מיקרוסופט הזהירה: עוד לקוחות נפגעו מפריצת האקרים רוסים אלינו

מיקרוסופט (Microsoft) שלחה סבב הודעות שני, חדש, לעוד לקוחות שלה ובו הזהירה אותם כי קבוצת האקרים רוסית השיגה גישה לרשומות המייל שלהם.

הפריצה התרחשה בסוף נובמבר 2023, והענקית מרדמונד זיהתה אותה ב-12 בינואר השנה. היא פרסמה את היקף תקרית הסייבר במרץ 2024, ואז מסרה כי הקבוצה, הפועלת בחסות הקרמלין, השיגה גישה לכמה חשבונות דוא"ל של תאגידים, כהמשך לגישה שהושגה ל"בכירה בהנהלת החברה שלנו, חברי צוות אבטחת הסייבר, פונקציות משפטיות ואחרות".

דובר של מיקרוסופט אמר בסוף השבוע כי סבב הודעות שני נשלח לארגונים, המוזכרים במיילים אליהם ניגשו ההאקרים הרוסים. חלק מהארגונים הללו כבר קיבלו הודעה לפני כמה שבועות בעקבות החשיפה הראשונית, בעוד שאחרים קיבלו אותה באחרונה.

כמה סוכנויות ממשל אמריקניות הושפעו מהאירוע, מה שהוביל לכך ש-CISA, הסוכנות האמריקנית לאבטחת סייבר ותשתיות, הזהירה את אותם גופים פדרליים וקראה להם לאפס את אישורי הגישה שלהם ולערוך ניטור וניתוח של תקשורת הדוא"ל שלהן.

מיקרוסופט לא מסרה כמה מלקוחותיה הארגוניים קיבלו הודעות אזהרה שכאלה, בשני סבבי ההתרעות.

מיקרוסופט הודיעה במרץ השנה כי קבוצת ההאקרים Midnight Blizzard ("סופת שלג בחצות הליל"), הפועלת בחסות הביון הרוסי, מנסה לפרוץ למערכות שלה באמצעות נתונים שנגנבו בפריצה קודמת, מינואר השנה.

ממשיכה לשלוח האקרים מטעמה. רוסיה. צילום: אילוסטרציה. Shutterstock

הפרשה הציפה דאגה לאבטחת השירותים והמערכות של מיקרוסופט

אנליסטים הביעו דאגה בנוגע לאבטחת השירותים והמערכות של מיקרוסופט, המספקת שירותי דיגיטל ותשתיות IT לממשל בארה"ב.

לפי הודעת מיקרוסופט, נצפו עדויות לכך שהאקרים מנסים להשיג גישה לא מורשית למערכותיה. "הניסיונות כללו גישה לכמה ממאגרי קוד המקור והמערכות הפנימיות של החברה. נכון לעכשיו, לא מצאנו כל עדות לכך שמערכות של לקוחות שמתארחות אצלנו – נפגעו", אמרה מיקרוסופט. בחברה הוסיפו כי "קבוצת ההאקרים מנסה לעשות שימוש בסודות שונים שהיא מצאה. עידכנו את המשתמשים המושפעים מהפריצה".

לפי החברה, חברי הכנופייה הגדילו והגבירו כמה מההיבטים של המתקפה: כך, למשל, היקף המתקפות מסוג "ריסוס סיסמאות", גדל פי עשרה בפברואר, בהשוואה להיקף בינואר. במתקפה מסוג ריסוס סיסמה, שחקן האיום מנסה להשמיש את אותה סיסמה בכמה חשבונות, לפני שהוא עובר לחשבון אחר. כך, התוקפים יכולים להימנע מזיהוי שלהם.

"המתקפה המתמשכת של Midnight Blizzard מאופיינת במחויבות מתמשכת ומשמעותית עם ניצול משאבי תקיפה גדולים, תוך השקעה גם בתיאום המתקפות ובמיקוד של שחקן האיום", אמרה מיקרוסופט. "ייתכן שחברי הקבוצה משתמשים במידע שהשיגו (בעבר) כדי לשפר את יכולת התקיפה שלהם. הפעילות הזו משקפת את מה שהפך באופן רחב יותר לנוף איומים גלובלי – חסר תקדים".

בינואר השנה, מיקרוסופט הודיעה כי מיילים של מנהלים בחברה נפרצו על ידי קבוצת האקרים רוסית, אותם זיהתה כחברי קבוצת הביון נובליום (Nobelium), האחראית על הפריצה רחבת ההיקף שבוצעה נגד סולארווינדס (SolarWinds) ב-2020. "בסוף נובמבר האחרון, הקבוצה ניגשה לחשבון בדיקה שאינו פעיל, ומשם השיגה גישה לאחוז קטן מאוד מחשבונות הדוא"ל הארגוניים של מיקרוסופט, כולל מנהלים בכירים ועובדי סייבר – והוציאה כמה מיילים ומסמכים מצורפים". ב-2021 הקבוצה פעלה פעמיים כנגד הענקית מרדמונד.

