הסבר: מתקפת סייבר מאסיבית בארה'ב, תוך שימוש בסט כלים חדשני

אחת ממתקפות הסייבר הגדולות ביותר שפקדו סוכנויות ממשלתיות וחברות פרטיות בארה'ב, 'הפריצה של SolarWinds' נתפסת כמאמץ גלובלי סביר. איך זה בוצע, ואיזה סוג נתונים נפגע? מדוע פקידי ממשלת ארה'ב ופוליטיקאים קראו לרוסיה?

היעד למתקפת הסייבר הייתה אוריון, תוכנה שסופקה על ידי חברת SolarWinds. (צילום רויטרס)

'פריצת SolarWinds', מתקפת סייבר שהתגלתה לאחרונה בארצות הברית, התגלתה כאחת מה הגדול ביותר אי פעם ממוקד נגד ממשלת ארה'ב, סוכנויותיה ומספר חברות פרטיות אחרות. למעשה, ככל הנראה מדובר במתקפת סייבר עולמית.

הוא התגלה לראשונה על ידי חברת אבטחת הסייבר האמריקאית FireEye, ומאז התפתחויות נוספות ממשיכות להתגלות מדי יום. ההיקף העצום של מתקפת הסייבר עדיין לא ידוע, למרות שאוצר ארה'ב, משרד לביטחון פנים, משרד המסחר, חלקים מהפנטגון מושפעים כולם.

ב מאמר דעה נכתב עבור הניו יורק טיימס , תומס פ. בוסרט, שהיה יועץ לביטחון פנים של הנשיא דונלד טראמפ, מינה את רוסיה למתקפה. הוא כתב ראיות במתקפת SolarWinds לסוכנות הביון הרוסית המכונה SVR, שמלאכת המקצוע שלה היא מהמתקדמות בעולם. הקרמלין הכחיש את מעורבותו.

אז מה זה 'הפריצה של SolarWinds'?

החדשות על מתקפת הסייבר, מבחינה טכנית, התפרסמו לראשונה ב-8 בדצמבר, כאשר FireEye הוציאה בלוג שזיהה התקפה על המערכות שלה. המשרד מסייע בניהול אבטחה של מספר חברות פרטיות גדולות וסוכנויות ממשלתיות פדרליות.

מנכ'ל FireEye, קווין מנדיה, כתב בפוסט בבלוג ואמר כי החברה הותקפה על ידי שחקן איום מתוחכם ביותר, וכינה אותה מתקפה בחסות המדינה, למרות שהיא לא שמה את רוסיה. נאמר כי המתקפה בוצעה על ידי מדינה בעלת יכולות התקפיות ברמה הגבוהה ביותר, והתוקף חיפש בעיקר מידע הקשור ללקוחות ממשלתיים מסוימים. כמו כן, נאמר כי השיטות בהן השתמשו התוקפים היו חדשות.

ואז, ב-13 בדצמבר, FireEye אמרה שהתקפת סייבר, שהיא כינתה מסע הפרסום UNC2452, לא הייתה מוגבלת לחברה אלא כוונה לארגונים ציבוריים ופרטיים שונים ברחבי העולם. הקמפיין החל כנראה במרץ 2020 ונמשך כבר חודשים, נכתב בפוסט. גרוע מכך, היקף הנתונים שנגנב או נפגע עדיין לא ידוע, בהתחשב בהיקף המתקפה עדיין מתגלה. לאחר פגיעה במערכות, התרחשו תנועה לרוחב וגניבת נתונים.

איך כל כך הרבה סוכנויות וחברות ממשלתיות בארה'ב הותקפו?

זה נקרא התקפת 'שרשרת אספקה': במקום לתקוף ישירות את הממשל הפדרלי או את הרשת של ארגון פרטי, ההאקרים מכוונים לספק צד שלישי, המספק להם תוכנה. במקרה זה, המטרה הייתה תוכנת ניהול IT בשם Orion, שסופקה על ידי חברת SolarWinds מטקסס.

אוריון הייתה תוכנה דומיננטית מבית SolarWinds עם לקוחות, הכוללים למעלה מ-33,000 חברות. SolarWinds אומרת ש-18,000 מלקוחותיה הושפעו. אגב, החברה מחקה את רשימת הלקוחות מהאתרים הרשמיים שלה.

על פי העמוד, שנחקק גם מארכיון האינטרנט של גוגל, הרשימה כוללת 425 חברות ב-Fortune 500, 10 מפעילי הטלקום המובילים בארה'ב. דיווח של הניו יורק טיימס אמר שחלקים מהפנטגון, המרכזים לבקרת מחלות ומניעתן, מחלקת המדינה, משרד המשפטים ואחרים, כולם הושפעו.

מיקרוסופט אישרה שהיא מצאה עדויות לתוכנה זדונית במערכות שלה, למרות שהיא הוסיפה שאין ראיות לגישה לשירותי ייצור או לנתוני לקוחות, או שהמערכות שלה שימשו כדי לתקוף אחרים. נשיא מיקרוסופט, בראד סמית', אמר כי החברה החלה להודיע ​​ליותר מ-40 לקוחות כי התוקפים מכוונים בצורה מדויקת יותר ומתפשרים.

