מנכ"ל פייראיי: "מתקפת הסייבר – פעולה הנדמית לכוחות המבצעים המיוחדים"

"מתקפת הסייבר שאירעה לא הייתה ירי בדרך, בכביש המידע. זה היה ירי של צלף שהסתובב סביב ביתך במרחק של קילומטר. זו הייתה פעולה (הנדמית להיות כזו) של כוחות המבצעים המיוחדים. ולכן, יידרש לבצע פעולות מיוחדות כדי לאתר את הפריצה הזו", כך אמר קווין מנדיה, מנכ"ל פייראיי (FireEye).

מנדיה שוחח עם מרגרט ברנן בתכנית "פגוש את האומה" ברשת CBS. מנכ"ל ענקית הגנת הסייבר, שבעצמה נפגעה במתקפה, ניסה למזער את ההיקף שלה. לדברי מנדיה, "רק 50 ארגונים נפגעו באמת מהמתקפה, מתוך 18 אלף הארגונים שהתקינו את העדכון לתוכנת ניהול הרשת אוריון של סולאר-ווינדס (SolarWinds), שהכילה את הנוזקה. כולם אומרים שזו מתקפת הסייבר בעלת פוטנציאל החדירה הגדול ביותר בהיסטוריה שלנו. אבל חשוב לציין כי במציאות, הפיצוץ, גם אם היה רב עוצמה, היה ברדיוס קטן. כנראה רק כ-50 ארגונים או חברות, נתון מספרי אי שם באזור הזה – שהושפעו באמת משחקן האיום".

ממשיכה לעורר גלים גבוהים. מתקפת הסייבר בארצות הברית. אילוסטרציה: BigStock

דבריו של מנדיה מהדהדים מומחים אחרים – כולל בכירים בחברה בהנהגתו, שציינו כי ההאקרים הרוסים ניצלו רק חלק קטן מהדלת האחורית שהצליחו להקים. פייראיי הודיעה כי נפגעה מהמתקפה בתחילת החודש. כמה ימים לאחר מכן, במחצית החודש, אמר צ'ארלס קרמייקל, סגן נשיא בכיר ומנהל טכנולוגי ראשי ב-מנדיאנט, זרוע התגובה של פייראיי, כי "רק עשרות ארגונים נפגעו בפועל למרות ש-18,000 היו פגיעים למתקפות". גם CISA, הסוכנות לאבטחת סייבר ותשתיות, אמרה כי לא כל הארגונים שיש להם דלת אחורית בשל עדכון התוכנה שהטמיעו לתוכנת אוריון – הותקפו על ידי ההאקרים בפעולות המשך. גם בראד סמית', נשיא מיקרוסופט (Microsoft), אמר שכמעט 40 מלקוחות החברה נפגעו מעדכון התוכנה שכלל בתוכו נוזקה.

מנדיה טען כי ישנן עדויות מוקדמות לכך שקמפיין הסייבר תוכנן כבר באוקטובר 2019, כאשר "נעשו שינויי קוד בלתי מזיקים בפלטפורמת אוריון. אך רק במרץ השנה ההאקרים העומדים מאחורי התקיפה הזו הזרימו נוזקה לשרשרת האספקה ​​באמצעות אוריון".

מנדיה ניסה לתאר את "התחושה" של ארגון שמישהו נמצא ברשת שלו: "הדבר דומה לכך שמישהו נכנס דרך דלת סודית למרתף שלך, מרתף שמעולם לא ידעת עליו. הוא עוטה על עצמו חליפה שגורמת לו להיות רואה ואינו נראה. יש לך פשוט את התחושה שהם ברשתות שלך, אבל אפילו אתה אינך בטוח איך. אתה רק חושב שמשהו שונה קרה, משהו עבר, זז".

אצבע מאשימה כלפי APT29 מרוסיה

אף שגופי הביון לא ציינו את זהות התוקפים, אלא רק כיוונו אצבע מאשימה כלפי רוסיה, הרי שחוקרי חברות הגנה בסייבר תמימי דעים כי המדובר באחת מקבוצות ההאקרים העקביות והמתוחכמות ביותר בתבל: APT29, הנתמכת על ידי ממשלת רוסיה, והידועה גם בשם Cozy Bear (דובי חמים ונעים). הקבוצה מקושרת ל-SVR, שירות ביון החוץ של רוסיה, ולעתים גם ל-FSB, שירות הביטחון הפדרלי, ה"יורש" של הקג"ב.

הקבוצה ידועה לשמצה בכך שהיא מפעילה מאמצים רב-כיווניים, ובשל העובדה שהיא לא נסוגה מפעולות ריגול, גם לאחר שאלה התגלו. APT29, ציינו מומחי אבטחה, התאמצה משך שנים להסתיר את פעילותה, ולפעמים מפעילה פעולות ריגול שנמשכות שנים. "מדובר ביריב סבלני, בעל משאבים טובים, הפועל באופן ממוקד, שמקיים פעילות ארוכת טווח ברשתות של הקורבנות", הזהירו בסוף השבוע אנשי CISA. "להערכתנו, הסרת שחקן האיום הזה מסביבות שנפגעו תהיה מורכבת ומאתגרת ביותר עבור ארגונים".

מנדיה נותר מעורפל כשנשאל על זהות ההאקרים שערכו את המתקפה. הוא אמר כי "זו בהחלט מתקפה שנעשתה על ידי מדינה. זו התקפה שעולה בקנה אחד עם מה שידוע על SVR", אולם סירב לומר מפורשות כי חברי APT29 הם שערכו את המתקפה.

הוא סיים באומרו כי "ככל שאנחנו ממשיכים בחקירה, ככל שהיא הולכת ומתרחבת, ככל שיותר אנשים לומדים על הכלים, הטקטיקות והתהליכים של המתקפה הזו – כך אני יותר בטוח שנדע לתת לה מענה ראוי, ואז נייחס אותה למבצעים שלה וניתן להאקרים שם ופנים. אני לא צודק ב-92%, לא 'קרוב ל', אלא ב-100%. בואו פשוט נעשה את זה נכון, כדי שנוכל להגיב באופן פרופורציונלי. נקודה".