מיקרוסופט: האקרים רוסים ממשיכים לנסות לפרוץ אלינו

קבוצת ההאקרים Midnight Blizzard ('סופת שלג בחצות הליל'), הפועלת בחסות הביון הרוסי, מנסה לפרוץ למערכות של מיקרוסופט (Microsoft) באמצעות נתונים שנגנבו בפריצה קודמת, מינואר השנה; כך דיווחה הענקית מרדמונד בסוף השבוע.

אנליסטים הביעו דאגה בנוגע לאבטחת השירותים והמערכות של מיקרוסופט, המספקת שירותי דיגיטל ותשתיות IT לממשל בארה"ב.

לפי הודעת מיקרוסופט, נצפו עדויות לכך שהאקרים מנסים להשיג גישה לא מורשית למערכותיה. "הניסיונות כללו גישה לכמה ממאגרי קוד המקור והמערכות הפנימיות של החברה. נכון לעכשיו, לא מצאנו כל עדות לכך שמערכות של לקוחות שמתארחות אצלנו – נפגעו", אמרה מיקרוסופט. בחברה הוסיפו כי "קבוצת ההאקרים מנסה לעשות שימוש בסודות שונים שהיא מצאה. עדכנו את המשתמשים המושפעים מהפריצה".

לפי החברה, חברי הכנופייה הגדילו והגבירו כמה מההיבטים של המתקפה: כך, למשל, היקף המתקפות מסוג "ריסוס סיסמאות", גדל פי עשרה בפברואר, בהשוואה להיקף בינואר. במתקפה מסוג ריסוס סיסמה, שחקן האיום מנסה להשמיש את אותה סיסמה בכמה חשבונות, לפני שהוא עובר לחשבון אחר. כך, התוקפים יכולים להימנע מזיהוי שלהם.

ככל הנראה Midnight Blizzard אחראית גם על הפריצה רחבת ההיקף שבוצעה נגדה ב-2020. סולארווינדס. צילום: BigStock

Midnight Blizzard – הרבה שמות שונים וחיבור ל-SVR ול-FSB

"המתקפה המתמשכת של Midnight Blizzard מאופיינת במחויבות מתמשכת ומשמעותית עם ניצול משאבי תקיפה גדולים, תוך השקעה גם בתיאום המתקפות ובמיקוד של שחקן האיום", אמרה מיקרוסופט. "ייתכן שחברי הקבוצה משתמשים במידע שהשיגו (בעבר) כדי לשפר את יכולת התקיפה שלהם. הפעילות הזו משקפת את מה שהפך באופן רחב יותר לנוף איומים גלובלי – חסר תקדים".

בינואר השנה, מיקרוסופט הודיעה כי מיילים של מנהלים בחברה נפרצו על ידי קבוצת האקרים רוסית, אותם זיהתה כחברי קבוצת הביון נובליום (Nobelium), האחראית על הפריצה רחבת ההיקף שבוצעה נגד סולארווינדס (SolarWinds) ב-2020. "בסוף נובמבר האחרון, הקבוצה ניגשה לחשבון בדיקה שאינו פעיל, ומשם השיגה גישה לאחוז קטן מאוד מחשבונות הדוא"ל הארגוניים של מיקרוסופט, כולל מנהלים בכירים ועובדי סייבר – והוציאו כמה מיילים ומסמכים מצורפים". ב-2021 הקבוצה פעלה פעמיים כנגד הענקית מרדמונד.

מיקרוסופט לא הייתה הקורבן היחיד של ההאקרים ממוסקבה: בינואר השנה, HPE חשפה כי נפגעה ממתקפה של Midnight Blizzard בשנה שעברה.

למעשה מיקרוסופט מכנה בשם Midnight Blizzard את קבוצת APT29, הנתמכת על ידי ממשלת רוסיה וידועה גם בשם Cozy Bear ('דובי חמים ונעים'). הקבוצה מקושרת ל-SVR, שירות ביון החוץ של רוסיה, ולעיתים גם ל-FSB, שירות הביטחון הפדרלי, ה"יורש" של הקג"ב.

זמן מה לאחר חשיפת הפריצה לסולארווינדס, קבעו גורמי ביון מערביים כי הקבוצה היא האחראית למתקפת הסייבר הענקית, אף שמוסקבה, כצפוי, הכחישה זאת כמה פעמים. הקבוצה הייתה מעורבת גם בפריצה למחשבי המפלגה הדמוקרטית בארה"ב במהלך המרוץ לנשיאות ב-2016.

ג'ורג' קורץ, ממיסד שותף ומנכ"ל קראוד סטרייק. צילום: יח"צ

"אם יש קוד מקור שנמצא בחוץ, למה הוא מיועד?"

ג'ורג' קורץ, מייסד משותף ומנכ"ל קראוד סטריק (CrowdStrike), התייחס בסוף השבוע לאירוע הסייבר ואמר כי "מיקרוסופט אמנם מוציאה מידע על התקרית, אבל עושה זאת בטפטוף. אני חושב שזה עדיין עכור, מעורפל".

לדבריו, "לא מסתדר לי הסיפור שיש מערכת בדיקה, שהייתה בפינה ואז פתאום קוד המקור שלה נפרץ. מיקרוסופט צריכה להגביר את רמת השקיפות – לא רק לדבר על זה, אלא להדגים את זה בפעולה. כי אם יש קוד מקור שנמצא בחוץ, למה הוא מיועד? מה ההשפעה שלו בכלל ועל הלקוחות בפרט? אילו לקוחות הושפעו מכך? קשה לי להאמין שלא הייתה השפעה על הלקוחות. יש הרבה ניואנסים בניסוח. אני לא יודע מה קרה". קורץ סיים ואמר כי "ריסוס סיסמה היא לא המתוחכמת ביותר בין המתקפות. איפה יש אימות דו-שלבי? האם אין אותו במערכות קריטיות אלו? אלו שאלות עבור מיקרוסופט".

מיקרוסופט לא הגיבה לדברים.