מיקרוסופט: במתקפת הענק בסייבר נטלו חלק יותר מאלף מהנדסים

"הייתה זו המתקפה הגדולה והמתוחכמת ביותר שהעולם ראה אי פעם", כך אמר בראד סמית', נשיא מיקרוסופט (Microsoft), על מתקפת הענק שערכה קבוצה של האקרים רוסים, המקורבת לקרמלין. במתקפה, ציין סמית', השתתפו מספר עצום של מפתחים.

המתקפה נחשפה על ידי חברת האבטחה פייראיי (FireEye) ומיקרוסופט בדצמבר האחרון. היא החלה בספטמבר-אוקטובר 2019 והואצה במרץ האחרון. היקף הארגונים, הסוכנויות הממשלתיות והפרטים שנפגעו ממנה טרם הוברר עד הסוף, אולם מדובר במאות, לכל הפחות. היא נוצרה בשל נוזקה בשם פייראיי (FireEye) – ש"הולבשה" על Orion, תוכנת ניהול וניטור הרשת של סולארווינדס (SolarWinds). כ-18 אלף ארגונים, לקוחות סולארווינדס, הורידו את עדכון הגירסה המזוהם של אוריון.

"אני חושב שמנקודת מבט של הנדסת תוכנה, יהיה זה נכון לומר כי זו המתקפה הגדולה והמתוחכמת ביותר שראה העולם", אמר סמית' בראיון לתוכנית 60 דקות של רשת CBS. מיקרוסופט, שהמערכות שלה נפרצו גם הן בגלל העדכון ה"גרוע" של Orion, הקצתה 500 מהנדסים לחקור את המתקפה, אמר סמית', "אך גודל הצוות, שככל הנראה נתמך על ידי הממשל הרוסי, שעומד מאחורי ההתקפה – היה יותר מכפול בהיבט המשאבים ההנדסיים. כשניתחנו את כל מה שראינו במיקרוסופט, שאלנו את עצמנו כמה מהנדסים עבדו כנראה על ההתקפות האלה. והתשובה שאליה הגענו הייתה, ובכן, בהחלט יותר מ-1,000".

הענקית מרדמונד הודיעה, כי בין הלקוחות שנפגעו יש גם ארגונים מישראל. מיקרוסופט הייתה הקורבן השני שנחשף לאחר פייראיי – מהמגזר הפרטי, לצד VMware. מהממשל הפדרלי הנפגעים רבים, בהם משרד האוצר ומינהל הטלקום והמידע הלאומי במשרד המסחר (NTIA) וסוכנויות מודיעין, בהן CISA, הסוכנות לאבטחת סייבר ותשתיות. משרד האנרגיה מסר, כי ההאקרים השיגו גישה לרשתות שלו. מינהל ביטחון הגרעין הלאומי, NNSA, המטפל במאגר אמצעי הלחימה הגרעיניים של ארה"ב, היווה גם הוא מטרה למתקפה, כמו גם המשרד להגנת המולדת ומשרד החוץ. עוד נפגעו מהמתקפה סיסקו (Cisco), אינטל (Intel), אנבידיה (Nvidia), בלקין (Belkin International), יצרנית נתבי Wi-Fi וציוד רשת ביתי, וכן חברת הייעוץ דלויט.

לדברי סמית', "בעוד שממשלות ריגלו זו אחר זו משך מאות בשנים, הרי שהתוקפים במתקפה זו השתמשו בטכניקה שמציבה סכנה לכלל שרשרת האספקה ​​הטכנולוגית עבור הכלכלה במובן הרחב ביותר שלה. מדובר במתקפה על האמון, האמינות והמהימנות של התשתית הקריטית ביותר בעולם, במטרה לקדם (מטרות של) סוכנות ביון של מדינה אחת". סמית' הדגיש בתוכנית הטלוויזיה המוערכת, כי התוקפים כתבו מחדש 4,032 שורות קוד בתוך תוכנת Orion, המורכבות ממיליוני שורות קוד. לדבריו, רוסיה פיתחה בעבר סוגים אלה של טקטיקות סייבר בטרם תקפה את אוקראינה בסייבר בשנת 2017. "מתקפה שכזו, על שרשרת האספקה, חושפת את הסודות הפוטנציאליים של ארצות הברית וממשלות אחרות, כמו גם סודות של חברות פרטיות. אני לא חושב שמישהו יודע בוודאות כיצד ינוצל כל המידע הזה שנגנב. אבל אנחנו כן יודעים זאת: הנתונים נמצאים בידיים הלא נכונות", אמר סמית'. "בניגוד למתקפת NotPetya –  במתקפה הזאת היה משהו ממוקד יותר. זה רק מראה שאם אתה עוסק בטקטיקה מסוג זה, אתה יכול להפיץ ולגרום לכמות עצומה של נזק והרס. סביר להניח כי מתקפת שרשרת האספקה ​​של סולארווינדס ממשיכה. הדרך היחידה לדעת, בוודאות, כי הנוזקות הוסרו לחלוטין מהתשתית של ארגונים, היא בהשבתה ובהחלפה כמעט לחלוטין של כל המחשבים וציוד הרשת שניזוקו".

משקיפים ציינו כי עדכוני הגירסה המזוהמים של תוכנת Orion לא היו הדרך היחידה שבאמצעותה ההאקרים חדרו למאות ארגונים ברחבי העולם במהלך מתקפת הענק. זאת, כי ל-30% מהארגונים שנפרצו לא היה קשר ישיר לסולארווינדס.