הערכות: אירוע הפרצה בשרתי מיקרוסופט יסלים
מה שהחל כקמפיין ריגול סיני חשאי, המכוון לקורבנות ספציפיים, באמצעות ניצול פגיעויות בתוכנת הדואר האלקטרוני של מיקרוסופט, עלה מדרגה לפריצה עולמית הרסנית, שפגעה - או תפגע – במאות אלפי קורבנות, עסקים וגופים במגזר הציבורי בארה''ב ומחוצה לה, כך העריכו השבוע מומחי אבטחה
מה שהחל כקמפיין ריגול סיני חשאי, המכוון לקורבנות ספציפיים, באמצעות ניצול פגיעויות בתוכנת הדואר האלקטרוני של מיקרוסופט, עלה מדרגה לפריצה עולמית הרסנית, שפגעה – או תפגע – במאות אלפי קורבנות, עסקים וגופים במגזר הציבורי בארה"ב ומחוצה לה, כך העריכו השבוע מומחי אבטחה.
CISA, הסוכנות לאבטחת סייבר ותשתיות של ארה"ב, פרסמה התראה בטוויטר, ובה קראה ל"כל הארגונים, בכל המגזרים, לפעול לפי ההנחיות לטיפול בניצול הבינלאומי הנרחב של נקודות התורפה שהתגלו". עם זאת, מומחים אמרו, כי מאז שהענקית מרדמונד הסבה את תשומת הלב לפגיעויות, "נוצר שיטפון" של מתקפות, חלקן מגיע לא מהאקרים שלוחי מדינה, כי אם מקבוצות פשיעה – הממהרות לפגוע בקורבנות לפני שהם מאבטחים את מערכותיהם. כך, רשות הבנקאות האירופית הודיעה השבוע, כי נפגעה מהפגיעויות, והייתה בכך לגוף הבולט הראשון שחשף זאת בפומבי. "סביר כי הם לא יהיו האחרונים להיפגע, או לעדכן שהם נפגעו", ציינו מקצועני אבטחה. אחרים העריכו, כי ארגונים שלא התקינו את הטלאים שמיקרוסופט הנפיקה בשבוע עבר "כבר נפגעו על ידי שחקן איום אחד או יותר".
"ככל שהאירועים הללו הולכים ומתפשטים, הנושא הזה יהפוך לאירוע משברי עבור ארגונים בעלי משאבים מועטים", הזהיר ג'ון הולטקוויסט, סגן נשיא למודיעין איומים של מנדיאנט מבית פייראיי (FireEye).
אנשי Unit 42, גוף המחקר של פאלו אלטו, הנפיקו דו"ח מיוחד, שבו נכתב כי "יותר מ-20,000 ארגונים בארצות הברית ועשרות אלפי ארגונים באירופה ובאסיה נפגעו מהנוזקה שהוטמנה בעדכון התוכנה של מיקרוסופט. יש כבר כאלה המתארים אותה כ-SolarWinds הבאה. הנוזקה הותקנה כדלת אחורית בתיקונים לשרת המייל Exchange של מיקרוסופט". החוקרים העריכו, כי נותרו יותר מ-125,000 שרתי Exchange לא מעודכנים, העלולים להזמין תקיפות". לדבריהם, "ניתן היה לפגוע אפילו במערכות מעודכנות, כיוון שנעשה שימוש בחולשות אבטחה אלו באופן פעיל במשך חודשיים לפחות, לפני שתיקוני האבטחה היו זמינים". לפי החוקרים, חמש המדינות עם המספר הגבוה ביותר של שרתי Exchange פגיעים הן: ארה"ב – 33,000, גרמניה – 21,000, בריטניה – 7,900, צרפת – 5,100 ואיטליה – 4,600.
