מיקרוסופט וסימנטק חושפות: כך ההאקרים בפריצת הענק הסתירו את פעילותם
חוקרי מיקרוסופט: תוכנת אוריון של סולארווינדס, שהפיצה את הרוגלה, "תפקדה כאבן הפינה לפעולה בסייבר שהיא אחת המתוחכמות והממושכות ביותר מזה עשור" ● סימנטק מצאה את ''טיפת גשם'', נוזקה שלא תועדה בעבר, שההאקרים ניצלו כדי לעבור בין רשתות הקורבנות, ובאמצעותה להעביר נוזקות ורוגלות נוספות
ההאקרים הרוסים, שעומדים מאחורי מתקפת הענק בסייבר שנחשפה בחודש שעבר, הצליחו לבצע הפרדה בין כלי הפריצה היקר ביותר שלהם לבין נוזקות אחרות ש-"הסתובבו" ברשתות הקורבנות שלהם, ועשו זאת כדי למנוע את הגילוי שלהם – כך מסרה מיקרוסופט אתמול (א').
על פי חוקרי הענקית מרדמונד, "הממצאים מעלים באופן ברור" שבעוד שההאקרים הסתמכו על מגוון כלי ריגול משלהם, הרי שאוריון, תוכנת ניהול הרשת של סולארווינדס, שימשה כמפיצת הרוגלה, או, כהגדרתם: "היא תפקדה כאבן הפינה לפעולה בסייבר שהיא אחת המתוחכמות והממושכות ביותר מזה עשור".
המחקר האחרון של מיקרוסופט מגיע על רקע העובדה שעוד חברות נחשפות ככאלה שנפגעו ממתקפת הסייבר הענקית, ובתוכן חברות אבטחה. ביום ה' האחרון פורסם כי ההאקרים פגעו גם ב-Malwarebytes, שמספקת תוכנות להסרת נוזקות. היא דיווחה שההאקרים השיגו גישה למערכת המיילים שלה. הם עשו זאת באמצעות שימוש לרעה ביישומים בעלי גישה מיוחדת לסביבות אופיס 365 ו-Azure. התוקפים לא הצליחו לגשת לקוד המקור של Malwarebytes או "להתעלל" בו, והחברה הצהירה כי מוצריה בטוחים לשימוש בכל עת.
חוקרי האבטחה של מיקרוסופט ציינו כי "התוקפים הבינו את החשיבות והערך של הדלת האחורית החזקה שהם הצליחו להטמיע בתוכנת אוריון, והפנימו כי היא חשובה מדי כדי להפסיד אותה במקרה של גילוי. לכן הם ביצעו את ההפרדה הזו: כדי להבטיח שהנוזקה שבה הם השתמשו על מנת לתקוף את הקורבנות הארגוניים תהיה מנותקת לחלוטין מהפעילויות של סולארווינדס".
"מאמץ מדהים, שלא נצפה אצל יריבים אחרים"
המחקר החדש של מיקרוסופט מציג את אחד מלוחות הזמנים המפורטים יותר של פעולת הפריצה. לדבריהם, לאחר שההאקרים הצליחו להדביק את אוריון ברוגלה, תוכנת ניהול הרשת – המעודכנת והמזוהמת – החלה להיות מופצת בארגונים. לאחר מכן, הם השקיעו כחודש באיתור קורבנות ארגוניים. במאי 2020, ההאקרים ביצעו את "הפעילות האמיתית על המקלדת", משמע – שיטוט ומעבר בין ובתוך רשתות הקורבנות לחילוץ נתונים יקרי ערך.
עוד העלו החוקרים כי ההאקרים הקפידו לכסות את עקבותיהם בכך שהכינו שתלי קוד זדוניים ייחודיים לכל מערכת IT של קורבן, ושינו את חותמות הזמן שעשויות לספק רמזים דיגיטליים על הפעילויות הזדוניות שהם עשו, ומתי. זאת, כדי לסבך את תהליך ההתאוששות של הארגונים. מיקרוסופט אפיינה את הטכניקה כ-"מאמץ מדהים, שבדרך כלל לא נצפה אצל יריבים אחרים, ושנעשה כדי למנוע זיהוי מלא של כל הנכסים שנפגעו".
"טיפת גשם" מזיקה במיוחד
ככל שהחקירה אודות הפריצה נמשכת, העלילה רק מתעבה: סימנטק הודיעה כי מצאה נוזקה, שלא תועדה בעבר, ושההאקרים הרוסים ניצלו אותה כדי לשוטט ולעבור בין רשתות הקורבנות ואז – להעביר באמצעותה נוזקות ורוגלות נוספות למחשבים ספציפיים. התוקפים התקינו את הנוזקה, שאותה הם כינו "טיפת גשם", על קומץ מחשבים שנבחרו בקפידה – במטרה לרגל אחריהם ולשאוב מהם נתונים חשובים.
אנליסטים ציינו כי מחקר זה של ענקית האבטחה הרוסית מדגיש את מגוון הכלים שעמדו לרשות ההאקרים – חלקם כדי להשיג גישה לרשתות מחשבים ואחרים כדי לנפות נתונים – במתקפת הסייבר הענקית. על פי חוקרי סימנטק, הפעילות הזדונית חרגה הרבה מעבר לניצול של הרוגלה שהם הצליחו להדביק בה את תוכנת אוריון. כלי הפריצה שמצאה החברה מצביעים על כך שאף שההאקרים ניצלו את אוריון, ועשו זאת באופן רחב היקף, הרי שהם הצליחו להגיע למחשבים שונים לחלוטין בארגונים – שעד כה לא נתגלו בהם סימני פריצה.
לדברי אריק צ'יין, מנהל טכני בסימנטק, "גילוי נוזקות נוספות הוא עוד סימן לצעדים שנקטו התוקפים כדי למנוע שיבוש של פעולותיהם". הוא אמר שלפחות שלושה ארגונים נדבקו בנוזקת "טיפת גשם". סימנטק לא זיהתה את הארגונים הנגועים, אך נרמז כי התוקפים התמקדו בכאלה שיש להם נתונים בעלי ערך רב.
מיקרוסופט הייתה הקורבן השני שנחשף מהמגזר הפרטי, לאחר פייראיי – שהפכה את דבר הפריצה אליה לפומבי. בין הקורבנות הנוספים של המתקפה ניתן למנות את VMware, סיסקו, אינטל, אנבידיה, יצרנית נתבי ה-Wi-Fi וציוד הרשת הביתי בלקין וחברת הייעוץ דלויט. נפגעים רבים אחרים היו מהממשל הפדרלי של ארצות הברית, בהם משרד האוצר, מינהל הטלקום והמידע הלאומי במשרד המסחר (NTIA), סוכנויות מודיעין ומשרד האנרגיה. מינהל ביטחון הגרעין הלאומי (NNSA), המטפל במאגר אמצעי הלחימה הגרעיניים של ארצות הברית, היווה אף הוא מטרה למתקפה, כמו גם המשרד להגנת המולדת ומשרד החוץ.
השלטון במוסקבה הכחיש כל קשר למתקפה.
תגובות
(0)