עוד קורבן לפריצת הענק: מערכת בתי המשפט האמריקנית
מערכת ניהול התיקים והגשת התיקים האלקטרונית של הרשות השופטת בארה''ב מצטרפת לעוד יעד שנפרץ – משרד המשפטים ● סולאר-ווינדס שכרה את כריס קרבס, ראש ה-CISA לשעבר, ואלכס סטאמוס, לשעבר מנהל האבטחה הראשי של פייסבוק, לשירותה
מערכת ניהול התיקים והגשת התיקים האלקטרונית של הרשות השופטת בארה"ב נפלה קורבן לפריצת הענק הרוסית, כך דווח בסוף השבוע.
מדובר במערכת המקבילה במהותה למערכת נט-המשפט הישראלית. המערכת סבלה מ"פריצה לכאורה", כחלק מהפריצה שהתבססה על החדרת נוזקה לתוכנת אוריון לניהול הרשת של סולאר-ווינדס (SolarWinds), כך נמסר ממינהל בתי המשפט בארה"ב.
המשרד בחן את היקף הנזק וההשפעה של הפריצה, ובשלב הראשון הוא הגביר את אמצעי האבטחה על המערכות שלו. "הדאגה העיקרית של הרשות השופטת הפדרלית חייבת להיות אמון שלם וכולל של הציבור בהפעלתם ובניהולם של בתי המשפט שלה", אמר ג'יימס דאף, מזכיר הגוף לקביעת המדיניות הלאומית של הרשות השופטת.
"חשש מחשיפת מסמכים רגישים מאוד שאינם ציבוריים"
אנליסטים ציינו כי בתי המשפט הפדרליים מהווים מכרה זהב פוטנציאלי עבור האקרים, כיוון שהם מציגים נתונים רגישים אודות מיליוני אנשים. במנהל בתי המשפט אמרו כי הם עובדים על בקרת האבטחה יחד עם חוקרי המשרד להגנת המולדת, כדי לבדוק את מידת הפגיעות של מערכת התיוק האלקטרוני שלה, "בשל החשש מחשיפת מסמכים רגישים מאוד שאינם ציבוריים", במיוחד הגשות של מסמכים או תביעות שהם חתומים. הרשות השופטת השביתה את השימוש בתוכנת אוריון, הן ברמה הלאומית והן ברמת המדינות.
בשל הפריצה, בתי משפט פדרליים יקבלו רק הגשות של מסמכים רגישים ביותר בצורת נייר, או באמצעות מכשירים אלקטרוניים מאובטחים, והם לא יעלו מסמכים אלה למערכת ניהול התיקים האלקטרונית.
CISA, הסוכנות לאבטחת סייבר ותשתיות במשרד להגנת המולדת, הוציאה התראה נוספת, על נזקי משנה פוטנציאליים בשל הפריצה. "יש לנו ראיות לכך שקיימים וקטורי גישה ראשוניים (למערכות שהותקפו – י"ה), שאינם פלטפורמת אוריון של סולאר-ווינדס, וזיהינו שימוש לרעה בחשבונות לגיטימיים – כאחד הווקטורים הללו", נמסר מהסוכנות. באמצעות הטכניקה החדשה, ציינו ב-CISA, ההאקרים משתמשים בתגובת הקורבנות לאירוע – כאמצעי לפרוץ. "יתכן שאימות החשבון יכול להתרחש מחוץ לתשתית הידועה בארגון וייתכן שהאימות לא ייראה על ידי בעלי המערכת", הבהירו בסוכנות.
גם במשתמשי אופיס 365 במשרד המשפטים
משרד המשפטים האמריקני הצטרף בשבוע שעבר לרשימה ההולכת וגדלה של קורבנות קבוצת ההאקרים הרוסית APT29. התוקפים הצליחו להשיג גישה לחשבונות הדואר האלקטרוני של עובדי משרד המשפטים המשתמשים באופיס 365 של מיקרוסופט (Microsoft).
