במהלך השבועיים האחרונים דווח על תקיפת סייבר נרחבת שבוצעה על מערכות הממשל האמריקאית, באמצעות חדירה לשרשרת האספקה של מערכות הממשל. התקיפה בוצעה על פי הפרסומים על ידי גורם מדינתי בעל יכולות – החשד המיידי הוא כי מדובר בגורם תקיפה רוסי.
מהפרסומים שנמסרו עד כה עולה, כי מדובר בתקיפה נרחבת וארוכת טווח, שבמסגרתה הצליחו התוקפים לשהות במערכות הממשל (בכללן מודיעין וביטחון) במהלך חודשים רבים – לפחות מאז חודש מרס 2020, ולגנוב מתוכן מידע רב מאוד. החקירה העלתה, כי התוקפים הצליחו לחדור לחברת התוכנה SolarWinds והטמיעו בעדכוני התוכנה Orion מתוצרתה פוגען, אשר הצליח להגיע במסגרת הורדת העדכון לעשרות אלפי משתמשים במערכות הממשל.
הפוגען הופץ כנראה בשלוש גרסאות עדכון של התוכנה בין החודשים מרס ליוני השנה. יצוין, כי התוכנה Orion מיועדת לניטור תקשורת ברשתות,קרי: כלי אבטחה, שהלקוחות סומכים עליו בדרך כלל, הוא ששימש את התוקפים. הפגיעה במערכות והחדירה העמוקה של הרוסים, גרמה בין היתר להשבתת הרשת המסווגת SIPRNET המשמשת את הממשל להעברת מידע רגיש בין סוכנויות הממשל.
לפני מספר ימים פורסם בתקשורת, כי חברת האבטחה FireEye חוותה תקיפת סייבר עוצמתית, שבמסגרתה נגנב ממאגרי המידע שלה מידע רב, בכללו כלי תקיפה שפיתחה החברה לצורך חקירותיה. הפרצה בגרסאות הבעייתיות של SolarWinds Orion אפשרה כפי הנראה את הפריצה לחברת האבטחה FireEye, וממנה החלה כנראה החקירה שהובילה לאיתורה של התקיפה הנרחבת.
ככל הידוע, התקיפה, שבוצעה כאמור לפי החשד על ידי גורמי תקיפה רוסיים הצליחה לפגוע במערכות רבות מאוד של משרד ההגנה, ב- DHS וכנראה גם בסוכנויות מודיעין דוגמת ה-NSA, באתרי גרעין, במתקני צבא, ובמאות חברות פרטיות המשמשות כקבלניות עבור מערכת ההגנה האמריקאית. יצוין, כי לחברת SolarWinds יש לקוחות רבים מאוד בישראל, בהם גם משרדי ממשלה.
התוקפים התערבו במערכת הבחירות בארה"ב ב-2016
החוקרים סבורים, כי מדובר בתקיפה שבוצעה גם מול יעדים נוספים ברחבי העולם. הממשל האמריקני הנחה באמצעות הסוכנות לאבטחת סייבר ותשתיות, CISA, את כל הסוכנויות הפדרליות להשבית באופן מיידי את המערכות בהן נעשה שימוש בתוכנות של SolarWinds, ובהמשך הוציאה החבר טלאי אבטחה למערכות אלו.
מהפרסומים עד כאן לא ברור אם מדובר בתקיפה שמטרתה מודיעין (CNE) בלבד, או גם פגיעה (CNA), אבל ברור, כי התוקפים היו חשופים במשך תקופה ארוכה מאוד לתעבורת המידע (תכתובות, מיילים, מסמכים ועוד) במערכות הנתקפות, ואף הצליחו לעקוף את האימות הדו-שלבי של חברת MICROSOFT.
מכלל המידע שפורסם עד כה עולה החשד, כי התקיפה בוצעה ע”י יחידת התקיפה הרוסית המכונה APT29 (הנקראת גם Cozy Bear), שפעילותה משמשת ככל הידוע את ארגון מודיעין החוץ הרוסי, ה- SVR (אם כי בעבר התקבל מידע, לפיו פעלו גורמי יחידה זו עבור שירות הביטחון הרוסי – FSB).
יוזכר, כי יחידה זו הייתה מעורבת בתקיפת מערכת הבחירות בארה"ב בשנת 2016, במסגרת זו תקפו אנשיה את מערכות מחלקת המדינה (משרד החוץ) וניסו לחדור גם למערכות אחרות של הממשל ולשרתי הוועדה הלאומית של המפלגה הדמוקרטית, למכוני מחקר ועוד.
תקיפה זו בוצעה כאמור על ידי יחידת תקיפה עוצמתית, והצלחתם של התוקפים לחדור באופן כל כך עמוק ללב מערכות הממסד האמריקאי (ממשל, הגנה, מודיעין, גרעין ועוד), לשהות במערכות המעצמה החזקה בעולם זמן כה רב, וכנראה להוציא מהן מידע עצום, היא לא פחות מרעידת אדמה בעולם הסייבר.
בקרת נזקים וסדרי עדיפויות
בשלב זה הממסד האמריקאי נכנס לתהליך מורכב של בקרת נזקים וניסיון לבצע הפקת לקחים כדי לנסות לתקן במהירות את הנזק העצום, דבר שלא ברור עד כמה יצליח. התוקפים הראו באירוע זה יכולת מבצעית גבוהה ביותר, מעוף, יצירתיות ותעוזה, והם מזכירים לכולנו, כי במרחב הוירטואלי מתקיימת מלחמת עולם יום יומית במעורבות מעצמות, מדינות וארגונים.
גורמי ההגנה חייבים להפנות משאבים עצומים במטרה לנסות להתמודד מול גורמי התקיפה. הממסד המודיעיני האמריקני הפנה בשנים האחרונות זרקור גדול מאוד לפעילות המעצמה הסינית התוקפת. מקבלי ההחלטות ייאלצו לחשוב מחדש על סדרי עדיפויות בפעולה מול המעצמה הרוסית.
בהקשר לתקיפות "שרשרת האספקה", ראוי לציין, כי זהו מונח המתייחס לכלל המשאבים והתהליכים הקשורים בספקים, בלקוחות ובקבלני ביצוע, אשר דרושים לצורך אספקת מוצר או שירות בארגון.
יש ב"חוליות" השרשרת איומים פוטנציאליים קריטיים, אשר עלולים לסכן את הארגון ועליהם יש לתת את הדעת בהיבטי אבטחה, בעיקר בשל היכולת לעשות שימוש לתקיפה באמצעות ספקי צד שלישי (בדומה לאירוע הנוכחי) תקיפת אתרי אינטרנט דרך חברות לבנייה ועיצוב של אתרים, תקיפת חברות צד שלישי העוסקות באחסון נתוני חברות, ותקיפה הכוללת שתילת קוד באתרים הנמצאים בשימוש נרחב של מושאי התקיפה.
במכון הטכנולוגי חולון HIT אנחנו מלמדים בין היתר את תחום הגנת "שרשרת האספקה" במסגרת קורס ניהול מדיניות סייבר בארגון, בתואר השני בפקולטה להנדסת תעשייה וניהול טכנולוגיה.
ד"ר הראל מנשרי הוא ממקימי מערך הסייבר בשב"כ וראש תחום סייבר במכון טכנולוגי HIT
טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו