אירועי פריצה תמיד שולטים בחדשות, ובצדק. הם הוכחה שאף אחד לא בטוח, במיוחד כשהקורבן הוא תאגיד גדול עם מערכת אבטחת סייבר מתוחכמת. פריצה אחת שהייתה לה השפעה מהותית על הנוף לאבטחת הסייבר הייתה גרסת SolarWinds.
אך בניגוד לפריצות גדולות אחרות, הנזקים של מתקפת SolarWinds לא הוגבלו לכספי החברה ולמוניטין שלה. ההשפעות היו כה נרחבות עד שההשפעה של הפריצה שהייתה מעורבת של ממשלת ארה"ב וסוכנויותיה.
מה היה קנה המידה של הפריצה?
SolarWinds היא חברת IT מבוססת ארה"ב המתמחה בפיתוח תוכנות ניהול לעסקים ולסוכנויות ממשלתיות. אז מההתחלה היה ברור שלכל פריצה יהיו השפעות קטסטרופאליות מעבר לנכסים ולמוניטין של SolarWinds.
ניתן לומר בבטחה כי תאגיד SolarWinds עצמו לא היה יעד ההתקפה, אלא רק שיטת ההתקפה. SolarWinds דיווחו כי קצת יותר מ -18,000 מהלקוחות שלהם נדבקו בתוכנה זדונית של ההאקר.
מבין הקורבנות, כ -20 אחוזים היו מוסדות וסוכנויות ממשלתיות בארה"ב כמו משרד המולדת ביטחון, משרד החוץ, המינהל הלאומי לביטחון גרעיני ומשרד האנרגיה, בין רבים אחרים.
80 אחוז הקורבנות הנותרים היו תאגידים פרטיים, אך הם היו שחקנים גדולים בתעשייה שלהם עם חלקם ההוגן של לקוחות בעלי פרופיל גבוה. הפריצה השפיעה על חברות כמו סיסקו, אינטל, דלויט ומיקרוסופט, כמו גם על כמה מוסדות רפואיים, בתי חולים ואוניברסיטאות.
חשוב לציין כי היקף האירוע עדיין אינו ידוע במלואו. למרות שהאקרים הצליחו להשיג גישה לכמעט 20,000 מלקוחות SolarWinds, זה לא אומר שהם הצליחו לעקוף את מערכות האבטחה הפנימיות שלהם ולהתפשר על קבצים ונתונים.
לדוגמה, מיקרוסופט הצליחה לזהות את התוכנה הזדונית החודרנית בסביבתם ולבודד אותה בזמן. הם לא דיווחו על עדויות לנתוני לקוחות שנפגעו או דלפו מהפיגוע, מה שאפשר להם להימלט מהם ללא פגע.
אבל לא לכולם היה המזל הזה. ההאקרים הצליחו לכפות את דרכם לעשרות מיילים השייכים לבכירים בכירים במשרד האוצר האמריקאי ואולי בנכסי הענן של המחלקה.
מה גורם לפריצה של SolarWinds להיות שונה?
לעתים קרובות, תקרית פריצה היא תוצאה של מערכת אבטחה כושלת או שיתוף פעולה פנימי. אבל זה לא היה המקרה של אלפי החברות שנפלו קורבן לפריצת SolarWinds, שכונתה Sunburst.
ההאקרים היו צריכים רק לעקוף את אבטחת הסייבר של SolarWinds. לאחר מכן הם המשיכו להוסיף קוד זדוני לאחד משירותי התוכנה הנפוצים ביותר של החברה, אוריון. אירוע הפריצה היה חמקמק ולא הרסני, ואפשר לו לחמוק מתחת לרדאר של SolarWinds ולהישאר שם חודשים.
הקוד התפשט ללקוחות אחרים על ידי רכיבה על אחד מעדכוני התוכנה הרגילים ש- SolarWinds שולח ללקוחותיו. שם, הגדרת הקוד הזדוני דלת אחורית של ההאקריםהמאפשרת להם להתקין תוכנות זדוניות פולשניות עוד יותר ולרגל אחר מטרותיהם ולהדליף כל מידע שנראה להם חשוב.
פריצת Sunburst יצרה תקדים למי חברות יכולות לא לסמוך עליהן בכל הנוגע לאבטחת סייבר. אחרי הכל, עדכוני תוכנה אמורים להגיע עם תיקוני באגים ושדרוגי אבטחה כדי להגן על המערכות שלך מפני פגיעויות וניצולים מנוצלים.
התקפה מסוג זה ידועה בשם מתקפה בשרשרת האספקה. בה האקרים מכוונים לחלק הפגיע ביותר בשרשרת האספקה של החברה במקום לפגוע ישירות במטרה שלהם. לאחר מכן הם אורזים את התוכנות הזדוניות שלהם לכלים מהימנים ושולחים אותם למטרות האמיתיות שלהם. באירוע זה, זה היה בצורה של עדכון תוכנה שגרתי.
