מתקפת הסייבר על הממשלה הפדרלית של ארצות הברית (2020)
בחודש מרץ 2020 החלה מתקפת סייבר על הממשלה הפדרלית של ארצות הברית, שהצליחה לפרוץ לגופי ממשל רבים. מתקפת הסייבר בוצעה על ידי ארגון ביון זר באמצעות נוזקה (תוכנה זדונית) שהושתלה בחבילות תוכנה של מיקרוסופט, SolarWinds[1] ו-VMware. הפריצה התגלתה רק חודשים רבים מאוחר יותר, בדצמבר 2020. הארגון התוקף זוהה כקבוצת הפריצה "Cozy Bear", הקשורה לשירות ביון החוץ של רוסיה.
הפריצה למחשבי הממשל נחשבת לחמורה ביותר אי פעם בארצות הברית[1], וזאת בשל רגישות הנתונים, הפרופיל הגבוה של היעדים ומשך הזמן הארוך שבמהלכו הייתה לפורצים גישה למידע. בתוך מספר ימים מגילוי המתקפה דיווחו כ-200 ארגונים נוספים ברחבי העולם כי גם הם נפגעו, וייתכן שנגנבו מהם נתונים.
ב-13 בדצמבר 2020 דווח כי בין הגופים שנפגעו מהתקיפה נמנים מחלקת האוצר של ארצות הברית ומנהל התקשורת והמידע הלאומי, שהוא חלק ממחלקת המסחר[2]. לאחר מכן דיווחו מחלקות נוספות וכן חברות עסקיות כי גם הן נפגעו מהמתקפה.
בדיקה העלתה כי מתקפת הסייבר החלה במרץ 2020 או לפני כן. התוקפים תקפו את שרשרת האספקה של תוכנות ארגוניות של חברות מיקרוסופט, SolarWinds ו-VMware וכך יכלו לגשת לדואר אלקטרוני ולמסמכים אחרים, וכן לבצע אימות זהות מאוחד ולחדור למערכות ארגוניות נוספות.
הסנאטור האמריקאי דיק דרבין תיאר את מתקפת הסייבר כשוות ערך להכרזת מלחמה. נשיא ארצות הברית דונלד טראמפ נמנע מלהגיב במשך ימים ארוכים, ולאחר מכן העיר כי ייתכן שסין, ולא רוסיה, עומדת מאחורי המתקפה.
רקע
[עריכת קוד מקור | עריכה]במערכות הממשלה הפדרלית של ארצות הברית התגלו כשלי סייבר רבים. במאי 2018 פיטר דונלד טראמפ את האחראי על אבטחת סייבר בבית הלבן, ומאז לא מונה איש במקומו. בנובמבר 2018 פיטר טראמפ את מנהל סוכנות אבטחת הסייבר והתשתיות של ארצות הברית, ומאז לא מונה איש במקומו. כמו כן לא אוישו תפקידים רבים הקשורים לאבטחת סייבר במחלקה לביטחון המולדת, ומזכיר ביטחון המולדת של ארצות הברית, צ'אד וולף, אולץ לפרוש מתפקידו בהוראת בית המשפט בנובמבר 2020.
גם בחברת התוכנה SolarWinds מטקסס התגלו כשלי סייבר רבים. אף על פי שבשנת 2017 הצליחו האקרים לפרוץ למחשבי החברה, לא היה בחברה איש אחראי על אבטחת סייבר או אבטחת מידע. בנובמבר 2019 הודיע להם חוקר אבטחת מידע כי שרת הקבצים של החברה אינו מאובטח, והזהיר כי "כל האקר יכול להעלות קבצים זדוניים" שיופצו לאחר מכן ללקוחות. כמו כן נפרצה תוכנת מיקרוסופט 365 של החברה, וכך יכלו התוקפים לגשת לדואר אלקטרוני ומסמכים רבים של החברה.
שיטת התקיפה
[עריכת קוד מקור | עריכה]חברת F-Secure סקרה את שיטות התקיפה של קבוצת ההאקרים ופרסמה פרטים רבים על המתקפה. להלן עיקרי השיטות.
התוקפים ניצלו פרצות אבטחה במוצרים, בשירותים ובתשתית הפצת התוכנה של מיקרוסופט, בהם Microsoft Azure ומיקרוסופט 365. לפחות משווק אחד של שירותי הענן של מיקרוסופט נפגע במתקפה, ובאמצעותו התאפשרה תקיפת שרשרת האספקה שפגעה בלקוחות החברה.
התוקפים השתמשו בפרצת אבטחה בשם "Zerologon" שמאפשרת לתוקפים לגשת לכל שמות המשתמשים והסיסמאות ברשתות הארגון.
בחברת התוכנה SolarWinds הצליחו התוקפים להחדיר קוד זדוני במערכת האוטומציה של בניית תוכנה. קוד זה הופץ ללקוחות החברה וכך הצליחו התוקפים לפרוץ לארגונים ממשלתיים רבים ולהחדיר להם בוטנטים זדוניים. החל ממרץ 2020, ואולי לפני כן, זוהו סוסים טרויאניים שהותקנו על מערכות של גופי ממשל אמריקאיים על ידי תוכנת SolarWinds וכן כניסות של התוקפים למחשבי החברה באמצעות שולחן עבודה מרוחק. באפריל 2020 התרחבה רשת הבוטנטים למערכות רבות בצפון אמריקה ואירופה.
