חוצפה: סין פרצה לממשל האמריקני כשבלינקן נערך לביקורו שם

הגילויים האחרונים לפיהם האקרים מסין ניצלו פגם אבטחה של מיקרוסופט (Microsoft) כדי לבצע פעולת ריגול "ממוקדת ומתוחכמת ביותר", בסייבר – שהצליחה לחדור לכ-25 ישויות מערביות, כולל ללשכת ג'ינה ריימונדו, שרת המסחר האמריקנית – הציפו שתי תגובות. האחת, החוצפה של הסינים, שערכו מבצע שכזה, אשר כלל חדירה לתיבות דואר של עובדי משרד החוץ, בסמיכות זמנים להיערכות של הממשל האמריקני לביקורו של אנתוני בלינקן, שר החוץ – בסין. והשנייה – לתהייה לגבי רמת האבטחה של מוצרי הענקית מרדמונד, שנוצלו כדי "לבצע הפיכה מודיעינית בסייבר", לדברי החוקרים.

עוד ציינו החוקרים כי "מה שגרוע עוד יותר, הוא שמומחי אבטחת מידע והגנת סייבר בארה"ב גילו את הפעולה רק בשבוע שעבר – הודות לשירותי פרימיום של מיקרוסופט, אותם מקבלים רק חלק מהלקוחות, ובתוספת מחיר. הם ציינו כי בלעדיו, "כנראה לא ניתן היה לזהות את המתקפה".

לשכתה היוותה יעד להאקרים הסינים. ג'ינה ריימונדו, שרת המסחר האמריקנית. צילום: ויקיפדיה

המתקפה: החלה באמצע מאי – זוהתה באמצע יוני

במתקפה, שנחשפה בידי חוקרי האיומים של מיקרוסופט בשבוע שעבר, ההאקרים הצליחו לחדור לכמה עשרות ארגונים, כולל סוכנויות ממשל בארה"ב, כחלק ממסע ריגול בסייבר, שנועד להשיג נתונים חסויים.

המתקפות, שהחלו ב-15 במאי השנה, כללו גישה לחשבונות דואר אלקטרוני של כ-25 ישויות ומספר קטן של חשבונות צרכנים בודדים, הקשורים לאותם ארגוני ממשל.

הענקית מרדמונד ייחסה את הקמפיין ל-Storm-0558, קבוצת האקרים הפועלת בחסות סין ומתמקדת בעיקר במתקפות כנגד סוכנויות ממשלתיות במערב אירופה. "ההאקרים מתמקדים בריגול, גניבת נתונים והשגת גישה לאישורי כניסה למערכות", אמרה מיקרוסופט. "הם משתמשים בנוזקות מותאמות אישית, דוגמת Cigril ו-Bling, לטובת השגת אישורי גישה. אנחנו עוקבים אחריהן".

המתקפה זוהתה רק באמצע יוני השנה – כחודש לאחר שאירעה. לקוח ארגוני של מיקרוסופט הסב את תשומת ליבה של ענקית הטק לאנומליות שיש בפעילות הדואר האלקטרוני של החברה שלו. אז התגלה כי ההאקרים הסינים ניצלו חולשה בשירות הדואר האלקטרוני של מיקרוסופט, כדי להשיג גישה לחשבונות הדוא"ל, ביניהם של עובדי ממשלת ארה"ב.

הענקית מרדמונד לא ציינה את זהות הקורבנות, אולם המועצה לביטחון לאומי של הבית הלבן אישרה כי "סוכנויות ממשל בארה"ב הושפעו מהפריצה… בחודש שעבר, מערך ההגנה של ממשלת ארה"ב זיהה פריצה לשירות הענן של מיקרוסופט. זו השפיעה על מערכות לא מסווגות", נמסר. הגישה לחשבונות דוא"ל של לקוחות, לפי מיקרוסופט, התאפשרה באמצעות OWA (ר"ת Outlook Web Access) – על ידי זיוף אסימוני אימות, ניצול בעיות בהליך האימות והתחזות למשתמשים לגיטימיים. לפי החברה, המתקפה נחסמה ולחברי קבוצת ההאקרים אין יותר גישה לחשבונות אלו.

סופגת ביקורת על התנהלותה. מיקרוסופט. צילום: BigStock

"כמו למכור מכונית ואז לגבות תשלום נוסף על חגורות בטיחות וכריות אוויר"

"כך", ציינו מומחי אבטחה, "ישנה בעייתיות בכך שבזמן שממשל ביידן דוחף את תפיסת 'אבטחה כברירת מחדל' לתחום, כחלק מאסטרטגיית אבטחת הסייבר הלאומית של הבית הלבן – מיקרוסופט גובה מלקוחות תשלום גבוה יותר עבור תכונות אבטחה, שחלקן נועדו לגלות את הפגמים שלה עצמה". כמה מהמומחים, ולצידם פקידי ממשל שהתראיינו בלא להזדהות, הביעו ספק בהסתמכות של וושינגטון על חברות הטכנולוגיה הענקיות.

"להציע מוצרים לא מאובטחים, ולאחר מכן לחייב אנשים בתשלומי פרימיום, על מנת שלא להיפרץ – זה כמו למכור מכונית ואז לגבות תשלום נוסף עבור חגורות בטיחות וכריות אוויר", אמר הסנאטור הדמוקרטי מאורגון, רון ווידן.

עדיין לא ברור מה הייתה מטרת מבצע הריגול בסייבר, שגורמי ביטחון תיארו כ"חשאי להפליא". שני פקידים בבית הלבן אמרו ל-CNN שהם מאמינים שהוא נועד לספק לבייג'ינג תובנות לגבי ביקורו של בלינקן בסין ביוני. עוד לא ברור מה השיגו ההאקרים מתיבת הדואר הנכנס של השרה ריימונדו, שהייתה בין בכירי הממשל שעסקו בגיבוש הגבלות ובקרות יצוא אמריקניות למול סין, לרבות בתחום מוליכים למחצה מתקדמים. ריימונדו בעצמה צפויה לנסוע בקרוב לסין.

עוד ציינו חוקרי אבטחה כי "לא ברור כיצד מיקרוסופט יכולה לבנות מערכת כל כך לא מאובטחת. הרי כולנו זוכרים את פריצת הענק הרוסית שנצלה פגיעות דומה במערכת של מיקרוסופט, כדי לחדור לאלפי מערכות כחלק מהפריצה לסולארווינדס (SolarWinds)".

ד"ר טריי הר, מנהל יוזמת Cyber Statecraft של המועצה האטלנטית – ובעברו בכיר באבטחה במיקרוסופט – אמר כי "אם הם (מיקרוסופט – י"ה) לא בחנו לעומק את כל התשתית הזו ודאגו שתהיה בנויה בצורה הדוקה ככל האפשר לאחר פריצת הענק הרוסית – אז אולי פשוט לא אכפת להם כלל… הם מוכרים מוצרים שבנויים על שירות קריטי – והוא לא יכול להתנהג כמו 'קוד ספגטי', או להסתמך על הנחות מטורפות שנמסרו ללקוח בצורה גרועה".

מיקרוסופט מסרה בתגובה כי "באופן היסטורי, החברה סיפקה לוגים הנוגעים לאבטחה – ללקוחות, עם אפשרויות לאופני האחסון שלהם. החברה מעריכה משובים, נשארת פתוחה למודלים אחרים, והיא מעורה באופן פעיל עם CISA וסוכנויות ממשל אחרות בנושא זה".