כך, מחקר של ESET העלה, כי יותר מעשר קבוצות תקיפה שונות מנצלות את הפגיעויות כדי לתקוף את שרתי הדוא"ל. החוקרים זיהו יותר מ-5,000 שרתי דוא"ל שהושפעו מהפעילות הזדונית הקשורה לאירוע. השרתים שייכים לארגונים – עסקיים וממשלות כאחד, מרחבי העולם, כולל פרופילים גבוהים. "לפיכך, האיום אינו מוגבל רק לקבוצת התקיפה שעליה דווח כמנצלת העיקרית של הפגיעות, הפניום (Hafnium)". מתיה פאו, חוקר ב-ESET, הסביר, כי "יום לאחר ששוחררו התיקונים התחלנו לראות תוקפים סורקים שרתי Exchange פגועים. מעניין לדעת, שכל הקבוצות מתמקדות בריגול, למעט קבוצה אחת שמתמקדת בקמפיינים של כריית מטבעות. ככל הנראה נבחין ביותר ויותר תוקפים, כולל מפעילי מתקפות כופר, שמשיגים גישה לשרתים הללו במוקדם או במאוחר". החוקרים הבחינו, כי חלק מקבוצות התקיפה ניצלו את הפגיעויות עוד לפני ששוחררו התיקונים. בין קבוצות האיום החוקרים זיהו את: Tick, LuckyMouse, Calypso, Webstiic, Winnti Group, Tonto Team, ShadowPad Activity ועוד.
מומחי אבטחה ציינו, כי בעוד שמיקרוסופט פרסמה תיקון בשבוע שעבר כדי לאתר פגמים בתוכנת הדוא"ל שלה, הרי שעדיין לא טופלה הבעיה שמשאירה דלת אחורית פתוחה, שיכולה לאפשר גישה לשרתים שנפגעו ולקבע את המשך ההתקפות.
מיד עם היוודע דבר הפירצה והפריצה עלה החשד, כי את המעשה ביצעו האקרים סינים, שהפעילו מערכות שהדביקו באופן אוטומטי מאות אלפי שרתי Exchange של מיקרוסופט. כך, הפגיעות התפשטה יותר מאשר פריצת הענק הרוסית בסייבר, שנחשפה בדצמבר. בשל הפריצה נוצרו ונותרו ערוצים לגישה מרחוק עבור ההאקרים, שעשו זאת לחברות אשראי והלוואות, לרשויות ממשלתיות ועירוניות, כמו גם לעסקים בינוניים וקטנים רבים – כך עולה מסיכום ביניים של החקירה. הפריצות נמשכו גם השבוע, למרות עדכוני ההטלאה שמיקרוסופט הנפיקה בנוהל חירום בשבוע שעבר.
לפני כשבועיים מסרה מיקרוסופט כי האקרים סינים, שלוחי הממשל בבייג'ינג, ניצלו באג ב-Exchange – שרת המייל של מיקרוסופט – כדי לתקוף באופן ממוקד ארגונים בארצות הברית. מומחים הזהירו, שהתקיפה עלולה להשפיע גם על מאות אלפי ארגונים בעולם, כולל בישראל. חוקרי הענקית מרדמונד ציינו, שהקבוצה "מיומנת ומתוחכמת מאוד", ושהיא ניסתה לגנוב מידע מכמה יעדים אמריקניים, בהם אוניברסיטאות, קבלני ביטחון, משרדי עורכי דין וחוקרי מחלות זיהומיות. מומחי אבטחה ציינו, שגופים נוספים כוללים ארגוני סיוע ופיתוח בינלאומיים, פורומים וגופי חשיבה לא ממשלתיים ומכוני מחקר בנושאים שונים.
לפי החברה, קבוצת הפריצה, שאותה היא מכנה Hafnium, הצליחה להערים על שרתי ה-Exchange כדי לקבל גישה אליהם. לאחר מכן התחזו ההאקרים כמי שאמורה להיות להם גישה, ואז הם יצרו דרך לשלוט בשרת מרחוק, כדי לגנוב נתונים מרשת הארגון. מהענקית מרדמונד נמסר, כי קבוצת ההאקרים ממוקמת בסין, אולם היא פועלת באמצעות שרתים פרטיים וירטואליים מושכרים בארצות הברית – מה שעוזר לה להימנע מזיהוי.
כאמור, מומחי אבטחה העריכו, שלאור הפריסה הנפוצה של השרתים, היקף הגופים שעלולים להיפגע מכך עומד על מאות אלפים רבים, עם עשרות מיליוני משתמשים. יצוין שבישראל יש 19,933 שרתים כאלה. מומחים הזהירו שמתקפות נוספות צפויות מכיוונם של האקרים אחרים.
תגובות
(0)