מיקרוסופט לא הייתה הקורבן היחיד של ההאקרים ממוסקבה: בינואר השנה, HPE חשפה כי נפגעה ממתקפה של Midnight Blizzard בשנה שעברה.

אנליסטים ציינו כי מיקרוסופט עומדת בפני בדיקה רגולטורית ההולכת וגדלה, על אבטחת התוכנה והמערכות שלה מפני איומים זרים. באירוע נפרד מזה המדווח, קבוצת פריצה סינית פרצה למערכות מיקרוסופט בשנה שעברה וגנבה עשרות אלפי מיילים של ממשלת ארה"ב – ממשרד החוץ. שתי פריצות אלו הובילו לכך שבראד סמית, נשיא מיקרוסופט, אמר ש"החברה עובדת על שיפוץ נוהלי האבטחה שלה… האצנו את הרפורמה בשיטות האבטחה שלה במסגרת תוכנית Secure Future Initiative".

In response to cyber threats, Microsoft is prioritizing security over AI, as announced by CEO Satya Nadella. The Secure Future Initiative aims to enhance cybersecurity and integrate security efforts into employee compensation.#responbsibleai #microsoftsecurity pic.twitter.com/uA6CambcIC

— Boaz Ashkenazy (@boazashkenazy) June 28, 2024

הרבה שמות לאותה קבוצה?

למעשה מיקרוסופט מכנה בשם Midnight Blizzard את קבוצת APT29, הנתמכת על ידי ממשלת רוסיה וידועה גם בשם Cozy Bear ("דובי חמים ונעים"). הקבוצה מקושרת ל-SVR, שירות ביון החוץ של רוסיה, ולעיתים גם ל-FSB, שירות הביטחון הפדרלי, ה"יורש" של הקג"ב.

זמן מה לאחר חשיפת הפריצה לסולארווינדס, קבעו גורמי ביון מערביים כי הקבוצה היא האחראית למתקפת הסייבר הענקית, אף שמוסקבה, כצפוי, הכחישה זאת כמה פעמים. הקבוצה הייתה מעורבת גם בפריצה למחשבי המפלגה הדמוקרטית בארה"ב במהלך המרוץ לנשיאות ב-2016.

במרץ השנה, חוקרי מנדיאנט (Mandiant) מבית גוגל פרסמו פרטים על קמפיין דיוג של הקבוצה, שהתמקד במפלגות פוליטיות מגרמניה. "בהתבסס על ההיסטוריה של הביון הרוסי, הפעילות של קבוצת האיומים הזו מייצגת איום רחב על מפלגות פוליטיות אירופיות ומערביות אחרות, מכל הקשת הפוליטית", מסרו אז החוקרים.

#TeamViewer updated their public statement https://t.co/NzzXKIxZUH pic.twitter.com/07UN9L5CnH

— Florian Roth (@cyb3rops) June 28, 2024

גם TeamViewer נפרצה בידי Midnight Blizzard

יצוין כי גם TeamViewer – המספקת פתרונות גישה מרחוק לשולחן העבודה – הודיעה בשבוע שעבר כי קבוצת Midnight Blizzard התליחה להשיג גישה לרשת הארגונית שלה, באמצעות אישורי עובדים שנפגעו.

לפי הצהרה שפרסמה החברה ביום ה', יום קודם לכן, צוות האבטחה שלה זיהה "אי-סדירות בסביבת ה-IT הפנימית של TeamViewer". עם זאת לטענת החברה סביבת המוצר ונתוני הלקוחות שלה לא הושפעו. החברה עדכנה כי פתחה מיד בחקירה ולמען השקיפות תשתף פרטים נוספים ככל שיהיו זמינים.

TeamViewer סיפק פרטים נוספים יותר ביום ו', ועדכנה כי צוות האבטחה שלה פועל עם שותפים "24/7" כדי לחקור את המתקפה וכי הוא נמצא בקשר מתמיד עם ספקי מודיעין איומים וכן עם הרשויות הרלוונטיות.

TeamViewer, כאמור, קשרה את המתקפה ל-Midnight Blizzard, וכן טענה כי המתקפה "קשורה לאישורים של חשבון עובד רגיל" בתוך סביבת הרשת הארגונית שלה.

"בהתבסס על ניטור אבטחה מתמשך, הצוותים שלנו זיהו התנהגות חשודה של החשבון הזה והפעילו מיד צעדי תגובה לאירועים. יחד עם התמיכה החיצונית שלנו בתגובה לאירועים, אנו מייחסים כרגע את הפעילות הזו לשחקן האיום המכונה APT29/Midnight Blizzard", ציינו בחברה שהמשיכה והתעקשה כי "בהתבסס על הממצאים הנוכחיים של החקירה, המתקפה הוכלה בתוך סביבת ה-IT הארגונית, ואין ראיות לכך ששחקן האיום השיג גישה לסביבת המוצר שלנו או לנתוני הלקוחות שלנו".

בכתיבת הכתבה השתתפה גלי פיאלקוב