הפירצה במיקרוסופט: מאות אלפי קורבנות, הבית הלבן הקים כוח משימה

הבית הלבן דחק בצוותי IT ובמפעילי רשתות מחשבים בארגונים ובספקיות שירות לנקוט בצעדים נוספים כדי לבחון האם המערכות שלהם נפגעו בשל הפירצה שנתגלתה בשרתי הדוא"ל של מיקרוסופט (Microsoft), ואמר כי תיקון התוכנה האחרון עדיין הותיר נקודות תורפה חמורות.

"זהו איום פעיל, שעדיין מתפתח, ואנחנו קוראים למפעילי הרשת לקחת אותו ברצינות רבה", אמר גורם בבית הלבן והוסיף כי גורמי ביטחון בכירים בממשל פועלים להחליט מה יהיו הצעדים הבאים שיינקטו בעקבות הפריצה.

שלשום (א') דווח כי ממשל ביידן הקים כוח משימה לטיפול בפריצה. פקיד הבית הלבן מסר כי הקמת כוח המשימה נועדה "לספק מענה מוכלל" של הממשל.

דלת אחורית עדיין מאפשרת גישה לשרתים שנפגעו

מומחי אבטחה ציינו כי בעוד שמיקרוסופט פרסמה תיקון בשבוע שעבר, כדי לאתר פגמים בתוכנת הדוא"ל שלה, הרי שעדיין לא טופלה הבעיה שמשאירה דלת אחורית פתוחה, שיכולה לאפשר גישה לשרתים שנפגעו ולקבע את המשך ההתקפות.

מיקרוסופט וגם הבית הלבן לא ציינו את היקף הפריצה. בתחילה אמרה מיקרוסופט כי מדובר בפריצה מוגבלת, אך הבית הלבן הביע בשבוע שעבר חשש מהפוטנציאל של "מספר רב של קורבנות". בעוד שבתחילה ההערכה הייתה כי כ-20 אלף ארגונים כבר נפגעו, הרי שמומחים העריכו כי בהינתן התפוצה הרחבה בעולם הארגוני של שרתי אקסצ'יינג' ותוכנות אאוטלוק של מיקרוסופט, הנתון עומד על מאות רבות של אלפים, מכלל סוגי הארגונים – מחברות אשראי, עבור בגופי ממשל פדרליים ומקומיים, וכלה בעסקים קטנים. גורו האבטחה בריאן קרבס העריך כי מספר הנפגעים בארה"ב בלבד עומד על 30 אלף, וכי הנתון אינו סופי.

הענקית מרדמונד מסרה השבוע כי היא עובדת עם הממשלה וגופי אכיפה פדרליים כדי לסייע בהדרכת לקוחות, והחברה דחקה בלקוחות המושפעים להטמיע עדכוני תוכנה בהקדם האפשרי. את מתווה המתקפה הראשונית גילה חוקר הסייבר הטייוואני הבולט צ'נג-דה צאי, שלדבריו דיווח על הפגם למיקרוסופט כבר בינואר השנה.

התפשטות גדולה יותר משלה. מתקפת הסייבר בארצות הברית. אילוסטרציה: BigStock

הפגיעות התפשטה יותר מאשר פריצת הענק הרוסית בסייבר

מיד עם היוודע דבר הפירצה והפריצה, עלה החשד כי את המעשה ביצעו האקרים סינים, אשר הפעילו מערכות שהדביקו באופן אוטומטי מאות אלפי שרתי מייל Exchange של מיקרוסופט. כך, הפגיעות התפשטה יותר מאשר פריצת הענק הרוסית בסייבר, שנחשפה בדצמבר. בשל הפריצה נוצרו ונותרו ערוצים לגישה מרחוק עבור ההאקרים, שעשו זאת לחברות אשראי והלוואות, רשויות ממשלתיות ועירוניות, כמו גם עסקים בינוניים וקטנים רבים – כך עולה מסיכום ביניים של החקירה. הפריצות נמשכו גם בסוף השבוע, למרות עדכוני ההטלאה שמיקרוסופט הנפיקה בנוהל חירום בשבוע שעבר.

אחת מהסריקות שנעשו על מנת לאמוד את היקף הבעיה העלתה כי רק 10% מהמכשירים הפוטנציאליים לפגיעה – נפגעו בפועל, אולם הנתון נמצא במגמת עלייה. כיוון שהתקנת התיקון לא פותרת את בעיית הדלתות האחוריות, פקידי ממשל בארצות הברית מנסים להבין כיצד ביכולתם להודיע לכל הקורבנות ולהדריך אותם מה הם צריכים לעשות.

מומחים שניסו לאפיין את פרופיל הארגונים שנפגעו ציינו כי נראה שאלה מריצים גרסאות אאוטלוק מקומיות ומארחים אותן במחשבים שלהם. זאת, במקום להסתמך על ספקיות ענן. הם ציינו כי ייתכן שכיוון שמדובר בגרסה מקומית ולא עננית, וכי למרות ההיקף הנרחב – הפירצה הסבה הרבה פחות נזק עבור החברות הגדולות ביותר, וכן עבור סוכנויות ממשל פדרליות.

לפני כעשרה ימים מסרה מיקרוסופט כי האקרים סיניים, שלוחי הממשל בבייג'ינג, ניצלו באג ב-Exchange – שרת המייל של מיקרוסופט – כדי לתקוף באופן ממוקד ארגונים בארצות הברית. מומחים הזהירו שהתקיפה עלולה להשפיע גם על מאות אלפי ארגונים בעולם, כולל בישראל.

חוקרי הענקית מרדמונד ציינו שהקבוצה "מיומנת ומתוחכמת מאוד", ושהיא ניסתה לגנוב מידע מכמה יעדים אמריקניים, ביניהם אוניברסיטאות, קבלני ביטחון, משרדי עורכי דין וחוקרי מחלות זיהומיות. מומחי אבטחה ציינו שגופים נוספים כוללים ארגוני סיוע ופיתוח בינלאומיים, פורומים וגופי חשיבה לא ממשלתיים, ומכוני מחקר בנושאים שונים.

לפי החברה, קבוצת הפריצה, שאותה היא מכנה Hafnium, הצליחה להערים על שרתי ה-Exchange כדי לקבל גישה אליהם. לאחר מכן התחזו ההאקרים כמי שאמורה להיות להם גישה, ואז הם יצרו דרך לשלוט בשרת מרחוק, כדי לגנוב נתונים מרשת הארגון. מהענקית מרדמונד נמסר כי קבוצת ההאקרים ממוקמת בסין, אולם היא פועלת באמצעות שרתים פרטיים וירטואליים מושכרים בארצות הברית – מה שעוזר לה להימנע מזיהוי.

כאמור, מומחי אבטחה העריכו שלאור הפריסה הנפוצה של השרתים, היקף הגופים שעלולים להיפגע מכך עומד על מאות אלפים רבים, עם עשרות מיליוני משתמשים. יצוין שבישראל יש 19,933 שרתים כאלה. מומחים הזהירו שמתקפות נוספות צפויות מכיוונם של האקרים אחרים.