"יכולת פושעי הסייבר להכחיש שפעלו – גורמת לתסכול ענק"

"מה שלמדתי מהפריצה לסולארווינדס (SolarWinds) ומהיעדים שלה הוא, שחברות התוכנה וספקיות אבטחת המידע הן יעדים לגיטימיים לחלוטין לריגול. זה האתגר של המרחב הקיברנטי. הוא כל כך אנונימי, עד שלפושעי הסייבר יש אפשרות הכחשה סבירה – וזה עד כדי כך גורם לתסכול. קשה להבין האם יש קשר בין משהו שקורה בעולם הפיזי, למשהו שקורה עולם הסייבר", כך אמר קווין מנדיה, מנכ"ל פייראיי (FireEye).

מנדיה דיבר אתמול (ג') בכנס סייבר שנערך בארה"ב. הוא הציג בכנס את הדרכים שבהן פעלו חוקרי החברה שבראשותו: "איסוף נתונים מדוקדק; חיפושים ספציפיים למילות מפתח ולסוגי הפרות – אלה היו גורמים שהאנליסטים שלנו השתמשו בהם, כדי לקבוע כי האקרים בחסות הקרמלין – הם העומדים מאחורי פעולת הריגול בסייבר – אחת מהגדולות שהיו בשנים האחרונות".

לדבריו, "הגילויים הראשונים לגבי קמפיין סולארווינדס – שבו מרגלים ניצלו את הקבלן הפדרלי כדי לפרוץ לסוכנויות ממשלתיות בארה"ב ולחברות אזרחיות רבות – התרחשו בתחילת דצמבר 2020. אז אנשי החברה הודיעו כי האקרים גנבו את כלי בדיקת האבטחה שלנו. במהלך החקירה שלנו גילינו, שתוכנת Orion של סולארווינדס נפרצה, וגרמה לתהליך בדיקות, שעדיין נמשכות בכל מעגלי הביטחון הלאומי של ארה"ב".

"למדנו שזה אפשרי לפרוץ את שרשרת האספקה", אמר מנדיה, "החוקרים שלנו חשפו, כי האקרים חיפשו אחר מילות מפתח ספציפיות: זו עדות לכך, שיש להם יעדים ספציפיים לאיסוף מודיעין. הפולשים מינפו גם שם משתמש וסיסמאות ספציפיים לכל חשבון שפרצו: זאת, במקום להשתמש בדלת אחורית אחת של תוכנה, הדומה למפתח ראשי שיפתח את הגישה לכל הנתונים".

"איני רואה אומה כלשהי אחרת שעושה זאת – מלבד רוסיה"

"מה שהפושעים עשו היה להשתמש בתעודה הנכונה, המדויקת – לכל מה שהם נכנסו אליו," אמר מנדיה, "זו משמעת, זה אימון, זה מתודי. ואני לא רואה אומה כלשהי אחרת שעושה זאת – מלבד רוסיה".

מנדיה סיפר, כי כחודש מהפרסום של החברה, אשר מייחס את התקיפה לרוסים, הוא קיבל, באופן אישי, גלויה שנראתה קשורה לרוסיה. בגלויה נכתב כי יש לחלוק על יכולתה של פייראיי לזהות במדויק את מבצע הפריצה. מומחים ציינו, כי לא ברור האם משלוח הגלויה היה טקטיקת הפחדה של סוכנות ביון זרה.

פריצת הענק לסולארווינדס נותרה נושא חשוב בוושינגטון. הבית הלבן ביקש 750 מיליון דולרים תוספת בבקשת התקציב האחרונה שלו לטיפול בהתאוששות מהתקרית. זאת, בעוד שמיקרוסופט (Microsoft) קבעה באחרונה, כי אותה קבוצת האקרים רוסית ביצעה מאז מאמץ פישינג ממוקד, שבו התחזו חבריה לחברים בסוכנות האמריקנית לפיתוח בינלאומי.

את המתקפה ערכה קבוצת APT29, הנתמכת על ידי ממשלת רוסיה וידועה גם בשם Cozy Bear (דובי חמים ונעים). הקבוצה מקושרת ל-SVR, שירות ביון החוץ של רוסיה – אף שמוסקבה, כצפוי, הכחישה זאת. הפריצה פגעה במאות ארגונים בעולם, בראשם מיקרוסופט ופייראיי – שחשפה אותה, ובעשרות ארגונים פדרליים בארה"ב.