הסבר: כיצד פגעה מתקפת הסייבר של SolarWinds במיקרוסופט

מיקרוסופט לא אישרה לאיזה קוד מקור ניגשו ההאקרים. עם זאת, העובדה שההאקרים נכנסו כל כך עמוק היא די מדאיגה, בהינתן קוד המקור הוא קריטי לאופן הפעולה של כל תוכנה.

היעד למתקפת הסייבר הייתה אוריון, תוכנה שסופקה על ידי חברת SolarWinds. (צילום רויטרס)

כחלק מהחקירות המתמשכות שלה במתקפת הסייבר של SolarWinds, מיקרוסופט חשפה שכנראה התוקפים ניגשו לקוד המקור הפנימי שלה. החברה אישרה מוקדם יותר כי גם היא נפגעה היא מה שנחשב כאחת ממתקפות הסייבר הגדולות בעולם, שכוונה בעיקר לממשלת ארצות הברית (ארה'ב) ולכמה ארגונים פרטיים אחרים. מתקפת הסייבר של SolarWinds נחשפה לראשונה בדצמבר על ידי חברת אבטחת הסייבר FireEye.

אנו בודקים מה חשפה החקירה האחרונה של מיקרוסופט ומה המשמעות שלה.

מה חשפה מיקרוסופט בחקירותיה החדשות?

על פי פוסט רשמי בבלוג של החברה, צוות מחקר האבטחה הפנימית של מיקרוסופט מצא ראיות לכך שהתוקפים ניגשו לקוד מקור פנימי כלשהו במערכות החברה. 'תקרית Solorigate' כפי שכינתה זאת מיקרוסופט בבלוג, הראתה שהיו ניסיונות פעילויות מעבר רק לנוכחות של קוד SolarWinds זדוני בסביבה שלנו.

זיהינו פעילות חריגה עם מספר קטן של חשבונות פנימיים, ובבדיקה גילינו שנעשה שימוש בחשבון אחד להצגת קוד מקור במספר מאגרי קוד מקור. לפי הפוסט, לחשבון לא היו הרשאות גישה לקוד, לשנות אותו, וגם לא היה לו הרשאה לגשת למערכות ההנדסיות.

החברה אומרת שעד כה החקירה אישרה שלא בוצעו שינויים בקוד המקור הזה. חשבונות אלה נחקרו ותוקנו, מוסיפה החברה.

מה זה אומר?

מיקרוסופט לא אישרה לאיזה קוד מקור ניגשו ההאקרים. עם זאת, העובדה שההאקרים נכנסו כל כך עמוק היא די מדאיגה, בהינתן קוד המקור הוא קריטי לאופן הפעולה של כל תוכנה. קוד המקור הוא המפתח לאופן שבו מוצר תוכנה נבנה ואם נפגע עלול להשאיר אותו פתוח לסיכונים חדשים ולא ידועים. האקרים יכולים להשתמש במידע זה כדי לנצל כל חולשה אפשרית בתוכניות.

מיקרוסופט טוענת שהפעילות הזו לא סיכנה את אבטחת השירותים שלנו או נתוני לקוחות כלשהם, אך מוסיפה כי הם מאמינים שהתקפה זו בוצעה על ידי שחקן מתוחכם מאוד במדינת לאום. החברה אומרת שאין ראיות לכך שהמערכות שלה שימשו כדי לתקוף אחרים.

מה עוד חשפה מיקרוסופט?

מיקרוסופט אומרת שהם מסתמכים על שיטות עבודה מומלצות לפיתוח תוכנה בקוד פתוח ותרבות דמוית קוד פתוח לפיתוח תוכנה. בדרך כלל, קוד המקור ניתן לצפייה על ידי צוותים בתוך מיקרוסופט, לפי הבלוג. החברה גם מציינת שמודלי האיומים שלה מניחים שלתוקפים יש ידע בקוד המקור. מיקרוסופט מפחיתה מהסיכון ואומרת שרק צפייה בקוד המקור לא אמורה לגרום לסיכון מוגבר חדש.

מיקרוסופט אומרת שיש לה הרבה הגנות הגנה כדי לעצור תוקפים אם וכאשר הם מקבלים גישה. הוא אומר שיש ראיות שפעילויות ההאקרים סוכלו על ידי ההגנות הקיימות של החברה.

ענקית הטכנולוגיה אומרת שהיא תספק עדכונים נוספים אם היא תקבל מידע חדש.

מה עוד נחשף בפריצה זו של SolarWinds?

הבעיה במתקפת הסייבר הזו היא שהיא נמשכת כל כך הרבה זמן עד שההיקף המלא נותר לא ידוע. למעשה, ייתכן שהמתקפה החלה מוקדם יותר מהאביב האחרון כפי שסברו בעבר. הסנאטור הדמוקרטי מארק וורנר מווירג'יניה, המשמש כסגן יו'ר ועדת המודיעין של הסנאט, אמר בראיון לרויטרס כי המתקפה החלה ככל הנראה הרבה קודם לכן. הוא גם אמר כי נכון לעכשיו אין לממשלת ארה'ב ראיות מוצקות לכך שסודות ממשלתיים מסווגים נפגעו על ידי ההאקרים, על פי הדיווח של רויטרס.

גם היקף התקיפה העצום נותר לא ידוע, על פי רוב הדיווחים. בינתיים, FireEye, שגילתה את המתקפה, חשפה פרטים חדשים על תוכנת ה-Sunburst. התוכנה הזדונית ניצלה את תוכנת SolarWinds Orion, המשמשת אלפי חברות, כולל כמה סוכנויות ממשלתיות בארה'ב.

לפי FireEye, Sunburst - גרסה זדונית של תוסף SolarWinds Orion חתום דיגיטלית - מכילה דלת אחורית המתקשרת באמצעות HTTP לשרתים של צד שלישי. נראה שהתוסף נשאר רדום של עד שבועיים, ולאחר מכן הוא מתחיל לבצע פקודות ולבצע משימות כמו העברת קבצים, ביצוע קבצים, פרופיל המערכת, אתחול המערכת והשבתת שירותי המערכת.

נראה גם שהתוכנה הזדונית מבצעת בדיקות רבות כדי לוודא שאין כלי ניתוח, לפי FireEye. גישה זהירה זו היא שעזרה לתוכנה הזדונית להתחמק מזיהוי על ידי תוכנת אנטי-וירוס וחוקרי זיהוי פלילי במשך שבעה חודשים לאחר הצגתה לשרשרת האספקה ​​של SolarWinds Orion, לפי חברת אבטחת הסייבר.

שתף עם החברים שלך: