ה-FBI מאשר: מתקפת הסייבר הענקית השפיעה על הממשל הפדרלי

"במהלך הימים האחרונים התוודענו לקמפיין סייבר משמעותי ומתמשך. על פי צו נשיאותי, הקמנו קבוצת תיאומים מאוחדת בסייבר – UCG – כדי לתאם תגובה כלל ממשלתית לאירוע הסייבר הענק הזה. הקמת הקבוצה נועדה לאחד את המאמצים הפרטניים של כל אחת מהסוכנויות החברות בה, כאשר כל אחת מהן מתמקדת באחריות הנפרדת שלה והן פועלות במשותף. זהו מצב מתפתח ובעודנו ממשיכים לפעול להבנת ההיקף המלא של הקמפיין, אנחנו יודעים שהפריצה הזו השפיעה על הרשתות בממשל הפדרלי", כך הודיעו גופי החקירה האמריקניים הלילה (ד').

ההודעה המשותפת שיצאה היא של ה-FBI, הסוכנות לאבטחת סייבר ותשתיות (CISA) ולשכת מנהל המודיעין הלאומי (ODNI). היא יצאה בעקבות תקיפת הסייבר הנרחבת שבוצעה על מערכות הממשל האמריקניות. זו נעשתה באמצעות חדירה לשרשרת האספקה של מערכות הממשל. את התקיפה ביצע גורם מדינתי בעל יכולות, ככל הנראה גורם תקיפה רוסי. מדובר במתקפה נרחבת וארוכת טווח, שבמסגרתה הצליחו ההאקרים לשהות במערכות הממשל האמריקני, בכללן במערכות מודיעין וביטחון, במהלך חודשים רבים – לפחות מאז מרץ 2020 – ולהזליג מתוכן מידע רב מאוד.

כך אירעה התקיפה

התוקפים הצליחו לחדור למערכות של סולאר-ווינדס והטמיעו בעדכוני התוכנה של Orion מתוצרתה נוזקה שהצליחה להגיע, במסגרת הורדת עדכון, לעשרות אלפי משתמשים במערכות הממשל. הפגיעה במערכות והחדירה העמוקה של הרוסים גרמו בין היתר להשבתת הרשת המסווגת Siprnet, המשמשת את הממשל להעברת מידע רגיש בין סוכנויות הממשל.

הפריצה התגלתה כאשר פייראיי חוותה מתקפת סייבר עוצמתית ובעקבותיה נתגלה כי גם משרדי האוצר והמסחר של ארצות הברית הותקפו. במסגרת המתקפה על ענקית הגנת הסייבר נגנב ממאגרי המידע שלה מידע רב, בכללו כלי תקיפה שפיתחה החברה לצורך חקירותיה.

הפרצה בגרסאות הבעייתיות של SolarWinds Orion היא שאפשרה את הפריצה לפייראיי, וממנה החלה החקירה שהובילה לאיתורה של התקיפה הנרחבת, בין השאר במערכות רבות מאוד של משרדי ההגנה והגנת המולדת (DHS), וגם בסוכנויות מודיעין דוגמת הסוכנות לביטחון לאומי (NSA), באתרי גרעין, במתקני צבא ובמאות חברות פרטיות המשמשות כקבלניות עבור מערכת הביטחון האמריקנית.

הממשל האמריקני הנחה, באמצעות CISA, את כל הסוכנויות הפדרליות להשבית באופן מיידי את המערכות שבהן נעשה שימוש בתוכנות של סולאר-ווינדס, ובהמשך הוציאה החברה טלאי אבטחה למערכות אלה.

מחקירה ראשונית עולה כי התוקפים היו חשופים במשך תקופה ארוכה מאוד לתעבורת המידע – תכתובות, מיילים, מסמכים ועוד – במערכות הנתקפות, ואף הצליחו לעקוף את האימות הדו שלבי של מיקרוסופט. אף שהממשל לא ציין את זהות התוקפים, בתקשורת האמריקנית דווח שמדובר בקבוצת ההאקרים APT29, המקורבת לקרמלין ולביון הרוסי, והייתה מעורבת בלא מעט מתקפות סייבר מפורסמות.

ה-FBI

ההודעה מפרטת את המאמצים של גורמי החקירה

ה-FBI, שמוביל את התגובה לאיום, מסר כי הוא "חוקר ואוסף מודיעין במטרה לייחס, לרדוף ולשבש את גורמי האיום האחראים למתקפה. החקירה עוסקת בקורבנות ידועים וכאלה הנחשדים להיות קורבנות. מידע שנצבר באמצעות מאמצינו יספק אינדיקטורים למגיני רשת ומודיעין, שיועברו לשותפים שלנו בממשל, כדי לאפשר פעולה נוספת".

ההודעה מסתיימת בציון העובדות שלפיהן "CISA נמצאת בקשר שוטף עם הממשל, ארגונים מהמגזר הפרטי ושותפים בינלאומיים, תוך מתן סיוע טכני על פי בקשה. הסוכנות העמידה לרשות כל מי שרוצה את המידע והמשאבים הדרושים כדי לסייע לארגונים ולאנשים שנפגעו להתאושש במהירות מאירוע זה. היא יצרה קשר עם בעלי העניין הציבוריים והפרטיים ברחבי קהילת התשתיות הקריטיות, כדי להבטיח שהם מבינים את היקף החשיפה שלהם ושהם נוקטים בצעדים על מנת לזהות כל פריצה שהיא. משרד המודיעין הלאומי מוביל את התמיכה המודיעינית ופעילויות נלוות, ומסייע בניהול ותזמור כל המשאבים הרלוונטיים של קהילת המודיעין, כדי לתמוך במאמץ זה ולשתף את המידע ברחבי ממשלת ארצות הברית".