דיגיטל וטק
סחיטה כספית בתוך שניות: תוקף בודד הפעיל סוכני AI
ממצאים ראשוניים מחקירה של חברת סיגניה חושפים כיצד מתקפת סייבר פעילה נגד תאגיד ענק התפתחה במספר חזיתות במקביל, תוך עקיפת מערכי ההגנה המסורתיים של הארגון
חברת סיגניה (Sygnia), מובילה עולמית בתגובה והיערכות לאיומי סייבר, מפרסמת היום (רביעי) ממצאים ראשוניים מחקירה של מתקפת סייבר פעילה, שבה תוקף בודד השתמש בבינה מלאכותית כמכפיל כוח לצורך סחיטה כספית של ארגון גלובלי.
החקירה מצאה ראיות לסקריפטים שפיתח התוקף, פעילות מקבילה אינטנסיבית והתאמה מהירה לסביבות יעד בשירותי ענן. מאפיינים אלו תואמים יחד לתהליכי עבודה המבוססים על סוכני AI, המתוכננים להוציא לפועל מתקפות במהירות ובהיקף שחורגים מהיכולת המקובלת של מפעיל אנושי בודד.
אבי דיין, סמנכ"ל תגובה לאירועי סייבר בסיגניה, סיפר כי הממצא המרכזי שעלה בעת ביצוע החקירה היה המהירות שבה התוקף פעל לאחר השגת הגישה הראשונית והיקף הפעילות הזדונית שבוצעה במסגרת זמן קצרה באופן חריג.
"מתקפה שבאופן רגיל הייתה נמשכת שבועות, התרחשה כולה בפחות מ-72 שעות. המקרה הזה ממחיש אתגר הולך וגדל עבור מערכי ההגנה: ככל שמודלי שפה גדולים וסוכני AI הופכים לנגישים יותר, יש להם פוטנציאל להוריד את חסם הכניסה, להאיץ תהליכי תקיפה ולאפשר לתוקפים פחות מתוחכמים או חסרי משאבים לפעול במהירות ובהיקף חסרי תקדים", ציין דיין.
במקום להסתמך על נוזקות חדשות או חולשות Zero-day, התוקף השתמש ב-AI כדי להפעיל מספר טכניקות תקיפה מוכרות בענן, על פני שטח תקיפה רחב ובקצב שעלה משמעותית על יכולת התגובה של הקורבן.
החדירה, שבוצעה בסביבת AWS, לא ניצלה אפילו הגדרת תצורה שגויה אחת. במקום זאת, התוקף שילב יחד חולשות בשירותי אפליקציה, משאבי AWS, מאגרי קוד מקור, תהליכי CI/CD, רכיבי ריצה ומאגרי נתונים. במקביל, התוקף ביצע במהירות גילוי הרשאות, איסוף סודות טכנולוגיים, מיפוי סביבת הענן, ניצול צינורות פריסה, שינויים בסביבת הריצה, גישה למסדי נתונים ושיבוש תפעולי.
בניגוד לנתיב תקיפה מסורתי המבוצע שלב אחר שלב, הפריצה הזו, שנעזרה ב-AI, התפתחה במספר חזיתות במקביל. ככל שזוהו הזדמנויות חדשות, נראה כי התוקף הוציא לפועל במקביל מספר רב של טכניקות סטנדרטיות לאחר-פריצה, וכך דחס פעולות שבאופן רגיל לוקחות דקות או שעות לתוך שניות בודדות. לדוגמה, בשנייה אחת בודדת, התוקף השתמש בארבעה מפתחות גישה שונים השייכים לארבעה חשבונות נפרדים, כולם מאותה כתובת IP ו-User agent. פעילות זו תואמת לביצוע אוטומטי, מנוהל מרכזית, וייתכן שמונע על ידי סוכני AI.
בנוסף, כל מפתח גישה חדש שהושג נוצל במהירות כדי למפות הרשאות ומשאבים קשורים, מה שאִפשר לתוקף לזהות ביעילות את ההזדמנויות בעלות הערך הרב ביותר לתנועה רוחבית ולגישה לנתונים.
בשכבת הנתונים, החקירה חשפה מאות שאילתות SQL ייחודיות שהופעלו על פני עשרות מסדי נתונים, תוך מיפוי מהיר של סכמות וזיהוי נתונים רלוונטיים. התנהגות דומה נצפתה בשכבת האפליקציה, שם התוקף מיפה קשרים בין תורי SQS, פועלים פגיעים, נקודות הזרקת מטענים וקבצי פריסה המשמשים לניהול אשכולות. יחד, התנהגויות אלו מדגימות התאמה מהירה לסביבה ספציפית, התואמת לפעילות בסיוע AI או לפעילות מנוהלת מרכזית, המסוגלת לעבד הקשרים ולהתאים פעולות במהירות שעולה על המצופה ממפעיל אנושי.
עוד ב-
מתקפה זו מדגישה כיצד AI יכול להעצים את ההשפעה של פערי אבטחה קיימים, תוך חשיפת חסרונות במוכנות הארגונית, ביכולת הניטור ובבשלות התפעולית. ממצאים אלו מחזקים את סקר ה-CISO של סיגניה לשנת 2026, שמצא כי 73% מתוך 600 מקבלי החלטות בכירים בתחום אבטחת המידע אינם מאמינים שהארגון שלהם יהיה ערוך לחלוטין להגיב למתקפת סייבר חמורה אם זו תתרחש מחר.
הכתבות החמות
תגובות לכתבה(0):
תגובתך התקבלה ותפורסם בכפוף למדיניות המערכת.
תודה.
לתגובה חדשה
תודה.
לתגובה חדשה
תגובתך לא נשלחה בשל בעיית תקשורת, אנא נסה שנית.
חזור לתגובה
חזור לתגובה