מי עמד מאחורי הפריצה של SolarWinds?
עדיין לא ברור איזה ארגון או קבוצת אנשים עמדו מאחורי הפריצה מכיוון שאף קבוצת האקרים לא טענה את האירוע עד כה. עם זאת, חוקרים פדרליים לצד מומחי אבטחת סייבר מובילים חושדים בעיקר בשירות הביון הזר של רוסיה, המכונה גם SVR.
מסקנה זו הייתה התבססות על אירועי הפריצה הקודמים של 2014 ו -2015. אז, החקירות הצמידו גם את הפריצה לשרתי הדוא"ל בבית הלבן ובמחלקת המדינה בנושא ה- SVR. אבל עד כה, רוסיה מכחישה שיש לה קשר לפריצה של SolarWinds, ולא משאירה אשם ברור.
מה בא אחרי פריצת השמש?
מבחינת ההשפעות הישירות של הפריצה, תאגידים וסוכנויות ממשלתיות ממשיכים לסרוק את המערכות שלהם אחר דלתות אחוריות נוספות התוקפים עשויים לעזוב, כמו גם כל פגיעות אבטחה שהם עשויים לחשוף ולמנוע מהם לנצל אותה בעתיד לִתְקוֹף.
אך בכל הנוגע לנוף אבטחת הרשת הארגוני והממשלתי, הדברים משתנים לנצח. לאחר שאוריון SolarWinds שימש כסוס טרויאני לחדור למערכות שלהם, הרעיון של חבר ואויב וסייבר אבטחת סייבר אפס חייב להשתנות כדי לעמוד בקצב.
קָשׁוּר: מהי רשת Zero Trust וכיצד היא מגינה על הנתונים שלך?
ממשלות, תאגידים ומשתמשים יצטרכו לשנות את האופן שבו הם רואים את מערכות היחסים השיתופיות והפיננסיות שלהם בתמורה למגן אבטחת סייבר חזק ולעתיד בטוח יותר.
האם כדאי לדאוג?
האקרים ממעטים לקחת את מה שבא להם ומשאירים את השאר על כנם. לכל דבר במאגר הנתונים של חברה או ממשלה יש ערך עצום.
בעוד חברות המנהלות עסקים עם SolarWinds, וחברות המזוהות עם אלה שנפגעו כל החברות בדקו את המערכות שלהן פעמיים לאחר הפריצה, אין הרבה מה לעשות כפרט מִשׁתַמֵשׁ.
אין צורך לדאוג שיש את התוכנה הזדונית או את הדלת האחורית באחד מהמכשירים שלך, שכן ההתקפה פנתה בעיקר לתאגידים ומוסדות. אך ייתכן שאתה לקוח של ענקיות טכנולוגיה כמו אינטל או מיקרוסופט, ויש להם רישומים אישיים וכלכליים אודותיך מרכישות קודמות.
עקוב אחר כל ההודעות הדחופות שהספקים שלך שולחים והאם הם מפרסמים הודעות פומביות בנוגע לאירועי אבטחה. ככל שתדע מוקדם יותר על הפרה אפשרית של הנתונים שלך, כך הסיכוי שלך להיחלץ ללא פגע גבוה יותר.
האם תהיה התקפה נוספת דמוית פרץ שמש?
עדיין לא ידוע אם סוכנויות ממשלתיות וחברות יוכלו לשדרג את מערכות האבטחה שלהן בזמן לפני פיגוע נוסף.
אך כל עוד תאגידים ומוסדות נושאים נתונים רגישים ובעלי ערך, הם תמיד יהיו יעד לקבוצות האקרים, מקומיות ובינלאומיות כאחד.
בטח שמעת על מתקפת הסייבר של ווינדווארדס, אז מה זה? והאם נפגעת?
קרא הבא
- בִּטָחוֹן
- תוכנה זדונית
- פריצה
- אבטחת מידע
- פרצת אבטחה
- אבטחת סייבר
אנינה היא כותבת טכנולוגיה ואבטחת אינטרנט עצמאית ב- MakeUseOf. היא החלה לכתוב בתחום אבטחת הסייבר לפני 3 שנים בתקווה להפוך אותו לנגיש יותר לאדם הממוצע. נלהב ללמוד דברים חדשים וחנון אסטרונומיה ענק.
הירשם לניוזלטר שלנו
הצטרף לניוזלטר שלנו לקבלת טיפים, סקירות, ספרים אלקטרוניים בחינם ומבצעים בלעדיים!
לחצו כאן להרשמה