מסתבר שהפריצה בסייבר בבריטניה גדולה יותר משהעריכו בתחילה

מתקפת הסייבר הרוסית נגד יעדים בריטיים, שפורסמה בלילה שבין יום ב' ליום ג' השבוע, אמנם הייתה בעלת השפעה רבה יותר ממה שפורסם בהתחלה – כפי שחששו גורמים רבים. אם בהתחלה דובר על עשרות אלפי רשומות שנחשפו במסגרת הפריצות השונות, כעת מתברר שהנתון עומד על שש ספרות.

ההתפתות האחרונה בפרשה היא האולטימטום שהציבה כנופיית פושעי הסייבר הרוסית קלופ (Clop, או Cl0p) לקורבנות הפריצה שלה, ובהם ה-BBC, שם נפרצו נתונים של יותר מ-100 אלף עובדים, חברת התעופה בריטיש איירווייז ורשת הטיפוח והפארמה בוטס. חברי הקבוצה פרסמו הודעה בדארקנט ודרשו מקורבנות מתקפת MOVEit ליצור עימם קשר במייל עד ה-14 ביוני, שאם לא כן, הם יפרסמו בפומבי נתונים חסויים שגנבו מהם. האיום פורסם בפוסט ארוך בבלוג – שנכתב באנגלית רצוצה. העובדים של הקורבנות קיבלו הוראה שלא לשלם דמי כופר – אם ההאקרים ידרשו זאת מהם.

ארגונים אלה ואחרים, כולל חברת התעופה אייר לינגוס, הוזהרו על ידי הממשל הבריטי כי הותקפו וכי עולה חשש שלפיו מידע אישי של עובדים פנימיים ולקוחות חיצוניים שלהם דלף ונגנב, כולל מספרי ביטוח לאומי ופרטי חשבונות בנק.

הפריצה המקורית – לספקית שירותי השכר זליס

פושעי הסייבר פרצו לתוכנה פופולרית שבה ארגוני הקורבנות השתמשו, ודרכה השיגו גישה לכמה חברות – במקביל. הקורבן שדרכו בוצעה המתקפה הוא ספקית שירותי השכר זליס, שמצידה דיווחה שהיא אחת החברות שנפגעו, ושנתונים של שמונה מבין כלל החברות הלקוחות שלה נגנבו.

הפריצה נחשפה בראשונה בשבוע שעבר, כאשר פרוגרס סופטוור האמריקנית דיווחה שהאקרים מצאו דרך לפרוץ לכלי MOVEit Transfer שלה. עם זאת, ממדי הפריצה פורסמו רק השבוע. MOVEit היא תוכנה שמיועדת להעביר קבצים רגישים בצורה מאובטחת. היא פופולרית ברחבי העולם בכלל ובקרב רוב לקוחותיה של פרוגרס סופטוור בארצות הברית בפרט. ספקית התוכנה מסרה שהיא התריעה ועדכנה את לקוחותיה על הפריצה ברגע שהדבר נודע לה, ופרסמה במהירות עדכון אבטחה להורדה. דובר החברה מסר כי היא עובדת בשיתוף פעולה עם המשטרה.

למרות הנחיות גופי ממשל ואבטחה לעדכן את הפגיעויות, חוקרי אבטחה מצאו שאלפי מאגרי מידע של החברה עדיין עלולים להיות פגיעים, כיוון שחברות רבות שנפגעו עדיין לא התקינו את הטלאי. "האינדיקציות המוקדמות הן שיש מספר רב של ארגונים בולטים שנפגעו", אמרו מומחי האבטחה.

חוקרי מיקרוסופט מייחסים את המתקפות ל-Lace Tempest – קבוצת האקרים שידועה בפעילות הכופרה שלה, והיא אשר מנהלת את אתר הסחיטה Cl0p, שבו מתפרסמים נתוני הקורבנות. הענקית מרדמונד מסרה שההאקרים הללו השתמשו בטכניקות דומות בעבר כדי לגנוב נתונים ולסחוט קורבנות.

בפוסט של ההאקרים, שפורסם ב-BBC, נכתב, באנגלית קלוקלת: "זוהי הכרזה כדי לחנך חברות המשתמשות במוצר Progress MOVEit, שהסיכוי הוא שאנחנו מורידים הרבה מהנתונים שלך כחלק מניצול יוצא דופן של המוצר על ידינו". בהמשך הפוסט חברי הקבוצה הפצירו בארגוני הקורבנות לשלוח להם מייל, כדי להתחיל במשא ומתן בדארקנט על תשלום בתמורה לשחרור הנתונים הגנובים שהוצפנו.

אנליסטים ציינו כי מדובר בטקטיקה חריגה, כיוון שבדרך כלל, ההאקרים שולחים לקורבנות את דרישות הכופר במייל. הם העלו השערה שהסיבה שההאקרים דורשים מהקורבנות ליצור קשר היא כיוון שהם עסוקים מדי במיון ובטיפול בהררי הנתונים שאותם הם גנבו.

המומחים אמרו שלמרות הכול, ייתכן שהפריצה לא בוצעה על ידי חברי קלופ, שכן זו מספקת שירותי "מתקפות כופרה כשירות" – כלומר, שהאקרים יכולים לשכור את הכלים שלהם כדי לבצע מתקפות מכל מקום. ב-2021, האקרים ששייכים לכאורה לקלופ נעצרו באוקראינה, במבצע משותף שלה יחד עם ארצות הברית ודרום קוריאה. הרשויות טענו אז שהם הפילו את הקבוצה, שלדבריהם הייתה אחראית לסחיטת חצי מיליארד דולר מקורבנות ברחבי העולם.