cyber-Image by Gerd Altmann from Pixabay
חוקרי אקמאי בישראל חשפו נוזקה שתקפה חברות שרתים, מיחשוב פרטי ומוסדות אקדמיים בעולם
הנוזקה השתלטה על המחשבים ושיעבדה אותם לכריית מטבעות דיגיטליים.
חוקרי אבטחת מידע באקמאי ישראל חשפו היום את Panchan, נוזקה עם יכולות תקשורת מבוזרת (Peer to peer או “עמית לעמית”) ותולעת SSH, אשר תוקפת מחשבי לינוקס. הנוזקה כתובה בשפת Go, ומנצלת את היכולות המובנות בשפה להרצה מקבילית של המודולים השונים של הנוזקה, ביניהם תולעת ה-SSH.
בנוסף למתקפת ניחוש סיסמאות בסיסית, אשר מאפשרת לנוזקה להתפרץ לשרתי לינוקס מרוחקים ולהדביק אותם, הנוזקה כוללת גם יכולת לגניבת מפתחות SSH מנדבקים, ושימוש בהם לצורך הדבקה של עמדות שכנות. חוקרי אבטחת המידע באקמאי הצליחו להתחבר לרשת התקשורת של הבוטנט, וכן לממשק הניהול של הנוזקה, וחקרו דרכה את היקף התפוצה של הנוזקה.
מלבד שרתים וירטואליים הרשומים תחת חברות ענן או מחשוב פרטי, האפיק הנתקף ביותר הוא מוסדות אקדמיים. באקמאי משערים ששיתופי פעולה אקדמיים בין מוסדות שונים יכולים להגדיל את כמות מפתחות ה-SSH המשותפים בין עמדות, ביחס לרשתות של תעשיות אחרות.
סטיב קופצ’יק, חוקר אבטחת מידע בכיר באקמאי, מסר שכדי להסתיר את פעילותה, הנוזקה מחלצת ומריצה כורים של מטבעות וירטואליים (cryptominers) מהזיכרון בלבד, כך שאין ראייה הנשארת על הדיסק הקשיח. כמו כן, פעילות הכריה מופסקת בעת זיהוי של תהליכי ניטור ביצועים, כדי לייצר מצג שווא של עמדה נקייה.
בהסתמך על מיקומם הגאוגרפי של רבים מהנתקפים, שפת ממשק הניהול של הנוזקה, ולפי פעילות שרת Discord אשר מקושר לנוזקה, ההשערה היא שיוצרי הנוזקה הינם יפניים. מרבית הארגונים שהותקפו הם באסיה, לרבות בערב הסעודית ובאיחוד האמירויות ותקיפות נוספות התרחשו באירופה ובאמריקה. הסכנה במתקפה מסוג זה, מעבר לצריכת משאבי המיחשוב וההאטה שלהם, היא שהתוקפים יחליטו להשתמש בפרצה שיצרו לצורך דרישות כופר או השמדת מידע.
פתרון ה-MFA של אקאמאי יכול לספק הגנה מפני שיטת גניבת מפתחות ה-SSH של הנוזקה. כמו כן, הגדרת סיסמאות חזקות יספקו הגנה מפני מתקפת ניחוש הסיסמאות של הנוזקה, אשר משתמשת ברשימה בסיסית מאוד של סיסמאות. אנשי אקמאי פרסמו מזהים וחתימות לנוזקה אשר יכולים לסייע בזיהוי.
חברת אקמאי היא מהמובילות בעולם בתחום הפצת תכנים ברשת ופועלת בכמאה מדינות באמצעות מערך של מאות אלפי חוות שרתים מבוזרות. תשתיות החברה משרתות כיום את חברות הטכנולוגיה הגדולות בהן מיקרוסופט, אפל, גוגל, פייסבוק, טיקטוק ודיסני, החברות ניקיי ואדידס וחברות תקשורת וטכנולוגיה רבות. אקמאי רכשה בשנה שעברה את חברת הסייבר הישראלית גארדיקור ומטמיעה את יכולות ההגנה המתקדמות בשירותיה. עובדי גארדיקור בישראל ובעולם הצטרפו לאקמאי תוך חיזוק מרכזי הפיתוח, ובעיקר המרכז הישראלי שמעסיק 400 עובדים. פעילות הסייבר היא כיום מנוע הצמיחה המרכזי של אקמאי שמהווה שחקן מרכזי בעולם אבטחת המידע עם מכירות של מעל מיליארד דולר בשנה בתחום הסייבר בלבד. פתרונות האבטחה של אקמאי משולבים בתשתית החברה ומגינים על הרשתות הפנימיות וחיצוניות של הארגונים הגדולים בעולם. החברה נמצאת במהלך של התרחבות וקליטת עובדים חדשים.
