בעקבות פרצת הענק בסייבר – כתב אישום על הונאה נגד סולארווינדס
הרשות האמריקנית לניירות ערך: החברה ומנהל האבטחה שלה הטעו משקיעים לגבי נהלי אבטחת הסייבר והסיכונים הידועים שלה
פרצת הסייבר הגדולה בסולארווינדס מובילה לכתבי אישום נגד חברת התוכנה ומנהל האבטחה שלה, טימותי בראון. כתב האישום הוגש אתמול (ב') על ידי רשות ניירות הערך בארצות הברית, ה-SEC.
הרשות מאשימה את סולארווינדס ואת בראון בהונאה ובכישלונות בקרה פנימית שנוגעים לסיכונים ופגיעויות אבטחת סייבר – שהיו ידועים, לכאורה. האישום מתייחס לתקופה של "החל מההנפקה הראשונית של החברה לציבור באוקטובר 2018 ועד להכרזה בדצמבר 2020 שהיא שימשה מטרה למתקפת סייבר מסיבית בת כמעט שנתיים", מתקפה שזכתה לכינוי Sunburst.
מה-SEC נמסר כי "באותה העת, סולארווינדס ובראון הונו משקיעים על ידי הערכת יתר שלה ו(הסתרה של – י"ה) נהלי אבטחת סייבר מזלזלים, או אי חשיפה של סיכונים ידועים".
"ההצהרות הפומביות עמדו בסתירה להערכות הפנימיות"
כאשר החברה הגישה את מסמכיה בטרם ההנפקה, נכתב, "סולארווינדס הטעתה לכאורה משקיעים בכך שחשפה רק סיכונים גנריים והיפותטיים, בזמן שהיא ובראון ידעו על ליקויים ספציפיים בפרקטיקות אבטחת הסייבר שלה, כמו גם על הסיכונים המוגברים שהיא התמודדה איתם באותה העת".
לפי ה-SEC, "ההצהרות הפומביות של סולארווינדס על נהלי אבטחת הסייבר והסיכונים שלה עמדו בסתירה להערכותיה הפנימיות, לרבות מצגת מ-2018 שהוכנה על ידי מהנדס בחברה ושותפה פנימית, כולל עם בראון – שלפיה מערך הגישה מרחוק שלה היה לא מאוד מאובטח… מי ש(עלול היה, או עשה זאת בפועל – י"ה) מנצל את הפגיעות יכול בעצם לעשות כל דבר מבלי שנזהה זאת, עד שיהיה מאוחר מדי". מצב זה, נטען "עלול להוביל להפסד מוניטין גדול ולהפסד כספי לחברה".
"באופן דומה", ממשיכה ההודעה, "מצגות מ-2018 ומ-2019 של בראון העידו כי 'מצב האבטחה הנוכחי משאיר אותנו במצב פגיע מאוד עבור הנכסים הקריטיים שלנו', וכי 'הגישה למערכות הקריטיות ולמערכות הנתונים שלנו אינה הולמת (אינה ראויה בהיבטי אבטחה – י"ה)'".
לפי האישום, "תקשורת מרובה בין עובדי החברה, כולל בראון, לאורך 2019 ו-2020, הטילה ספק ביכולתה של החברה להגן על נכסיה הקריטיים מפני התקפות סייבר". כך, לדוגמה, ביוני 2020, בזמן שהוא היה עסוק בחקירת מתקפת סייבר על לקוח של החברה, בראון כתב כי "זה מאוד מדאיג" וכי "ייתכן שהתוקף חיפש להשתמש בתוכנת אוריון (Orion) של החברה כדי לבצע מתקפות גדולות יותר – כי הבק אופיס שלנו לא כל כך עמיד (בסייבר – י"ה)".
עוד מצטט כתב האישום מסמך פנימי מספטמבר 2020 ששותף עם בראון ואחרים בחברה, שלפיו "היקף בעיות האבטחה שזוהו במהלך החודש האחרון עלו על יכולתם של צוותי ההנדסה לפתור אותם".
"בראון היה מודע לסיכונים, אבל לא פתר אותם או לא הציף אותם"
לפי ה-SEC, "בראון היה מודע לסיכונים ולפגיעויות של אבטחת הסייבר שיש בחברה, אך לא הצליח לפתור את הבעיות או, לפעמים, להציף אותן מספיק גבוה בתוך החברה. כתוצאה מפגמים אלה, החברה לא יכולה הייתה לספק הבטחות סבירות לכך שנכסיה היקרים ביותר, לרבות מוצר הדגל שלה, אוריון, היו מוגנים כראוי".
