הפריצה ל-MOVEit חמורה משחשבו: פגעה ביותר מ-600 ארגונים ו-40 מיליון איש

יותר מחודשיים לאחר שדבר הפריצה נחשף בראשונה, על ידי פרוגרס סופטוור (Progress Software) ממסצ'וסטס, מצעד הקורבנות לא מאט.

מהנתונים עולה כי כ-40 מיליון אנשים הושפעו עד כה מהפריצה לתוכנית ניהול הקבצים MOVEit של פרוגרס. כעת מסתבר כי קבוצת האקרים בשם CL0p רק מגבירה את קצב חשיפת הנתונים בפומבי. פרוגרס, מצידה, טוענת כי הייתה קורבן של "קבוצת פושעי סייבר מתקדמת".

"אנחנו נמצאים בשלב מאוד מאוד מוקדם של חשיפת כלל המהלך הזה", אמר מארק בלייכר, סמנכ"ל הטכנולוגיה של Surefire Cyber. "להערכתי, נתחיל לראות את ההשפעה האמיתית ואת משמעות הדברים רק בהמשך".

"יש כאן אפקט דומינו"

MOVEit  משמש ארגונים למשלוח כמויות גדולות של נתונים, לרוב רגישים ביותר: מידע פנסיוני, מספרי תעודת זהות, רשומות רפואיות, נתוני חיוב ועוד. כיוון שרבים מאותם ארגונים טיפלו בנתונים של לקוחות אחרים, שבתורם קיבלו את הנתונים מצד שלישי, הפריצה התרחבה והתגלגלה בדרכים מפותלות לעיתים.

כך, כאשר חברי CL0p השתלטו על תוכנת MOVEit, המשמשת את Pension Benefit Information – המתמחה באיתור בני משפחה של מחזיקי קרנות פנסיה – הם קיבלו גישה לנתוני

Teachers Insurance and Annuity Association of America. זו מצידה מנהלת תכניות פנסיה עבור 15,000 מוסדות לימוד. רבים מהם היו עסוקים בשבועות האחרונים בהודעות לעובדים על כך שפרטיהם נחשפו.

הקורבנות שלה מתווספים. CL0p.

"יש כאן אפקט דומינו", אמר ג'ון האמונד מ-Huntress Security, שהיה אחד החוקרים הראשונים שהחלו לעקוב אחר הפרצה.

"פריצות על ידי קבוצות האקרים דוגמת CL0p", ציינו מקצועני אבטחה, "מתרחשות בקביעות. אבל המגוון העצום של קורבנות MOVEit – מתלמידי בתי ספר ממלכתיים בניו יורק ועד נהגים בלואיזיאנה ופנסיונרים בקליפורניה – הפך אותה לאחת הדוגמאות הבולטות ביותר לאופן שבו פגם בודד בתוכנה עלול לייצר אסון פרטיות עולמי".

לדברי כריסטופר באד, מומחה לאבטחת סייבר בחברת סופוס הבריטית, "הפריצה היא תזכורת לאופן שבו ארגונים תלויים זה בזה בהגנות הדיגיטליות".

"במקרים רבים עדיין לא דלפו נתונים"

הפריצה של CL0p החלה, ככל הנראה, ב-27 במאי, כך לפי החוקרים. עדות ראשונית לפריצה התרחשה כבר למחרת, כאשר לקוח התריע בפני פרוגרס על פעילות חריגה. ב-30 במאי פרסמה החברה אזהרה, ולמחרת הוציאה תיקון, שסיכל חלקית את מסע ההאקרים.

"ארגונים רבים הצליחו להטמיע את התיקון לפני שניתן היה לנצלו", אמר אריק גולדשטיין, בכיר ב-CISA, הסוכנות לאבטחת סייבר ותשתיות של ארה"ב. "עם זאת, במקרים רבים עדיין לא דלפו נתונים".

אלא שלא לכל הארגונים היה כל כך מזל. פרטים על היקף החומר הגנוב ומספר הארגונים שנפגעו אינם זמינים לציבור. אחד המומחים ציין כי "הפריצה כנראה השפיעה על אלפי חברות, ייתכן שלעולם לא נדע את המספר המדויק".

שלוש חברות אבטחת סייבר, שלא הצליבו ביניהן נתונים – העריכו כי מספר הארגונים שנפגעו הוא 602 והיקף הנפגעים עומד על 39.7 מיליון אנשים.

נתוניהם של ארגונים בריטיים מובילים נפגעו בגללה. הפרצה ל-MOVEit . צילום: עיבוד ממוחשב כאילוסטרציה. מקור: ShutterStock

מי הם הקורבנות?

מוסדות חינוך, מכללות, אוניברסיטאות ובתי ספר ציבוריים בעיר ניו יורק היוו רבע מהקורבנות. יש יותר מ-100 ארגונים שנפגעו בארה"ב בלבד. עוד נפגעו רשויות הרכב בלואיזיאנה ואורגון: הן הודו בחשיפת כתשעה מיליון רשומות. ארגוני ניהול פנסיה נחשפו באמצעות מידע על הטבות פנסיה. הפרצה ל-Maximus הובילה לחשיפת בין שמונה ל-11 מיליון רשומות.

חוקרי אבטחה ציינו כי נראה שחברי CL0p מנסים לעלות שלב במהלכיהם. בסוף החודש שעבר הם בנו אתרים שמטרתם להפיץ נתונים גנובים באופן יעיל יותר. השבוע הם החלו לשתף את הנתונים באמצעות רשתות peer-to-peer networks.

"אלו חדשות רעות", אמר בלייכר מ-Surefire. "ברגע שהנתונים האלה דולפים באיטיות, הם יופיעו יותר ברשת האפלה. השפעת הפרצה תהיה כנראה הרבה יותר משמעותית מכפי שחשבנו עד עכשיו".

כך, ביוני פרסמנו כי רשת השידור הממלכתית הבריטית ה-BBC, וחברות התעופה בריטיש איירווייז (British Airways), איר לינגוס (Aer Lingus) ורשת הטיפוח והפארמה בוטס (Boots) – היו בין הנפגעות ממתקפת הסייבר.

כשהפריצה נחשפה בראשונה, פרוגרס דיווחה שהאקרים מצאו דרך לפרוץ לכלי MOVEit Transfer שלה. MOVEit פופולרית ברחבי העולם בכלל ובקרב רוב לקוחותיה בארה"ב בפרט. למרות ש-CISA פרסמה אז אזהרה לחברות המשתמשות ב-MOVEit, התברר כי אלפי מאגרי מידע של החברה עדיין עלולים להיות פגיעים, כיוון שחברות רבות שנפגעו – עדיין לא התקינו את הטלאי.

גם לפי מיקרוסופט, פושעי הסייבר האחראים למתקפה קשורים לקבוצת הכופרות הנודעת לשמצה CL0p, שבסיסה ברוסיה. חוקרי הענקית מרדמונד ייחסו את המתקפות ל-Lace Tempest – קבוצת האקרים הידועה בפעילות הכופרה שלה, ואשר מנהלת את אתר הסחיטה CL0p, בו מתפרסמים נתוני קורבנות. מיקרוסופט אמרה כי ההאקרים הללו השתמשו בטכניקות דומות בעבר כדי לגנוב נתונים ולסחוט קורבנות.

מומחה אבטחה ציין כי "סבב המתקפות הזה הוא תזכורת נוספת לחשיבות של אבטחת שרשרת האספקה. סביר להניח שקבוצות איומים אחרות יעשו שימוש בפגיעות זו".