דיווח של רויטרס אמר שאפילו מיילים שנשלחו על ידי גורמים במשרד לביטחון המולדת היו במעקב אחר ההאקרים.

איך הם קיבלו גישה?

לפי FireEye, ההאקרים השיגו גישה לקורבנות באמצעות עדכונים טרויאניים לתוכנת ניטור וניהול IT Orion של SolarWinds. בעיקרון, עדכון תוכנה נוצל להתקנת התוכנה הזדונית 'Sunburst' ב-Orion, שהותקנה אז על ידי יותר מ-17,000 לקוחות.

FireEye אומר שהתוקפים הסתמכו על טכניקות מרובות כדי להימנע מגילוי ולטשטש את פעילותם. התוכנה הזדונית הייתה מסוגלת לגשת לקבצי המערכת. מה שעבד לטובת התוכנה הזדונית היה שהיא הצליחה להשתלב עם פעילות לגיטימית של SolarWinds, לפי FireEye.

לאחר ההתקנה, התוכנה הזדונית נתנה להאקרים כניסה בדלת אחורית למערכות ולרשתות של לקוחות SolarWinds. חשוב מכך, התוכנה הזדונית הצליחה גם לסכל כלים כמו אנטי וירוס שיכולים לזהות אותה.

איפה רוסיה נכנסת?

במאמר דעתו של NYT, Bossert שם את רוסיה ואת הסוכנות שלה SVR, שיש לה את היכולות לבצע את המתקפה של כושר המצאה וקנה מידה כאלה.

מיקרוסופט מציינת בבלוג שלה שהיבט זה של המתקפה יצר פגיעות שרשרת אספקה ​​בעלת חשיבות כמעט גלובלית, שהגיעה לבירות לאומיות מרכזיות רבות מחוץ לרוסיה. הוא ממשיך ומוסיף כי התקפות מתוחכמות מרוסיה הפכו נפוצות.

FireEye, לעומת זאת, עדיין לא שמה את רוסיה כאחראית ואמרה כי מדובר בחקירה מתמשכת עם ה-FBI, מיקרוסופט ושותפים מרכזיים אחרים שאינם מצוינים בשמותיהם.

מה אמרו SolarWinds וממשלת ארה'ב על הפריצה?

נכון לעכשיו, SolarWinds ממליצה לכל הלקוחות לעדכן מיד את פלטפורמת Orion הקיימת, שיש לה תיקון לתוכנה זדונית זו. אם מתגלית פעילות תוקף בסביבה, אנו ממליצים לערוך חקירה מקיפה ולתכנן ולבצע אסטרטגיית תיקון המונעת על ידי ממצאי החקירה והפרטים של הסביבה המושפעת, נאמר.

לאלו שאינם יכולים לעדכן נאמר לבודד שרתי SolarWinds וזה אמור לכלול חסימת כל יציאת אינטרנט משרתי SolarWinds. ההצעה המינימלית היא שינוי הסיסמאות לחשבונות שיש להם גישה לשרתי/תשתית SolarWinds.

הסוכנות האמריקאית לאבטחת סייבר ותשתיות (CISA) פרסמה הוראת חירום 21-01, המבקשת מכל הסוכנויות האזרחיות הפדרליות לבדוק את הרשתות שלהן לאיתור אינדיקטורים של פשרה. היא ביקשה מהם לנתק או לכבות את מוצרי SolarWinds Orion באופן מיידי.

ה-FBI, CISA ומשרד מנהל המודיעין הלאומי פרסמו הצהרה משותפת, והכריזו על מה שמכונה 'קבוצת התיאום המאוחדת של סייבר (UCG) במטרה לתאם את תגובת הממשלה למשבר. ההצהרה מכנה זאת מסע אבטחת סייבר משמעותי ומתמשך.

הבית הלבן והנשיא דונלד טראמפ שתקו. הסנאטור מיט רומני סיכם זאת בצורה הטובה ביותר בהערותיו לעיתונאי אוליבייה נוקס מרדיו SiriusXM, שם השווה את המתקפה הזו למקבילה של מפציצים רוסים שטסים ללא זיהוי בכל רחבי המדינה וחושפים את חולשת לוחמת הסייבר של ארה'ב. הוא אמר שהשתיקה וחוסר המעש מהבית הלבן הם בלתי נסלחים.

הסנאטור ריצ'רד בלומנטל, דמוקרט, צייץ בטוויטר: מתקפת הסייבר של רוסיה הותירה אותי מבוהל עמוקות, למעשה פחד ממש.

הנשיא הנבחר ג'ו ביידן אמר בהצהרה: הגנה טובה אינה מספיקה; עלינו לשבש ולהרתיע את יריבינו מלבצע התקפות סייבר משמעותיות מלכתחילה.

שתף עם החברים שלך: