אושרי פנחס

במשך שנים, הפרדיגמה הייתה פשוטה: תעבורה שמגיעה מכתובות “רעות” (רוסיה, סין, שרתים לא מוכרים) – נחסמת. תעבורה שמגיעה מספקי ענן לגיטימיים (AWS, Cloudflare, Google) – מקבלת “אור ירוק”.

האקרים הבינו את זה. ועכשיו הם משתמשים ב”אור הירוק” הזה כדי לעקוף את כל מערכות ההגנה שלכם.

דוחות מודיעין מהשבועות האחרונים חושפים מגמה מדאיגה: קבוצות תקיפה מתוחכמות (APT) הפסיקו להקים שרתים משלהן. במקום זאת, הן משתמשות בתשתיות Edge Computing לגיטימיות – כמו Cloudflare Workers ו-AWS Lambda – כדי להפיץ נוזקות ולגנוב מידע מתחת לרדאר שלכם. הטכניקה הזו נקראת “Living off the Edge”.

איך זה עובד? (התרחיש הטכני)

במקום לשלוח את המשתמש לדומיין זדוני (כמו malware.com), התוקף כותב סקריפט קטן שרץ על שרת קצה של Cloudflare. הכתובת נראית כך: company-login.worker.dev. מבחינת ה-Firewall וה-EDR שלכם:

1. התעבורה מוצפנת (HTTPS).
2. התעודה הדיגיטלית (SSL) חתומה ותקינה ע”י Cloudflare.
3. ה-IP שייך ל-Cloudflare (ספק לגיטימי לחלוטין).

התוצאה: המערכת שלכם נותנת לתעבורה לעבור, והמשתמש מוסר את הסיסמה שלו בטופס פישינג מושלם, או מוריד נוזקה שנראית כמו קובץ לגיטימי מהענן.

הדוגמאות החמות מהשטח (2025-2026)

1. קבוצת SloppyLemming: פישינג בחסות הענן

קבוצת הריגול הזו נתפסה לאחרונה משתמשת באופן מסיבי ב-Cloudflare Workers כדי לבצע Credential Harvesting (גניבת זהויות). הם בונים דפי התחברות מזויפים שיושבים פיזית על שרתי Cloudflare. המידע שהמשתמש מקליד נשלח מיידית לתוקפים דרך פלטפורמות כמו Discord או Telegram, שגם הן לרוב פתוחות ברשת הארגונית.

2. DKnife: הנוזקה שבתוך הראוטר

מחקר טרי של Cisco Talos (פברואר 2026) חשף כלי תקיפה בשם DKnife. במקרה הזה, התוקפים (המשויכים לסין) לא מסתפקים בענן, אלא משתילים נוזקות בתוך נתבי קצה (Edge Routers) ו-Gateways. הנוזקה יושבת על הציוד שאמור להגן עליכם, ומבצעת Deep Packet Inspection כדי לגנוב מידע או להזריק קוד זדוני לתעבורה לגיטימית שעוברת ברשת.

אז מה עושים? (ה-Playbook שלי)

אם אתם סומכים על “רשימות לבנות” (Allow Lists) של דומיינים – אתם בבעיה. הנה הפעולות שחובה לבצע:

1. פתיחת הצפנה (SSL Inspection): זו כבר לא המלצה, זו חובה. אתם חייבים לראות מה עובר בתוך ה-HTTPS, גם אם זה מגיע מ-AWS או Cloudflare. בלי זה, אתם עיוורים.
2. ניטור התנהגותי (Behavioral Analysis): אל תסתכלו רק על “מאיפה” התעבורה מגיעה, אלא “מה” היא עושה. האם סקריפט שמגיע מ-AWS מנסה לגשת ל-LSASS במחשב? לחסום מיד.
3. הגבלת גישה לשירותי Edge: אם הארגון שלכם לא משתמש ב-Cloudflare Workers לפיתוח, אין סיבה שהעובדים יגשו לדומיינים כמו *.workers.dev. תחסמו את הגישה ברמת ה-DNS או ה-URL Filtering לקטגוריות של “Uncategorized” או “Newly Registered Domains”.
4. Zero Trust Network Access (ZTNA): המעבר מ-VPN מסורתי ל-ZTNA מאפשר לכם לוודא שהמשתמש ניגש רק לאפליקציות ספציפיות, ולא נותן לו גישה חופשית לאינטרנט או לרשת הפנימית ברגע שהוא מחובר.