"במשך שנים, סולארווינדס ובראון התעלמו מדגלים אדומים חוזרים ונשנים לגבי סיכוני הסייבר שלה", נטען בכתב האישום. "סיכונים אלה היו ידועים בכל החברה והובילו את אחד הכפופים של בראון למסקנה שהיא רחוקה מלהיות חברה בעלת אופי של חברת אבטחה. במקום לטפל בנקודות התורפה הללו, סולארווינדס ובראון השתתפו במסע פרסום (שנועד – י"ה) לצייר תמונה כוזבת של סביבת בקרת הסייבר של החברה, ובכך למנוע מהמשקיעים מידע מהותי מדויק. החברה ובראון לא רק הטעו את ציבור המשקיעים ולא הגנו כראוי על נכסי סולארווינדס, שהם בבחינת 'היהלום שבכתר', אלא הדגישו את המסר שלה למנפיקים שלפיה היא חברה מאובטחת, עם בקרות חזקות המותאמות לסביבות הסיכון שלה".
מתקפה עצומה
בפברואר 2021 אמרה אן נויברגר, סגנית היועץ לביטחון לאומי של ארצות הברית לתחומי סייבר וטכנולוגיות בצמיחה, כי תשע סוכנויות פדרליות ו-100 חברות מהמגזר הפרטי נפגעו ממתקפת הענק על סולארווינדס, שבוצעה על ידי האקרים שלוחי רוסיה. לדבריה, כמה חברות המגזר הפרטי שנפגעו ממתקפת הסייבר הן חברות טכנולוגיה, שהותקפו כדי להקל על השגת הגישה לקורבנות אחרים. "אנחנו מאמינים שתכנון המתקפה, כמו גם הפריצות עצמן, לקחו להאקרים חודשים", ציינה אז נויברגר.
דבר המתקפה נודע בדצמבר 2020, אף שהיא החלה בספטמבר-אוקטובר 2019 וקיבלה האצה במרץ 2020. נויברגר ציינה כי ההאקרים השיקו את המתקפה מתוך ארצות הברית – מעשה שמקשה עוד יותר על החוקרים להבין את פעילותם ולאתר אותם. היא מונתה על ידי הממשל להוביל את תגובת ארצות הברית למתקפה.
מתקפת הענק נחשפה על ידי חברת האבטחה פייראיי ומיקרוסופט. היא נוצרה בשל נוזקה בשם Sunburst, או Solorigate – ש-"הולבשה" על אוריון, שהיא תוכנת ניהול וניטור הרשת של סולארווינדס. כ-18 אלף ארגונים, לקוחות סולארווינדס, הורידו את עדכון הגרסה המזוהם של אוריון.
בין הלקוחות שנפגעו היו גם ארגונים מישראל. מהמגזר הפרטי, מיקרוסופט הייתה הקורבן השני שנחשף, לאחר פייראיי – לצד VMware. הנפגעים מהממשל הפדרלי של ארצות הברית היו רבים, בהם משרד האוצר ומינהל הטלקום והמידע הלאומי במשרד המסחר (NTIA) וסוכנויות מודיעין, ביניהן CISA – הסוכנות לאבטחת סייבר ותשתיות.
גם משרד האנרגיה האמריקני מסר כי ההאקרים השיגו גישה לרשתות שלו. מינהל ביטחון הגרעין הלאומי, NNSA, שמטפל במאגר אמצעי הלחימה הגרעיניים של ארצות הברית, היווה אף הוא מטרה למתקפה, כמו גם המשרד להגנת המולדת ומשרד החוץ. עוד נפגעו מהמתקפה סיסקו, אינטל, אנבידיה, בלקין, יצרנית נתבי Wi-Fi וציוד רשת ביתי, וחברת הייעוץ דלויט.
יש לציין שעדכוני הגרסה המזוהמים של תוכנת אוריון לא היו הדרך היחידה שבאמצעותה ההאקרים חדרו למאות ארגונים ברחבי העולם במהלך מתקפת הענק. זאת, כי ל-30% מהארגונים שנפרצו לא היה קשר ישיר לסולארווינדס.
אתה מציג את FireEye כחברה שזיהתה את המתקפה אבל אתה שוכח לציין פרט מאוד חשוב - ההתקפה על Solarwinds התאפשרה בעקבות פריצה לחברת FireEye שכללה בין היתר גניבת כלי תקיפה שנעשו בהם שימוש בתקיפה על מנת לחדור Solarwinds. https://www.industrialcybersecuritypulse.com/facilities/throwback-attack-fireeye-the-cyberattack-that-started-solarwinds/