לא רק ארה"ב: "ארגונים רבים בישראל נפרצו במתקפת הענק"
בועז דולב, מנכ''ל קלירסקיי, ציין כי גם חברות ישראליות נפלו קורבן למתקפת הסייבר רחבת ההיקף שערכו האקרים רוסים על גופים וארגונים אמריקניים ● בראיון לאנשים ומחשבים הוא מביע פסימיות רבה, ואומר שארגונים צריכים לחשב מסלול מחדש בכל הנוגע לאבטחה
"לפני כמעט שנה הוצאנו את הדו"ח השנתי המסכם שלנו, וכתבנו בו, שחור על גבי מסך מחשב, כי 'ארגונים רבים בישראל נפרצו', אולם לא ציינו אילו חברות ובאילו מגזרי פעילות. לכן, כאשר אני שומע בתקשורת על 'גל חדש' של מתקפות סייבר, אני נעצב ומעט מחייך: 'גל חדש' זו שטות – אנחנו מדברים על אותו הגל, אלא שזמן הגילוי של החדירה משתנה מחברה אחת לשנייה. ההאקרים תוקפים כבר כמה חודשים, אבל יש חברות שמגלות זאת בתוך זמן קצר יחסית, כמו פייראיי, ויש כאלה שמשך הגילוי אורך בהן זמן רב", כך אמר בועז דולב, מייסד ומנכ"ל קלירסקיי.
דולב אמר את הדברים בראיון לאנשים ומחשבים בעקבות הפרסומים מאמש (ג'), שלפיהם מספר החברות וגופי הממשל האמריקניים שנפגעו מגל המתקפות הרוסיות האחרון גדול יותר משדווח בהתחלה ועומד על מעל 500. על רשימת הקורבנות נמנים גם ה-NSA וקבלנים שעובדים עם הפנטגון. מדבריו של דולב עולה שמדובר בחלק מגל תקיפה, שגם חברות בישראל נפלו קורבן אליו.
"סוג של קריסה של עולם האבטחה הארגונית"
דולב ציין כי "כל מערכות ההגנה של ימינו לא יודעות לטפל בהפצה של עדכון תוכנה לגיטימי, שמגיע מחברת תוכנה. הסיבה לכך היא שאנחנו בוטחים בעדכוני התוכנה הללו, מקבלים ואז מתקינים אותם. ההאקרים הרוסים מנצלים את החולשה הזו לא מעכשיו, אלא כבר מ-2016 ואולי עוד קודם לכן, והם עושים זאת כדי לחדור לרשתות ארגונים בעולם. ב-2016 הם השתלטו על תוכנת הנהלת חשבונות אוקראינית ודרכה הזריקו יכולות להצפנה ולמחיקת נתוני חברות. המודוס אופרנדי, דפוס הפעילות, שלהם הוא להתמקד בחברות המספקות תוכנה, או בעדכוני התוכנות. כך היה גם במקרים האחרונים, של פייראיי ושל סולאר-ווינדס, שמערכות של שתיהן מותקנות בגופי ממשל רבים בארצות הברית".
"אין כיום מנגנון שמסוגל לבדוק את הקוד המגיע לארגון מכל עדכון תוכנה מספק לגיטימי", ציין דולב. "המשמעות היא שכל מערך המחשוב הארגוני נשען על הנחות יסוד שמאוד קשה לטפל לפיהן. לכך יש להוסיף שקשה לבצע את ההגנה ההיקפית הרגילה, כי ארגונים רבים פתוחים לרשת. עוד מכשלה היא העובדה שארגונים מאחרים להטליא טלאים, וכך חושפים עצמם לחדירה. כך, יש מצב, בסוף 2020, שבו ארגון מתקשה מאוד להגן על עצמו – ודאי אם זו מתקפה ממוקדת: מפייראיי, דרך הממשל האמריקני ועד שירביט".
הוא הוסיף כי "ברור שנדרש לנקוט אמצעי אבטחה בסיסיים, אבל גם ברור לחלוטין שאנחנו נמצאים בסוג של קריסה של האבטחה הארגונית: היכולת להגן על מערך נכסים ממחושבים של חברות לא עובדת. יש לבצע חשיבה מחדש איך מגנים על המערכות".