לסיכום: האמון העיוור שלנו בספקי הענן הגדולים הוא חרב פיפיות. התוקפים כבר שם, משתמשים בתשתיות שלנו נגדנו. עכשיו השאלה היא לא אם הם ינסו להיכנס דרך הדלת הראשית. במקום זאת, האם השומר בכניסה (אתם) יודע לבדוק גם את האורחים שנראים “מכובדים”.


דוגמאות בולטות מהזמן האחרון (2025-2026)

א. SloppyLemming (שימוש ב-Cloudflare Workers)

קבוצת ריגול (המכונה SloppyLemming) זוהתה לאחרונה כמי שעושה שימוש נרחב ב-Cloudflare Workers כדי לבצע גניבת פרטים (Credential Harvesting) וריגול. זה קורה בעיקר נגד מטרות ממשלתיות בדרום אסיה.

• השיטה: התוקפים משתמשים בכלי בשם “CloudPhish” כדי ליצור באופן אוטומטי “Workers” זדוניים ב-Cloudflare. ה-Worker מציג למשתמש דף התחברות מזויף (למשל, לשירותי דואר ממשלתיים), גונב את הסיסמאות, ושולח אותן לתוקפים (למשל דרך Discord). בנוסף, כל התהליך יושב על תשתיות לגיטימיות של Cloudflare.

ב. DKnife (השתלטות על רכיבי קצה/נתבים)

דו”ח טרי מפברואר 2026 של Cisco Talos חשף מסגרת תקיפה בשם DKnife, המופעלת על ידי קבוצת APT סינית.

• המטרה: במקום לתקוף מחשבי קצה, התוקפים משתילים נוזקות בנתבים (Routers) ומכשירי Edge Gateway.
• היכולת: הנוזקה מבצעת “Deep Packet Inspection” על התעבורה העוברת ברשת, יכולה להחליף קבצים לגיטימיים (כגון עדכוני תוכנה) בנוזקות בזמן אמת, ולגנוב מידע מוצפן. כתוצאה מכך, זהו ניצול של “הקצה” הפיזי של הרשת כדי להפיץ נוזקות בצורה חשאית.

ג. APT29 ו-APT37 (שימוש בתשתיות ענן)

• APT29 (רוסיה): עושה שימוש בדומיינים המתחזים לשירותי ענן (כגון AWS) ובטכניקות של ניתוב מחדש (Redirects) דרך שירותים לגיטימיים. המטרה היא להפיל קורבנות ולגנוב זהויות.
• APT37 (צפון קוריאה): משתמשת בשירותים כמו Dropbox ו-Google Cloud להעברת מידע גנוב והורדת נוזקות (כגון RokRAT). הסיבה לכך היא שתעבורה זו נחשבת בטוחה בארגונים רבים.

לסיכום

הדיווחים מתייחסים למעבר של האקרים משימוש בשרתים פרטיים (שקל לחסום) לשימוש בתשתיות הקצה של האינטרנט עצמו. בין אם מדובר בקוד שרץ ב-Serverless (כמו אצל SloppyLemming) ובין אם בהשתלטות על נתבים (כמו ב-DKnife), המכנה המשותף הוא השימוש ב”צינורות” המקובלים והבטוחים לכאורה כדי להחדיר את הנוזקה ישר ללב הארגון.

• כותרת: כשנותנים לעובדים שלכם AI בחינם, אתם לא הלקוח – אתם חומר הלימוד.
• נפרדים מה”מבצר”: למה ה-Active Directory כבר לא מספיק לעולם החדש (ומה בא במקומו)?
• המלך מת, יחי המלך החדש: למה האנטי-וירוס המסורתי שלכם כבר לא יציל אתכם (ומה זה לעזאזל EDR?)
• EDR, XDR, MDR – מי נגד מי? המדריך שעושה סדר ב”מרק האותיות” של הסייבר
• חשיבות ניהול זהויות: להפסיק להיות טרף קל (משרדים ואנשים פרטיים)