חוצפה של פוטין: ההאקרים שפרצו לסולארווינדס גנבו נתונים על הפעולות נגדם

הרצחת וגם ירשת? מסתבר שההאקרים הרוסיים שפרצו לתוכנה של סולארווינדס החמיצו את השיעור שעסק בכללי ההתנהגות ברשת ומחוצה לה.

ההאקרים, חברי קבוצת APT29, שפרצו לתוכנת הניהול אוריון של סולארווינדס ומשם פרצו לעשרות ארגונים פדרליים בארצות הברית ולמאות ארגונים בעולם, השיגו מידע על חקירות מודיעיניות נגדיות, מדיניות בנושא אישורים לעובדים רוסיים – לזיכוי ביטחוני או לעבודה מול חברות תוכנה אמריקניות, וכן פעילויות של גופי ממשל בארצות הברית למלחמה בנגיף הקורונה.

מיקרוסופט מסרה על כך בהודעה שפרסמה בסוף השבוע, שמהווה המשך להודעה שלה מלפני כמה ימים, שלפיה ההאקרים שעומדים מאחורי קמפיין הריגול הענק בסייבר של סולארווינדס פיתחו דלת אחורית, שגונבת מידע רגיש משרתי ADFS (ר"ת Active Directory Federation Services) של החברה. הדלת האחורית הזו, שעונה לשם FoggyWeb, נמצאה באפריל השנה, ולפי מיקרוסופט היא "פסיבית וממוקדת מאוד", וגונבת מרחוק מגוון אישורי הרשאות, תצורה ומפתחות פענוח. לאחר שהותקנה, היא מאפשרת ניצול לרעה של אסימון אבטחת סימון השפה (SAML). כך, היא מצליחה לסייע להאקרים להעביר מרחוק מידע רגיש משרתי ADFS שנפגעו, על ידי בניית הגדרות שנדמות להיות לגיטימיות, ובעקבותיהן יירוט בקשות של המשתמשים ועל בסיסן – גניבת המידע הרגיש.

לפי מיקרוסופט, "FoggyWeb היא עוד נוזקה שנבנתה בהתאמה אישית, כפי שאנחנו מכירים לעתים קרובות את (כלי הפריצה של) ה-SVR, שירות הביון הזר הרוסי – בקמפיינים שלו".

בהתראת איומים שלה מסוף השבוע מסרה מיקרוסופט כי "המרגלים הרוסיים מחפשים, בסופו של דבר, נתונים ממשלתיים בנושאי סנקציות ומדיניות הקשורות לרוסיה, יחד עם שיטות אמריקניות לתפיסת האקרים רוסיים". כריסטין גודווין, מנכ"לית יחידת האבטחה הדיגיטלית של מיקרוסופט, אמרה כי "החברה הסיקה את מסקנותיה מסוגי הלקוחות והחשבונות שראתה שהם מהווים מטרות ממוקדות".

הדובי החמים – והבכלל לא נעים

ביוני האחרון פורסם כי חלק מכלי התמיכה בלקוחות של מיקרוסופט נפרצו על ידי קבוצת הפריצה נובליום, שהייתה מקושרת – בנפרד – למתקפה על סולארווינדס, שהייתה הרבה יותר מתוקשרת ממנה. המתקפה שביצעה נובליום נערכה על סוכן שירות הלקוחות של מיקרוסופט – והצליחה.

חודש קודם לכן, במאי השנה, מיקרוסופט מסרה שקבוצת ההאקרים הרוסית הפועלת בחסות הקרמלין, שהתפרסמה בביצוע מתקפת הענק שהחלה בסולארווינדס, פעלה שוב. ההאקרים הרוסיים פצחו אז בקמפיין פישינג נרחב, שמטרתו הייתה לפרוץ לכ-150 ארגונים ב-24 מדינות. ההאקרים מרוסיה התחזו ל-USAID, הסוכנות האמריקנית הממשלתית לפיתוח בינלאומי, המממנת פרויקטי סיוע ברחבי העולם. הם התמקדו בכ-3,000 חשבונות אישיים וערכו עליהם "בליץ" של מיילים. הפצחנים שלחו את המיילים דרך חשבון פרוץ שהסוכנות משתמשת בו כדי לשלוח הודעות דוא"ל שיווקיות.

הרוסים עומדים מאחוריה. מתקפת סולארווינדס. צילום אילוסטרציה: BigStock צילום: BigStock

קבוצת APT29 נתמכת על ידי ממשלת רוסיה וידועה גם בשם Cozy Bear (דובי חמים ונעים). הקבוצה מקושרת ל-SVR, שירות ביון החוץ של רוסיה, ולעתים גם ל-FSB, שירות הביטחון הפדרלי, ה-"יורש" של הקג"ב. זמן מה לאחר חשיפת הפריצה לסולארווינדס קבעו גורמי ביון מערביים כי הקבוצה היא האחראית למתקפת הסייבר הענקית, אף שמוסקבה, כצפוי, הכחישה זאת כמה פעמים.

הקבוצה הייתה מעורבת גם בפריצה למחשבי המפלגה הדמוקרטית בארצות הברית במהלך המרוץ לנשיאות ב-2016. עוד קורבן שלה, שזהותו פורסמה בינואר השנה, היה מערכת ניהול התיקים והגשת התיקים האלקטרונית של הרשות השופטת בארצות הברית. מדובר במערכת המקבילה במהותה לנט המשפט הישראלית. המערכת סבלה מ-"פריצה לכאורה", כחלק מהפריצה שהתבססה על החדרת נוזקה לתוכנת אוריון של סולארווינדס.

קורבן נוסף של מתקפת הענק היה משרד המשפטים בוושינגטון: התוקפים הצליחו להשיג גישה לחשבונות המייל של עובדי המשרד שמשתמשים באופיס 365 של מיקרוסופט.

הקמפיין של APT29 החל באוקטובר 2019 וקיבל דחיפה משמעותית במרץ 2020. פייראיי הייתה הראשונה לחשוף את המתקפה ואת העובדה שההאקרים חדרו למערכותיה – בתחילת דצמבר האחרון. חברות נוספות שנפלו קורבן להאקרים הרוסיים היו VMware, סיסקו, אינטל, אנבידיה, בלקין, יצרנית נתבי Wi-Fi וציוד רשת ביתי, דלויט וכאמור – מיקרוסופט.

רבים מגופי הממשל הפדרלי האמריקני נפגעו בקמפיין הפריצות, בהם משרד האוצר, מינהל הטלקום והמידע הלאומי במשרד המסחר – ה-NTIA – וסוכנויות מודיעין ומשרד האנרגיה. מינהל ביטחון הגרעין הלאומי, ה-NNSA, שמטפל במאגר אמצעי הלחימה הגרעיניים של ארצות הברית, היווה גם הוא מטרה למתקפה, כמו גם המשרד להגנת המולדת ומשרד החוץ.