האקרים רוסים פרצו למיילים של בכירי מיקרוסופט

מיילים של מנהלים במיקרוסופט (Microsoft) נפרצו על ידי קבוצת האקרים רוסית, כך הודיעה הענקית מרדמונד בסוף השבוע.

מיקרוסופט הודיעה, כי היא זיהתה את מתקפת הסייבר שבוצעה נגדה וכי התוקפים שייכים לקבוצת הביון נובליום (Nobelium), האחראית על הפריצה רחבת ההיקף שבוצעה נגד סולארווינדס (SolarWinds) ב-2020. באחרונה נכנסו לתוקף דרישות חדשות של הממשל בארה"ב בנוגע לחשיפת אירועי אבטחת סייבר. לפי החברה, "למרות שלאירוע לא הייתה השפעה מהותית על פעילות החברה, אנו עדיין רוצים לכבד את רוח הכללים החדשים".

אריק גולדשטיין, עוזר מנהל אבטחת הסייבר בסוכנות לאבטחת סייבר ותשתיות, CISA, אמר, כי "הסוכנות מתואמת באופן הדוק עם מיקרוסופט כדי לקבל תובנות נוספות על האירוע הזה ולהבין את ההשפעות. זאת, על מנת שנוכל לעזור להגן על קורבנות פוטנציאליים אחרים. בשלב זה איננו מודעים להשפעות על סביבות, מוצרים, או לקוחות של מיקרוסופט". ה-FBI וסוכנויות פדרליות נוספות שותפות בחקירה.

אין זו הפעם הראשונה שהאקרים רוסים מנסים להשיג גישה למערכות של מיקרוסופט. בפוסט בבלוג שלהם, כתבו חברי מרכז התגובה לאבטחה של מיקרוסופט, כי "בסוף נובמבר האחרון, הקבוצה ניגשה לחשבון בדיקה שאינו פעיל. לאחר שהם השיגו גישה, חברי הקבוצה ניצלו ההרשאות מהחשבון כדי לגשת לאחוז קטן מאוד מחשבונות הדוא"ל הארגוניים של מיקרוסופט, כולל מנהלים בכירים ועובדי סייבר – והוציאו כמה מיילים ומסמכים מצורפים". מיקרוסופט אמרה שאין סימנים לכך שנובליום ניגשה לנתוני לקוחות, מערכות בייצור או קוד מקור קנייני.

בספטמבר 2021 פרסמנו, כי חברי נובליום פיתחו דלת אחורית, הגונבת מידע רגיש משרתי ADFS (ר"ת Active Directory Federation Services) של מיקרוסופט. הדלת האחורית, העונה לשם FoggyWeb, היא "נוזקה שנבנתה בהתאמה אישית, פסיבית וממוקדת מאוד", וגונבת מרחוק מגוון אישורי הרשאות, תצורה ומפתחות פענוח.

ביוני 2021, חלק מכלי התמיכה בלקוחות של מיקרוסופט נפרצו על ידי קבוצת נובליום, שתקפו את סוכן שירות הלקוחות של מיקרוסופט. המתקפה הצליחה.

חודש קודם לכן, במאי 2021, קבוצת ההאקרים הרוסית פעלה שוב, לפי מיקרוסופט. ההאקרים הרוסים פצחו בקמפיין פישינג נרחב, שמטרתו לפרוץ לכ-150 ארגונים ב-24 מדינות.

קבוצת APT29 נתמכת על ידי ממשלת רוסיה וידועה גם בשם Cozy Bear (דובי חמים ונעים). מיקרוסופט מכנה אותה Midnight Blizzard. הקבוצה מקושרת ל-SVR, שירות ביון החוץ של רוסיה, ולעיתים גם ל-FSB, שירות הביטחון הפדרלי, ה"יורש" של הקג"ב. זמן מה לאחר חשיפת הפריצה לסולארווינדס, קבעו גורמי ביון מערביים, כי הקבוצה היא האחראית למתקפת הסייבר הענקית, אף שמוסקבה, כצפוי, הכחישה זאת כמה פעמים. הקבוצה הייתה מעורבת גם בפריצה למחשבי המפלגה הדמוקרטית בארה"ב במהלך המרוץ לנשיאות ב-2016.

נובליום התפרסמה בביצוע מתקפת הענק שהחלה בסולארווינדס ומשם המשיכה לעשרות סוכנויות פדרליות ולמאות ארגונים ברחבי העולם. הפריצה החלה באוקטובר 2019 וקיבלה דחיפה משמעותית במרץ 2020. פייראיי (FireEye) הייתה הראשונה לחשוף את המתקפה ואת העובדה שההאקרים חדרו למערכותיה. חברות נוספות היו VMware, מיקרוסופט, סיסקו (Cisco), אינטל (Intel) ואנבידיה (Nvidia), בלקין (Belkin International), יצרנית נתבי Wi-Fi וציוד רשת ביתי, ודלויט (Deloitte). מהממשל הפדרלי האמריקני הנפגעים רבים, בהם משרד האוצר ומינהל הטלקום והמידע הלאומי במשרד המסחר, משרד המשפטים, מערכת ניהול התיקים של הרשות השופטת, ה-NTIA, וסוכנויות מודיעין ומשרד האנרגיה. מינהל ביטחון הגרעין הלאומי, ה-NNSA, המטפל במאגר אמצעי הלחימה הגרעיניים של ארה"ב, היווה גם הוא מטרה למתקפה, כמו גם המשרד להגנת המולדת ומשרד החוץ.