"מערכי ההגנה נכשלו"
דולב אמר כי "אני מאוד מאוכזב מכך שאחרי שמונה שנים שבהן אלפי חברות מפתחות הגנה מפני פריצות, הסיכון עדיין גבוה מדי – מה שמעיד שמערכי ההגנה נכשלו. לא הצלחנו להגיע למצב של הגנה הגיונית, כמו שצריך, על ה-'יהלומים' – הנכסים שבתוך המערכות הארגוניות".
הוא הזכיר הערכה שביצעה קלירסקיי ב-2010 של מה שיקרה בעולם האבטחה והסייבר עד 2020. "אז הנחנו שבסוף 2020 נהיה במצב שבו החורים המרכזיים ייסתמו ואירועי הסייבר המרכזיים יסתיימו. שיערנו שבחלון זמן של עשור, ארגונים יהיו במצב קשה, אבל כנראה טוב יותר משהיו אז. כעת, אני הרבה פחות אופטימי ממה שהייתי ב-2010", אמר.
"יש לבצע ניהול סיכונים מחודש", המליץ דולב. "אם יש נכסים שחייבים להבטיח ב-100% שלא ידלפו – יש לנתק אותם לחלוטין מהאינטרנט, זה שמרני אך מחויב המציאות. גם שמירה על כל הנכסים הארגוניים בענן מחייבת התייחסות נוספת".
הוא סיכם באומרו כי "אם חברות פשיעה רוסית יתחילו להשתמש בשרשרת האספקה לצורך הפצת כופרות, נהיה במצב קשה – אבל עוד לא הגענו לשם. ייתכן שמישהו יחליט שזה יהיה השלב הבא בפשעי הסייבר, ואז 2021 תהיה בעייתית עוד יותר מ-2020".
"אחת ממתקפות שרשרת האספקה הגדולות"
עדי פרץ, מנהל טכנולוגי בטרנד מיקרו ישראל, כינה את אירוע הסייבר הנוכחי "מתקפה אדירה בגודלה על ארצות הברית. מדובר ללא ספק באחת ממתקפות שרשרת האספקה הגדולות ביותר בשנים האחרונות. הדבר מצביע על התחכום ועל היכולות הגבוהות של התוקפים, שהצליחו, בין השאר, להסוות את הקוד העוין בתוך עדכון חתום דיגיטלית, מבלי לשנות את החתימה של הקובץ, ובכך להתחמק מזיהוי".
עדי פרץ, מנהל טכנולוגי בטרנד מיקרו ישראל. צילום: שי הנסב
בניגוד לדולב, הוא אמר כי "המתקפה יצאה מגבולות ארצות הברית והיו אינדיקציות שהיא פגעה גם ברחבי אסיה, אירופה ודרום אמריקה, אבל לא ראינו אינדיקציות לקורבנות בישראל – לפחות לא מקרב לקוחותינו".
פרץ סיים בכמה המלצות לארגונים: "לנטר גישה לדומיינים שמתאימים לפרופיל של התוקף; לעקוב אחרי הודעות של סולאר-ווינדס; אם ארגונים עושים שימוש באפליקציית DOU לצורך הזדהות, הוא ממליץ לבצע איפוס של כל המפתחות הסודיים (Secret keys) שנוצרו בעת רישום החשבונות להזדהות; לבצע איפוס סיסמה למשתמשים פריבילגיים בארגון, כי מדובר בתוקף מתוחכם, שמשתמש בהרשאות אדמיניסטרטיביות; אם הארגון משתמש בשרתי אקסצ'יינג' מקומיים, מומלץ להגביר את הניטור שלהם, על ידי התקנה של סוכן ניטור כגון EDR או הפעלה של לוגים נוספים".
בועז ועדי, מעניין מאוד. ישר כח
חומר למחשבה. אולי כדאי לקחת דוגמה מ Apple של לפני שנים. מערכת ההפעלה בMacintosh התבססה על קוד צרוב ב ROM. כל הפונקציות הבסיסיות צרובות. אי אפשר לשתול קוד זדוני. לא היו וירוסים למק. כל זה השתנה לרעה עם המעבר למעבד של אינטל. חברת אפל מטפלת בעידכונים והמשתמש כמעט ולא חש בעדכוני מערכת.