מחקר: כל קורבן חמישי ממתקפת הענק בסייבר – מתעשיות הייצור

בניגוד להצהרות הממשל הפדרלי האמריקני, שלפיהן מספר הקורבנות ממתקפת הענק בסייבר שנחשפה בחודש שעבר אינו גדול, הרי שכל יום מביא עימו עוד נתונים החושפים שנפגעו ממנה עוד קורבנות ואת זהותם. מחקר חדש של קספרסקי, שפורסם בסוף השבוע, קובע כי השיעור של ארגונים שנפרצו על ידי קבוצת ההאקרים הרוסית במתקפת סולארווינדס שהם מהמגזר התעשייתי עומד על 32.4%, כאשר גורמים מתחום תעשיות הייצור מהווים 18% מכלל הקורבנות.

מתקפת הדלת האחורית של Sunburst מעסיקה את החוקרים ברחבי העולם גם חודש וחצי לאחר שנחשפה. אלה מנסים להבין לעומק את היקפה האמיתי ואת מי שעומדים מאחוריה. במסגרת מתקפת הענק, ההאקרים הצליחו להתקין רוגלה על עדכון תוכנה של אוריון, תוכנת ניהול הרשת של סולארווינדס. כ-18 אלף ארגונים הטמיעו את עדכון הגרסה המזוהם של אוריון, אולם יש מידע מוגבל לגבי סוג הארגונים שהשתמשו בגרסאות המאוחרות של התוכנה ושנפלו גם הם קורבן למתקפה.

חוקרי קספרסקי ICS CERT בחנו מידע פנימי וכזה שזמין לציבור הרחב כדי לבחון את שאלת היקף המתקפה והענפים שהושפעו ממנה הכי הרבה. באמצעות ניתוח של שמות הדומיינים הפנימיים הזמינים שעולים, SunBurst DomainName Generation Algorithm, החוקרים הצליחו לזהות רשימה של כמעט 2,000 מתחמים. מתוך אלה, השיעור של ארגונים מהמגזר התעשייתי עומד, כאמור, על כ-32.4%, כאשר גורמים מתחום תעשיות הייצור היוו כמעט חמישית מכלל הקורבנות. אחריהם ברשימה ארגונים מתחומי השירותים והתשתיות, מענפי הבנייה, התחבורה והלוגיסטיקה, ומענפי האנרגיה – נפט וגז. החוקרים ציינו כי נתונים אלה תואמים את הניתוח שביצעה קספרסקי של לקוחותיה המושפעים מהמתקפה והתעשיות שאליהן הם משתייכים.

ההתפלגות הגיאוגרפית של הקורבנות מתחום התעשייה היא רחבה וכוללת את ארצות הברית, רוסיה, ערב הסעודית, טייוואן, מקסיקו, הולנד, הפיליפינים, פורטוגל, קנדה, אינדונזיה, איראן ועוד.

"היקף מתקפה ללא תחרות"

לדברי מריה גרנייבה, חוקרת אבטחה בכירה בקספרסקי, "יישומי התוכנה של סולארווינדס שולבו במערכות רבות ברחבי העולם ובתעשיות שונות. כתוצאה מכך, היקף ההתקפה של Sunburst היה ללא תחרות, לרבות על ארגונים שהושפעו ושאולי לא היו מעניינים את התוקפים מלכתחילה". גרנייבה ציינה כי "אמנם אין לנו עדויות לשלב שני של המתקפה בקרב הקורבנות הללו, אך אל לנו לשלול את האפשרות שהיא תגיע בעתיד. לכן, חיוני עבור ארגונים שעלולים להיות קורבנות התקיפה לשלול את חדירת הנוזקה מהר ככל האפשר ולוודא שהם נוקטים בצעדים הנכונים לתגובה לאירוע דומה".

בין היתר, ממליצים בקספרסקי לבדוק האם מערכות הארגון קיבלו את עדכוני התוכנה של סולארווינדס, כפי שמפורט בהתראה AA20-35A , וכן לבדוק האם קיימות במערכת התראות על חדירה ובדיקה של פעילות חשודה בלוגים של הרשת, ואם כן – לבודד את הנכסים שזוהמו ולשמור על כל הנכסים הדרושים לצורך חקירה מעמיקה של האירוע.

הקורבנות העיקריים של המתקפה

בשבוע שעבר, סוניק-וול הודיעה כי היא נפלה קורבן למתקפת סייבר מתואמת של "האקרים מתוחכמים" על מערכותיה הפנימיות. החברה היא עוד ספקית אבטחת מידע "טהורה" שנחשפת ככזו שהותקפה בסייבר בתוך פחות מחודשיים: את מתקפת הענק הרוסית חשפה פייראיי, שהייתה בעצמה קורבן. לפני ימים אחדים נחשף כי ההאקרים הרוסים פגעו גם במאלוור בייטס. ספקית התוכנות להסרת נוזקות נפגעה כאשר ההאקרים השיגו גישה למערכת המיילים שלה. הם עשו זאת באמצעות שימוש לרעה ביישומים בעלי גישה מיוחדת לסביבות אופיס 365 ול-Azure. התוקפים לא הצליחו לגשת לקוד המקור של מאלוור בייטס או "להתעלל" בו, והחברה הצהירה כי מוצריה בטוחים לשימוש בכל עת. נפגעת נוספת הייתה מיימקאסט.

מיקרוסופט הייתה הקורבן השני שנחשף מהמגזר הפרטי, לאחר פייראיי. בין הקורבנות הנוספים של המתקפה ניתן למנות את VMware, סיסקו, אינטל, אנבידיה, בלקין – יצרנית נתבי Wi-Fi וציוד רשת ביתי – וחברת הייעוץ דלויט. מהממשל הפדרלי הנפגעים רבים, בהם משרד האוצר, מינהל הטלקום והמידע הלאומי במשרד המסחר (NTIA), סוכנויות מודיעין ומשרד האנרגיה. מינהל ביטחון הגרעין הלאומי (NNSA), המטפל במאגר אמצעי הלחימה הגרעיניים של ארצות הברית, היווה אף הוא מטרה למתקפה, כמו גם המשרד להגנת המולדת ומשרד החוץ.