מי ישמור על השומרים 2.0? הדוב הרוסי פרץ לאבטחה של HPE

האקרים הפועלים בשליחות הקרמלין פרצו והשיגו גישה למערך הדואר של צוות האבטחה של HPE – כך הודיעה ענקית ה-IT אתמול (ד').

ההאקרים הם חברי קבוצת APT29, הנתמכת על ידי ממשלת רוסיה. היא ידועה גם בשם Cozy Bear ("דובי חמים ונעים") ו-Midnight Blizzard, "סופת שלג בחצות". הקבוצה מקושרת ל-SVR, שירות ביון החוץ של רוסיה, ולעיתים גם ל-FSB, שירות הביטחון הפדרלי, ה"יורש" של הקג"ב. עוד היא מכונה נובליום (Nobelium), שהתפרסמה בפריצת הענק לסולארווינדס (SolarWinds).

לפי הודעת HPE לרשות לניירות ערך בארה"ב ( SEC), "הפורצים הצליחו להשיג גישה לסביבת הדואר האלקטרוני Microsoft Office 365 של החברה, וגנבו נתונים מצוות אבטחת הסייבר שלנו וממחלקות אחרות. הבחנו בעדויות לפריצה ב-12 בדצמבר האחרון".

"בהתבסס על החקירה שלנו", נכתב בהודעת ענקית ה-IT, "אנו מאמינים כי שחקן האיום השיג גישה וקצר נתונים מחלק קטן מתיבות הדואר של החברה, השייכות לאנשי כמה צוותים – אבטחת הסייבר, היציאה לשוק, גופים עסקיים ופונקציות נוספות בחברה".

חוקרי HPE מעריכים, כי הפריצה קשורה לאירוע סייבר קודם, שבוצע במאי 2023, אז גורמי האיום קיבלו גישה לשרת SharePoint של החברה וגנבו משם קבצים. "נמשיך לעבוד בשיתוף פעולה עם מומחי אבטחת סייבר חיצוניים ועם הרשויות לאכיפת החוק – כדי לחקור את האירוע", נמסר.

החברה מסרה, כי "לאחר קבלת ההודעה על הפריצה, הפעלנו מיד את נוהלי התגובה בסייבר, פתחנו בחקירה וערכנו פעולות מניעה ותיקון כדי למגר את הפעילות ההתקפית. הנתונים שההאקרים הצליחו להשיג אליהם גישה הם רק אלה שהיו בתיבות הדואר של המשתמשים".

"עם זאת", נמסר, "לאירוע הסייבר לא הייתה כל השפעה תפעולית על העסק שלנו. טרם הצלחנו לקבוע האם לאירוע זה צפויה להיות השפעה כספית מהותית". HPE לא ידעה לומר האם הפריצה קשורה לאירוע סייבר דומה שקרה למיקרוסופט לפני ימים אחדים.

HPE נפרצה בעבר ב-2018: האקרים סינים פרצו לרשת שלה ושל יבמ (IBM) ואז ניצלו גישה זו כדי לפרוץ למכשירים של לקוחות החברה. ב-2021, חשפה HPE, כי מאגרי הנתונים עבור פלטפורמת ניטור הרשת Aruba Central שלה – נפגעו, מה שאפשר לשחקן האיום לגשת לנתונים שעל המכשירים המנוטרים.

לפני ימים אחדים מיילים של מנהלים במיקרוסופט נפרצו על ידי קבוצת ההאקרים הרוסית ולא בפעם הראשונה. בסוף נובמבר האחרון, הפורצים חברי הקבוצה ניגשו לחשבון בדיקה שאינו פעיל. לאחר שהשיגו גישה, חברי הקבוצה ניצלו ההרשאות מהחשבון כדי לגשת לאחוז קטן מאוד מחשבונות הדוא"ל הארגוניים של מיקרוסופט, כולל מנהלים בכירים ועובדי סייבר – והוציאו כמה מיילים ומסמכים מצורפים. מיקרוסופט אמרה שאין סימנים לכך שנובליום ניגשה לנתוני לקוחות, מערכות בייצור או קוד מקור קנייני.

בספטמבר 2021 פרסמנו, כי חברי נובליום פיתחו דלת אחורית, הגונבת מידע רגיש משרתי ADFS (ר"ת Active Directory Federation Services) של מיקרוסופט. הדלת האחורית, העונה לשם FoggyWeb, היא "נוזקה שנבנתה בהתאמה אישית, פסיבית וממוקדת מאוד", וגונבת מרחוק מגוון אישורי הרשאות, תצורה ומפתחות פענוח.

ביוני 2021, חלק מכלי התמיכה בלקוחות של מיקרוסופט נפרצו על ידי קבוצת נובליום, שתקפו את סוכן שירות הלקוחות של מיקרוסופט. המתקפה הצליחה.

חודש קודם לכן, במאי 2021, קבוצת ההאקרים הרוסית פעלה שוב, לפי מיקרוסופט. ההאקרים הרוסים הפעילו קמפיין פישינג נרחב, שמטרתו לפרוץ לכ-150 ארגונים ב-24 מדינות.

זמן מה לאחר חשיפת הפריצה לסולארווינדס (SolarWinds), קבעו גורמי ביון מערביים, כי הקבוצה היא האחראית למתקפת הסייבר הענקית, אף שמוסקבה, כצפוי, הכחישה זאת כמה פעמים. הקבוצה הייתה מעורבת גם בפריצה למחשבי המפלגה הדמוקרטית בארה"ב במהלך המרוץ לנשיאות ב-2016.

נובליום התפרסמה בביצוע מתקפת הענק שהחלה בסולארווינדס ומשם המשיכה לעשרות סוכנויות פדרליות ולמאות ארגונים ברחבי העולם. הפריצה החלה באוקטובר 2019 וקיבלה דחיפה משמעותית במרץ 2020. עשרות ענקיות טק וסוכנויות מהממשל הפדרלי האמריקני נפגעו גם הן.