רבותי ההיסטוריה חוזרת: שוב פריצה למערכות סוני

בחלוף כמעט עשור מאז הפריצה המפורסמת של האקרים מצפון קוריאה אליה, סוני (Sony Interactive Entertainment) חוותה מתקפת סייבר. זוהי הפריצה השנייה אל מערכות החברה בתוך ארבעה חודשים.

חברת הבידור הודיעה לעובדים שלה, בהווה ובעבר, כמו גם לבני משפחתם, כי בעקבות האירוע קיים חשש שנחשף מידע אישי שלהם.

החברה שלחה את ההודעה לכ-6,800 אנשים, ואישרה שהפריצה התרחשה לאחר שגורם לא מורשה ניצל פגיעות מסוג "יום אפס", בפלטפורמת MOVEit Transfer.

החולשה שנוצלה, CVE-2023-34362, מסוג "הזרקת SQL", דורגה בדרגת חומרה קריטית, ולפיה ההאקרים שניצלו אותה יכולים להשתלט על מערכות הקורבן מרחוק, ואז הם תוקפים בכופרה Cl0p. מדובר בהתקפות בקנה מידה גדול, שפגעו בארגונים רבים ברחבי העולם.

MOVEit משמשת ארגונים למשלוח כמויות גדולות של נתונים, לרוב רגישים ביותר: מידע פנסיוני, מספרי תעודת זהות, רשומות רפואיות, נתוני חיוב ועוד.

חוקרים העריכו כי מדובר במתקפת המשך למתקפה שעליה דיווחנו באוגוסט האחרון. פושעי הסייבר האחראים למתקפה קשורים, ככל הנראה, לקבוצת הכופרות הנודעת לשמצה Cl0p, שבסיסה ברוסיה. בתוכה, יש את Lace Tempest – קבוצת האקרים הידועה בפעילות הכופרה שלה, שמנהלת את אתר הסחיטה CL0p, בו מתפרסמים נתוני קורבנות.

כנופיית הכופרה הוסיפה את סוני לרשימת הקורבנות שלה בסוף יוני. על פי הודעת החברה, הפריצה התרחשה ב-28 במאי, שלושה ימים לפני שנודע לסוני מ-פרוגרס סופטוור (Progress Software) (הספקית של MOVEit) על הפגם, אך הוא התגלה בתחילת יוני.

"ב-2 ביוני 2023, גילינו את ההורדות הלא מורשות, והעברנו מיד את הפלטפורמה למצב לא מקוון, אז תיקנו את הפגיעות", נכתב בהודעה, "לאחר מכן פתחנו בחקירה, בסיוע מומחי אבטחת סייבר חיצוניים. הודענו על כך גם לרשויות אכיפת החוק".

על פי סוני, האירוע הוגבל לפלטפורמת התוכנה המסוימת – ולא הייתה לו השפעה כלשהי על מי מהמערכות האחרות שלה. בכל זאת, מידע רגיש השייך ל-6,791 אנשים בארה"ב נחשף. הפרטים האישיים שנחשפו ידועים לרשויות, אולם הם לא פורסמו, וצונזרו בהודעה שהוגשה למשרד התובע הכללי של מיין. לקורבנות הוצעו שירותי ניטור אשראי ושחזור זהות באמצעות Equifax, בהם הם יכולים לעשות שימוש עד פברואר 2024.

בסוף החודש שעבר פורסמו בפורומים של האקרים נתונים שנקצרו ממערכות סוני. 3.14 ג'יגה-בייט של נתונים נגנבו ממערכות החברה, וזו הגיבה ואמרה שהיא חוקרת את הטענות.

"סוני חוקרת טענות על אירוע אבטחה שחוותה", אישרה סוני בהצהרה, "אנו עובדים עם מומחי זיהוי פלילי של צד שלישי וזיהינו פעילות בשרת יחיד הממוקם ביפן, המשמש לבדיקות פנימיות עבור עסקי הבידור, הטכנולוגיה והשירותים (ET&S)". הדובר סיים באומרו, כי "לא הייתה כל השפעה שלילית על הפעילות של סוני".

בעבר פרסמנו כי נתוניהם הרפואיים הרגישים של מיליוני אמריקנים נגנבו, לאחר שהאקרים ניצלו פגיעות של יום אפס בתוכנת העברת הקבצים הפופולרית MOVEit. ההאקרים ניצלו את הפגיעות ותקפו מערכות IT המופעלות על ידי יבמ (IBM). מחלקת מדיניות הבריאות והמימון של קולורדו, ה-HCPF, האחראית על ניהול תוכנית Medicaid של המדינה, הייתה גם היא קורבן למתקפה "המונית" על MOVEit, אז נחשפו הנתונים של יותר מארבעה מיליון חולים ומטופלים. הפריצה השפיעה גם על המחלקה לשירותים חברתיים של מיזורי, ה-DSS, אם כי מספר האנשים שנפגעו לא ידוע. פרסום המתקפה על קולורדו הגיע ימים ספורים לאחר שמחלקת ההשכלה הגבוהה של המדינה דיווחה כי היא חוותה מתקפת כופרה, במסגרתה ההאקרים השיגו גישה והעתיקו נתונים מ-16 השנים האחרונות מהמערכות שלה. אוניברסיטת קולורדו אישרה גם היא בחודש שעבר כי סבלה מפריצת נתונים הקשורה ל-MOVEit, וזו השפיעה על עשרות אלפי סטודנטים וסגל אקדמי. גם PH Tech, חברה המספקת שירותי ניהול נתונים למבטחי בריאות בארה"ב, אישרה כי היא נפגעה מהפריצות של MOVEit, והמתקפות עליה השפיעו על המידע הבריאותי של 1.7 מיליון תושבי אורגון.

בעבר דיווחנו כי יותר מחודשיים לאחר שדבר הפריצה נחשף בראשונה, על ידי פרוגרס סופטוור ממסצ'וסטס, מצעד הקורבנות לא מאט. הפריצה ל-MOVEit חמורה משחשבו: פגעה ביותר מ-600 ארגונים ו-40 מיליון איש.