים הנדסה חברתית, גניבת אישורים ותוכנות זדוניות לגישה מרחוק. הקמפיינים שלהם מטשטשים לעיתים קרובות את הגבול בין ריגול לפשע ממניעים פיננסיים, כאשר גניבת מטבעות קריפטוגרפיים היא לעיתים קרובות חלק מהתמהיל.
מדריך מוכר, אזהרה גדולה יותר
מה שמייחד את הפריצה האחרונה הזו הוא לא רק היעד, אלא הדרך השיטתית שבה היא התרחשה. התוקפים לא ניצלו פשוט פגם טכני בקוד הפרויקט. הם השקיעו זמן בבניית זהות אמינה, ברכישת אמונו של מנהל הפרויקט, ובסופו של דבר בהשגת גישה למכונה ששימשה לפרסום עדכונים רשמיים.
גישה זו מדגישה מציאות קשה עבור מערכות אקולוגיות של קוד פתוח: אבטחת תוכנה נפוצה תלויה לא רק בבדיקת קוד וניטור חבילות, אלא גם בהגנות האישיות של האנשים שמתחזקים את הקוד. ככל שהאקרים בחסות מדינה וקבוצות פשע ממשיכים לכוון למנהלים אלה, שרשרת האספקה עצמה הופכת לקו חזית בסכסוך סייבר.
סיימן לא הגיב מיד לשאלות המשך בנוגע לאירוע. היקף הפריצה המלא עדיין מוערך, אך הלקח כבר ברור: כאשר תוכנה מהימנה נחטפת, רדיוס הפגיעה יכול להתפשט הרבה מעבר לפרויקט שנפרץ.
מקורות: