מי ינצור את הממלכה? בריטיש איירווייז ו-BBC נפגעו ממתקפת סייבר

רשת השידור הממלכתית הבריטית ה-BBC, וחברות התעופה בריטיש איירווייז (British Airways), איר לינגוס (Aer Lingus) ורשת הטיפוח והפארמה בוטס (Boots) – הן בין הנפגעות ממתקפת סייבר רחבת היקף כנגד ארגונים בממלכה מאוחדת, כך פורסם הלילה (ב'-ג'). עד כה ידוע על דליפת פרטים של עשרות אלפי עובדים ולקוחות – אולם קיים חשש שההיקף האמיתי של הנתונים שנפרצו הוא גדול בהרבה.

ארגונים אלה ואחרים הוזהרו על ידי הממשל הבריטי כי הותקפו וכי עולה חשש לפיו מידע אישי של עובדים פנימיים ולקוחות חיצוניים שלהם דלף ונגנב, כולל מספרי ביטוח לאומי ופרטי חשבונות בנק.

פושעי הסייבר פרצו לתוכנה פופולרית בה ארגוני הקורבנות עשו שימוש – ודרכה השיגו גישה לכמה חברות – במקביל. לא התקבלו דיווחים על דרישות לתשלום דמי כופר, או גניבת כסף. הקורבן שדרכו בוצעה המתקפה היא ספקית שירותי השכר Zellis. ההאקרים פרצו לתוכנה בה ספקית שירותי השכר עושה שימוש – ומשם פרצו לארגונים נוספים. Zellis דיווחה כי היא אחת החברות שנפגעו וכי נתונים של שמונה מבין כלל החברות הלקוחות שלה – נגנבו.

בהודעת מייל שנשלחה למועסקיה, בישרה רשת BBC כי הנתונים שנגנבו כוללים מספרי תעודות זהות של עובדים, תאריכי לידה, כתובות ומספרי ביטוח לאומי. מ-בריטיש איירווייז נמסר כי "ייתכן שלחלק מהעובדים או לקוחות החברה נגנבו פרטי חשבון הבנק".

מרכז אבטחת הסייבר הלאומי של בריטניה עדכן כי הוא עוקב אחר המתקפה וקרא לארגונים המשתמשים בתוכנה שנפגעה – לבצע עדכוני אבטחה.

ההאקרים מצאו דרך לפרוץ לכלי MOVEit Transfer שלה. Progress Software האמריקנית.

הכל התחיל ב-MOVEit

הפריצה נחשפה בראשונה בשבוע שעבר, כאשר חברת Progress Software האמריקנית דיווחה כי האקרים מצאו דרך לפרוץ לכלי MOVEit Transfer שלה. MOVEit היא תוכנה המיועדת להעביר קבצים רגישים בצורה מאובטחת. היא פופולרית ברחבי העולם בכלל ובקרב רוב לקוחותיה בארה"ב בפרט. ספקית התוכנה אמרה שהיא התריעה ועדכנה את לקוחותיה על הפריצה ברגע שהדבר נודע לה ופרסמה במהירות עדכון אבטחה להורדה. דובר החברה מסר כי היא עובדת בשיתוף פעולה עם המשטרה כדי "להילחם בפושעי סייבר מתוחכמים, הפועלים באופן מתמשך, שמטרתם היא ניצול זדוני של פגיעויות במוצרי תוכנה שנעשה בהם שימוש נרחב".

CISA, הסוכנות האמריקנית לאבטחת סייבר ותשתיות, פרסמה ביום ה' האחרון אזהרה לחברות המשתמשות ב-MOVEit, והורתה להן להוריד תיקון אבטחה כדי לעצור מתקפות ופריצות אפשריות נוספות. למרות זאת, חוקרי אבטחה מצאו כי אלפי מאגרי מידע של החברה עדיין עלולים להיות פגיעים, כיוון שחברות רבות שנפגעו – עדיין לא התקינו את הטלאי. "האינדיקציות המוקדמות הן שיש מספר רב של ארגונים בולטים שנפגעו", אמרו מומחי האבטחה.

חוקרי מרכז האיומים של מיקרוסופט לא הצביעו באופן רשמי על זהות ההאקרים. למרות זאת, הם כתבו כי הם מאמינים שפושעי הסייבר האחראים למתקפה קשורים לקבוצת הכופרות הנודעת לשמצה Cl0p, שבסיסה ברוסיה. בפוסט בבלוג אמרו חוקרי הענקית מרדמונד כי הם מייחסים את המתקפות ל-Lace Tempest, קבוצת האקרים הידועה בפעילות הכופרה שלה, והיא אשר מנהלת את אתר הסחיטה Cl0p, שבו מתפרסמים נתוני קורבנות. מיקרוסופט אמרה כי ההאקרים הללו השתמשו בטכניקות דומות בעבר כדי לגנוב נתונים ולסחוט קורבנות.

מומחה אבטחה ציין כי "סבב המתקפות הזה הוא תזכורת נוספת לחשיבות של אבטחת שרשרת האספקה. סביר להניח שקבוצות איומים אחרות יעשו שימוש בפגיעות זו".

NCA, סוכנות הפשע הלאומית בבריטניה, אמרה ל-BBC כי היא מודעת לכך שכמה ארגונים במדינה הושפעו מתקרית סייבר, כתוצאה מפגם אבטחה שלא היה ידוע בעבר הקשור ל-MOVEit Transfer.