התוקפים ניצלו גם פרצות אבטחה ברכיבים של VMware כחלק מהפריצה למערכות SolarWinds.
גילוי הפריצה
[עריכת קוד מקור | עריכה]במהלך 2019 ו-2020 חברת אבטחת הסייבר Volexity גילתה מתקפת סייבר באמצעות שימוש במוצרי מיקרוסופט וסוס טרויאני שהוחדר באמצעות תוכנת SolarWinds למערכות של אחד מלקוחות החברה, אך החברה לא הצליחה לזהות את הגוף התוקף.
באוקטובר 2020 דיווח מרכז האיומים של מיקרוסופט כי ארגוני ביון זרים מנסים לנצל את פרצת האבטחה "Zerologon" כדי לפרוץ למערכות של גופי ממשל בארצות הברית. המחלקה לביטחון המולדת של ארצות הברית פרסמה התראות ב-22 באוקטובר 2020 בהן הונחו גופי ממשל לחפש סימני פריצה ולהתגונן בהתאם. באותו זמן, אתר החדשות The Intercept השתמש בתוכנת VirusTotal וזיהה קבצים זדוניים ברשת של עיריית אוסטין בטקסס.
ב-8 בדצמבר 2020 הודיעה חברת אבטחת הסייבר FireEye כי זוהתה מתקפת סייבר של גוף ביון זר על מערכות הממשלה הפדרלית של ארצות הברית, ככל הנראה מטעם שירות ביון החוץ של רוסיה. בתוך מספר ימים הסתבר כי נפרצו מערכות המידע של מחלקת האוצר של ארצות הברית ושל מנהל התקשורת והמידע הלאומי, שהוא חלק ממחלקת המסחר. לאחר מכן דיווחו מחלקות נוספות וכן חברות עסקיות כי גם הן נפגעו מהמתקפה.
ב-22 באוקטובר 2020 הודיע ה-FBI שהארגון התוקף זוהה כקבוצת הפריצה "Cozy Bear" הקשורה לשירות ביון החוץ של רוסיה[3].
נזקים
[עריכת קוד מקור | עריכה]בין גופי הממשל שמערכותיהם נפרצו נמנים מחלקת האוצר של ארצות הברית, מחלקת האנרגיה, המחלקה לביטחון המולדת, מחלקת הבריאות, מחלקת ההגנה, מחלקת החקלאות, מחלקת המדינה ומחלקת המסחר.
כמו כן נפרצו מערכות של כ-200 גופי ממשל נוספים וחברות עסקיות, בהן סיסקו מערכות ומחשבי עיריית אוסטין.
חברת מיקרוסופט הודיעה ל-40 לקוחות עסקיים כי ייתכן שמערכותיהם נפגעו מהתוכנה הזדונית של SolarWinds. רוב הלקוחות בארצות הברית, אך חלקם נמצאים באיחוד האמירויות הערביות, בלגיה, הממלכה המאוחדת, ישראל, מקסיקו, ספרד וקנדה[4].
תגובת הממשל האמריקאי
[עריכת קוד מקור | עריכה]ב-18 בדצמבר אמר מזכיר המדינה של ארצות הברית, מייק פומפאו, כי רוסיה אחראית "בצורה די ברורה" למתקפת הסייבר.
ב-19 בדצמבר התייחס לראשונה נשיא ארצות הברית דונלד טראמפ למתקפה, ואמר כי ייתכן שסין, ולא רוסיה, עומדת מאחורי המתקפה[5].
הנשיא הנבחר של ארצות הברית ג'ו ביידן אמר כי "הגנה טובה אינה מספיקה, אנחנו צריכים לתקוף את המערכות של האויבים שלנו ולהרתיע אותם מלכתחילה מלבצע מתקפות סייבר משמעותיות. אני לא אעמוד בחיבוק ידיים מול מתקפות סייבר על האומה שלנו." הוא הנחה את צוות המעבר שמינה לחקור את המתקפה, ואמר כי התוקפים יזוהו וייענשו.
רוסיה הכחישה מעורבות.
קישורים חיצוניים
[עריכת קוד מקור | עריכה]- ניתוח טכני של שינויי התוכנה שבוצעו כחלק מהפריצה למערכות SolarWinds, באתר חברת מיקרוסופט, 18 בדצמבר 2020 (באנגלית)
- אופיר דור, 7 מיליון מיילים, 18 אלף לקוחות: מנהל האבטחה ששרד את מתקפת הסייבר הגדולה בהיסטוריה, באתר TheMarker, 13 בספטמבר 2024
הערות שוליים
[עריכת קוד מקור | עריכה]- ^ 1 2 אופיר דור, האיש ששרד את מתקפת הסייבר הגדולה בהיסטוריה, באתר TheMarker, 13 בספטמבר 2024
- ^ הפריצה לממשל האמריקני: ההאקרים הרוסים חדרו למיילים של בכירי האוצר, באתר וואלה, 22 בדצמבר 2020.
- ^ יוסי הטוני, ה-FBI מאשר: מתקפת הסייבר הענקית השפיעה על הממשל הפדרלי, באתר "אנשים ומחשבים", 17 בדצמבר 2020.
- ^ Solarwinds Backdoor Affected 18,000 Customers; Microsoft Warns 40 Actively Targeted Organizations, באתר "CPO Magazine", 25 בדצמבר 2020 (באנגלית).
- ^ ביידן קיווה להתמקד בקורונה, אך מתקפת הסייבר הרוסית תחייב תגובה, באתר וואלה, 19 בדצמבר 2020.