משרד המשפטים מסר כי ייתכן שהם השיגו גישה ל"בסביבות 3%", מחשבונות המשרד, כך לפי מארק ריימונדי, דובר משרד המשפטים. המשרד מונה יותר מ-115,000 עובדים, אולם לא כל העובדים משתמשים ב-Office 365.
ריימונדי סירב לפרט כמה מהם אכן משתמשים באופיס 365. הוא ציין כי אנשי המשרד הפכו למודעים לפריצה ב-24 לדצמבר, כעשרה ימים לאחר שמשרד המסחר היה לסוכנות הפדרלית הראשונה שאישרה כי חוותה פריצה. ריימונדי ציין כי אין כל עדות לכך שמערכות מסווגות הושפעו מהפריצה, והוסיף כי האירוע מהווה "אירוע מז'ורי" על פי חוק אבטחת מידע פדרלי, המחייב את הסוכנויות שנפגעו להודיע על כך לקונגרס.
קבוצת APT29 נתמכת על ידי ממשלת רוסיה, וידועה גם בשם Cozy Bear (דובי חמים ונעים). הקבוצה מקושרת ל-SVR, שירות ביון החוץ של רוסיה, ולעתים גם ל-FSB, שירות הביטחון הפדרלי, ה"יורש" של הקג"ב.
קראבס וסטאמוס נשכרו לסייע לסולאר-ווינדס
הפריצה החלה באוקטובר 2019 וקיבלה דחיפה משמעותית במרץ 2020. פייראיי (FireEye) הייתה הראשונה לחשוף את המתקפה ואת העובדה שההאקרים חדרו למערכותיה – בתחילת דצמבר. חברות נוספות היו VMware, מיקרוסופט, סיסקו (Cisco), אינטל (Intel) ואנבידיה (Nvidia), בלקין (Belkin International), יצרנית נתבי Wi-Fi וציוד רשת ביתי, ודלויט (Deloitte).
מהממשל הפדרלי האמריקני הנפגעים רבים, בהם משרד האוצר ומינהל הטלקום והמידע הלאומי במשרד המסחר, ה-NTIA, וסוכנויות מודיעין ומשרד האנרגיה. מינהל ביטחון הגרעין הלאומי, ה-NNSA, המטפל במאגר אמצעי הלחימה הגרעיניים של ארה"ב, היווה גם הוא מטרה למתקפה, כמו גם המשרד להגנת המולדת ומשרד החוץ.
בתוך כך, סולאר-ווינדס שכרה את שירותיהם של כריס קרבס, ראש CISA לשעבר, ושל אלכס סטאמוס, לשעבר מנהל האבטחה הראשי של פייסבוק (Facebook) – כדי לסייע בתגובה לפריצה ולשפר את שיטות האבטחה שלה.
קרבס פוטר בנובמבר האחרון על ידי דונלד טראמפ, נשיא ארצות הברית. קרבס, מנהל סוכנות שהוקמה במשרד להגנת המולדת, היה בין בכירי הממשל שקבעו כי הבחירות לנשיאות "היו המאובטחות ביותר בהיסטוריה האמריקנית". באופן אירוני, הסוכנות הוקמה בעת כהונתו של טראמפ כנשיא, בנובמבר 2018, לאחר שזה טען כי בבחירות לנשיאות של 2016 – שבהן נבחר – הצביעו שלושה מיליון מהגרים בלתי חוקיים. לשני מומחי האבטחה יש היכרות עם היריב הרוסי: סטאמוס היה מנהל האבטחה של יאהו! (Yahoo!) ב-2014, כאשר האקרים רוסים פרצו לכ-500 מיליון חשבונות משתמשי החברה. סטאמוס עבד בפייסבוק במהלך הבחירות לנשיאות ארה"ב ב-2016. כזכור, הרוסים השתמשו בפלטפורמת הרשת החברתית להפצת חדשות כזב.
תגובות
(0)