"כל ארגון שנפרץ במתקפת סולארווינדס חייב להניח שההאקרים עדיין אצלו"

לדברי שקד ריינר, חוקר אבטחת מידע במעבדות סייברארק, הדיווחים כי ההאקרים שלוחי הקרמלין, שערכו את מתקפת הסייבר הענקית דרך הפריצה לסולארווינדס עדיין שומרים על גישה לרשתות אמריקניות - אינם מפתיעים.

שקד ריינר, חוקר אבטחת מידע במעבדות סייברארק. צילום: יח"צ

"הדיווחים כי ההאקרים שלוחי הקרמלין, שערכו את מתקפת הסייבר הענקית דרך הפריצה לסולארווינדס (SolarWinds), עדיין שומרים על גישה לרשתות אמריקניות למרות מאמצי הממשל לתקן את החולשות שנוצלו – אינם מפתיעים. זאת, בהתחשב בטכניקה המתוחכמת של Golden SAML שבה נעשה שימוש במתקפה. כל ארגון וכל סוכנות ממשלתית בארה"ב שהרשת שלהם נפרצה במתקפה הזאת צריכים בהחלט להניח שהתוקפים עדיין שומרים על גישה", כך אמר שקד ריינר, חוקר אבטחת מידע במעבדות סייברארק (CyberArk).

לדברי ריינר, "ב-2017 גילינו בראשונה את הטכניקה הזאת, Golden SAML. מדובר בווקטור תקיפה עוצמתי, שמאפשר לגופי תקיפה לשמר אחיזה ברשתות ולקבל גישה לשירותים שונים, ולעשות זאת באופן חשאי. שיטה זו מאפשרת לתוקפים להתחזות לכל זהות, כמעט בארגון ולרכוש גישה פריבילגית ביותר לכל מערכת או לכל סביבת ענן. כפי שנחשף בעדות בקונגרס האמריקני, זה כמו 'לגנוב את המפתח לכל דלת בבית'. זה מאפשר לתוקפים לקבל גישה לכל מידע בחברה שלך, תוך שהם מתחזים לאחד העובדים".

"זו הסיבה שהטכניקות ששימשו במתקפת סולארווינדס הן כה הרסניות", אמר ריינר, "הן נועדו – באופן מיוחד – לתת לתוקפים אחיזה ארוכת טווח באותן רשתות, על ידי ניצול גישה פריבילגית מאוד. ברגע שתוקפים מקבלים גישה לחשבונות פריבילגיים, הם יכולים להרחיב ולשמר את אחיזתם בארגון, ו-Golden SAML הוא דוגמה מצוינת לכך".

"לכן", סיכם ריינר, "מבחינת האבטחה הארגונית, חיוני ביותר לוודא שנקודות הגישה וההרשאות הפריבילגיות של הארגון מאובטחות, ולהקפיד כי כל הפעילות הפריבילגית מנוהלת ומנוטרת באמצעות שכבת האבטחה לניהול גישה פריבילגית. הדרך היחידה לוודא שהרשת מאובטחת לאחר פריצה מסוג זה היא ליצור מפתחות פרטיים חדשים, לבטל את כל הישנים ולבנות מחדש את האמון מהיסוד".

בכיר הבית הלבן אמר באחרונה, כי הצעדים הגורפים שעליהם הכריז ממשל ביידן נגד רוסיה אינם צפויים – לכשעצמם – למנוע פעילות סייבר זדונית רוסית נגד ארה"ב, וציין כי עדיין קיימת הסכנה שההאקרים שאחראים למתקפת הענק עדיין אורבים לרשתות אמריקניות. זאת, למרות מאמצי הממשל לתקן פגיעויות שנוצלו לרעה.

את פריצת הענק ערכה קבוצת APT29, הנתמכת על ידי ממשלת רוסיה וידועה גם בשם Cozy Bear (דובי חמים ונעים). הקבוצה מקושרת ל-SVR, שירות ביון החוץ של רוסיה, ולעתים גם ל-FSB, שירות הביטחון הפדרלי, ה"יורש" של הקג"ב. הפריצה החלה באוקטובר 2019 וקיבלה דחיפה משמעותית במרץ 2020. פייראיי (FireEye) הייתה הראשונה לחשוף את המתקפה ואת העובדה שההאקרים חדרו למערכותיה – בתחילת דצמבר. חברות נוספות היו VMware, מיקרוסופט (Microsoft), סיסקו (Cisco), אינטל (Intel) ואנבידיה (Nvidia), בלקין (Belkin International), יצרנית נתבי Wi-Fi וציוד רשת ביתי, ודלויט (Deloitte).

מהממשל הפדרלי האמריקני הנפגעים רבים, בהם משרד האוצר ומינהל הטלקום והמידע הלאומי במשרד המסחר, ה-NTIA, וסוכנויות מודיעין ומשרד האנרגיה. מינהל ביטחון הגרעין הלאומי, ה-NNSA, המטפל במאגר אמצעי הלחימה הגרעיניים של ארה"ב, היווה גם הוא מטרה למתקפה, כמו גם המשרד להגנת המולדת ומשרד החוץ. בינואר 2021 דיווחנו, כי מערכת ניהול התיקים והגשת התיקים האלקטרונית של הרשות השופטת בארה"ב נפלה קורבן לפריצת הענק הרוסית. מדובר במערכת המקבילה במהותה למערכת נט-המשפט הישראלית. המערכת סבלה מ"פריצה לכאורה", כחלק מהפריצה שהתבססה על החדרת נוזקה לתוכנת Orion לניהול הרשת של סולארווינדס. אנליסטים ציינו, כי בתי המשפט הפדרליים מהווים מכרה זהב פוטנציאלי עבור האקרים, כיוון שהם מציגים נתונים רגישים על מיליוני אנשים.

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים