לאחר מתקפת הענק בסייבר: סולארווינדס הטמיעה מוצרי הגנה של קראוד-סטרייק
המתקפה, שעליה נודע בשבוע שעבר ושפגעה במאות ארגונים ועשרות גופי ממשל בארה''ב, ככל הנראה התחילה בפלטפורמת אוריון של סולארווינדס ● כעת החברה מתמגנת, כדי לנעול את הדלת האחורית שנתגלתה אצלה
בעקבות מתקפת הענק בסייבר, שפגעה במאות ארגונים ועשרות גופים פדרליים בארה"ב, סולארווינדס (SolarWinds), שהיוותה ככל הנראה את המקור הראשוני לפריצות, הטמיעה את מוצרי ההגנה של קראוד-סטרייק (CrowdStrike).
סולארווינדס הודיעה כי אוריון (Orion Platform) – פלטפורמת ניטור הרשת שלה, שנפרצה באחרונה – עומדת כעת בדרישות האבטחה של הסוכנויות המדינתיות והפדרליות של ארצות הברית, לאור שחרור התיקון הסופי בשבוע שעבר. הנפרצת הטמיעה את פלקון, פלטפורמת ההגנה על נקודות הקצה, רשתות וירטואליות ומערכות IT – של קראוד-סטרייק, כדי להבטיח שהמערכות הפנימיות שלה מאובטחות.
לדבריה, עדכוני התוכנה ששוחררו בימים האחרונים אמורים לנעול את הדלת האחורית שהתגלתה במוצרי אוריון. סולארווינדס מסרה כי היא שכרה את שירותיהם של מומחי אבטחת סייבר חיצוניים, כדי לסייע לחברה לאבטח את המערכות שלה בעקבות המתקפות.
"הדבר עומד בראש סדר העדיפויות שלנו, וננקוט בכל הצעדים הנחוצים כדי להבטיח שהסביבות שלנו ושל הלקוחות שלנו בטוחות", כתבה הנפרצת במסמך שהגישה בסוף השבוע לרשות לניירות ערך, ה-SEC, בארה"ב, "אנו נוקטים באמצעים יוצאי דופן כדי להשיג מטרה זו. אנו מספקים ללקוחות, למומחים ולאחרים בתעשיות ה-IT ואבטחת המידע מידע מפורט אודות המקרה, כדי לסייע לזהות אינדיקטורים לפגיעות, ואת הצעדים שהם יכולים לבצע כדי להגן על המערכות שלהם נגד חדירה לא מורשית".
עם זאת, CISA, הסוכנות לאבטחת סייבר ותשתיות, הנחתה סוכנויות פדרליות לחכות עד שתינתן הנחיה נוספת לפני שימוש בכל טלאי להתקנה מחודשת של תוכנת סולארווינדס. לפי הנחיות CISA, תהליך השחזור לא יתחיל עד שכל החשבונות המאוימים ומנגנוני שימור הנתונים המזוהים יוסרו מתוכנת אוריון.
נראה שההיקף האמיתי של מתקפת הסייבר שבוצעה כנגד מאות ארגונים בארה"ב גדול יותר מהמשוער. המשרד להגנת המולדת פרסם בסוף השבוע אזהרה לפיה "ההאקרים שחדרו למערכות ה-IT של הממשל, השתמשו בנוזקה ובטכניקות המהוות סכנה חמורה לממשל הפדרלי". בתוך כך, מיקרוסופט (Microsoft) מצאה נוזקה במערכות שלה, והודיעה שבין הלקוחות שנפגעו יש גם ארגונים מישראל.
כמו שאר הארגונים שנפגעו במתקפת הענק, מיקרוסופט משתמשת בתוכנת ניהול הרשת אוריון, של סולארווינדס. את המתקפה ערכה קבוצת ההאקרים APT29 הרוסית, המקורבת לקרמלין ולגופי ביון רוסיים. מהמגזר הפרטי – מיקרוסופט היא הקורבן השני שנחשף, לאחר פייראיי (FireEye). מהממשל הפדרלי הנפגעים רבים, ביניהם משרד האוצר ומינהל הטלקום והמידע הלאומי במשרד המסחר, ה-NTIA, כמו גם סוכנויות מודיעין. משרד האנרגיה מסר כי ההאקרים השיגו גישה לרשתות שלו. מינהל ביטחון הגרעין הלאומי, NNSA, המטפל במאגר אמצעי הלחימה הגרעיניים של ארה"ב, היווה גם הוא מטרה למתקפה.
סיסקו, קומקאסט, ויזה ומסטרקארד – בין לקוחות סולארווינדס
על לקוחות סולארווינדס, שהייתה כאמור המקור הראשוני להדבקה, נמנים סיסקו, AT&T, קומקאסט ומקדונלד'ס, כמו גם הענקיות הפיננסיות ויזה ומסטרקארד – כמה מהן, וסיסקו ביניהן, נפגעו מהמתקפה.
גורם המעורב בחקירה מסר כי ההאקרים השתמשו בשירותי הענן של מיקרוסופט, אולם לא בתשתית החברה. חוקרי המשרד להגנת המולדת אינם סבורים שמיקרוסופט שימשה את ההאקרים כפלטפורמה לתקוף אחרים. לדבריו, ההאקרים הם "מתוחכמים ביותר", והצליחו להערים על בקרות האימות של פלטפורמת מיקרוסופט.
על פי CISA, סביר להניח כי להאקרים היו וקטורי גישה ראשוניים נוספים, שטרם התגלו. תוכנת ניהול רשתות של סולרווינדס משמשת מאות אלפי חברות וסוכנויות ממשלה. הנחת העבודה היא שסולארווינדס שימשה כ"ספקית" הגישה הראשונית למיקרוסופט. CISA הודיעה כי אין לצאת מנקודת הנחה לפיה הארגונים בטוחים מפני המתקפה – אם הם לא משתמשים בגרסאות האחרונות של אוריון של סולארווינדס. היא הוסיפה כי ההאקרים לא ניצלו עדיין את כל הרשתות אליהן הם השיגו גישה.
תגובות
(0)