"מתקפות עלולות לנצל פגיעויות גם במערכות הכי מתקדמות"

"הפריצה לרשת הפנימית של TeamViewer על ידי קבוצת ה-APT הרוסית Midnight Blizzard (סופת שלגים של חצות) מדגישה את הקריטיות של אבטחת המידע, בעיקר בחברות טכנולוגיה שמספקות שירותים ללקוחות. יש להכיר בכך שמתקפות מתקדמות עלולות לנצל פגיעויות גם במערכות המתקדמות ביותר שקיימות כיום", כך אמר עידן מליחי, חוקר אבטחה בסייפוקס.

מיקרוסופט שלחה בסוף השבוע סבב הודעות שני, חדש, לעוד לקוחות שלה, ובו הזהירה אותם כי קבוצת האקרים רוסית השיגה גישה לרשומות המייל שלהם. הכוונה היא ל-TeamViewer, קבוצה שעל פי גורמי ביון מערביים פועלת בחסות הקרמלין.

הפריצה התרחשה בסוף נובמבר 2023 והענקית מרדמונד זיהתה אותה ב-12 בינואר השנה. היא פרסמה את היקף תקרית הסייבר במרץ 2024, ואז מסרה כי הקבוצה השיגה גישה לכמה חשבונות דוא"ל של תאגידים, כהמשך לגישה שהושגה ל-"בכירה בהנהלת החברה שלנו, חברי צוות אבטחת הסייבר, פונקציות משפטיות ואחרות".

לדברי מליחי, "קיימות עדיין חברות רבות, בארץ ובחו"ל, שלא מכירות בהכרח להשתמש בטכנולוגיות אבטחת מידע בארגון שלהן. התקיפה הזו מעלה חששות לגבי השימוש הנרחב ב-TeamViewer בסביבות עסקיות ופרטיות, בעיקר בשל העובדה שהיא מעניקה גישה מרחוק למערכות קריטיות ששומרות מידע רגיש על החברה".

חשוב להגיב מהר ולהשתמש בתוכנות ניהול הטלאות

"במקרה זה, של פריצה לארגון, תגובה מהירה ויעילה של צוותי האבטחה בארגון הינה קריטית ביותר על מנת להגן על נכסי החברה", ציין מליחי. "יתרה מכך, חשוב להשתמש בתוכנות ניהול הטלאות, על מנת להיות מעודכנים בגרסאות המעודכנות ביותר".

"בנוסף", אמר, "יש להגביל הרשאות לכמה שיותר משתמשים בארגון, וזאת בהתאם לצרכים העסקיים. עוד יש לבצע ביקורת תקופתית על הרשאות משתמשים ומנהלים". לצד זאת, ציין, "נדרש לערוך מבדקי חדירה – פנימיים וחיצוניים, על מנת לזהות כמה שיותר פגיעויות בארגון, ולבצע הערכת סיכונים שוטפת, ועל בסיסה להטמיע אמצעי הגנה בהתאם".

לסיכום הוא אמר כי "ההמלצה החשובה ביותר היא לעקוב אחרי ההתפתחויות הקשורות לפריצה הספציפית, וללמוד ממנה, כדי לשפר את מערכות ההגנה והתגובה לאירועי אבטחת מידע".

מי את, סופת שלגים של חצות?

כאמור, מיקרוסופט הודיעה במרץ השנה כי קבוצת ההאקרים, שפועלת בחסות הביון הרוסי, מנסה לפרוץ למערכות שלה באמצעות נתונים שנגנבו בפריצה קודמת, שאירעה חודשיים קודם, ולפני ימים אחדים הודיעה על כך שוב. "המתקפה המתמשכת של Midnight Blizzard מאופיינת במחויבות מתמשכת ומשמעותית עם ניצול משאבי תקיפה גדולים, תוך השקעה גם בתיאום המתקפות ובמיקוד של שחקן האיום", ציינה מיקרוסופט. על פי החברה, "ייתכן שחברי הקבוצה משתמשים במידע שהשיגו (בעבר – י"ה) כדי לשפר את יכולת התקיפה שלהם. הפעילות הזו משקפת את מה שהפך באופן רחב יותר לנוף איומים גלובלי חסר תקדים".

בינואר השנה, מיקרוסופט הודיעה שמיילים של מנהלים בחברה נפרצו על ידי קבוצת האקרים רוסית, שאותם היא זיהתה כחברי קבוצת הביון נובליום (Nobelium), שאחראית על הפריצה רחבת ההיקף שבוצעה נגד סולארווינדס ב-2020.

מיקרוסופט לא הייתה הקורבן היחיד של ההאקרים ממוסקבה: בינואר האחרון, HPE חשפה כי נפגעה ממתקפה של Midnight Blizzard בשנה שעברה.

Midnight Blizzard היא קבוצת APT29, שנתמכת על ידי ממשלת רוסיה וידועה גם בשם Cozy Bear (דובי חמים ונעים). הקבוצה מקושרת ל-SVR, שירות ביון החוץ של רוסיה, ולעתים גם ל-FSB, שירות הביטחון הפדרלי, ה-"יורש" של הקג"ב.

זמן מה לאחר חשיפת הפריצה לסולארווינדס קבעו גורמי ביון מערביים שהקבוצה היא זו שאחראית למתקפת הסייבר הענקית, אף שמוסקבה, כצפוי, הכחישה זאת כמה פעמים. הקבוצה הייתה מעורבת גם בפריצה למחשבי המפלגה הדמוקרטית בארצות הברית במהלך המרוץ לנשיאות ב-2016 וביצעה קמפיין פישינג שהתמקד במפלגות פוליטיות מגרמניה.