מסתמן סיום לפרשת מתקפת הסייבר הענקית על סולארווינדס

פרשת סולארווינדס קרובה לסיום: החברה וה-SEC, הרשות האמריקנית לניירות ערך, הגישו בקשה לבית המשפט הפדרלי להשהות את ההתדיינות המשפטית המתמשכת ביניהן, מאחר שהן מתקרבות להגעה להסכם פשרה. התיק עוסק באופן שבו ספקית אבטחת הסייבר ניהלה וחשפה את הסיכונים שלה לפני מתקפת הסייבר העולמית, שאירעה ב-2020.

השופט פול אנגלמאייר מבית המשפט במחוז הדרומי של ניו יורק קיבל את הבקשה, תוך שהוא משבח את הצדדים על שהתקרבו להסדר לפתרון האירוע.

תחילתה של פרשת סולארווינדס במתקפת סייבר שנחשפה ב-2020, ובדיעבד התברר שהחלה כבר ב-2019. נוזקה בשם Sunburst חדרה למערכות ארגונים ברחבי העולם, והתקרית הפכה לאחת ממתקפות הסייבר המשמעותיות בהיסטוריה: כמעט 18 אלף מלקוחות סולארווינדס, כולל עשרות ארגוני ממשל בארצות הברית, קיבלו עדכון תוכנה פגום – מה שגרם לכך שלפחות תשעה ספקי שירותים מנוהלים נפרצו כתוצאה מהאירוע.

סולארווינדס הותקפה בסייבר באופן ממוקד, במתקפה שפגעה בשרשרת האספקה שלה. המתקפה פגעה באוריון, פלטפורמת ניטור הרשת של החברה. הפריצה, שהסבה נזקים והשפעות גלובליים, וניכרים, בוצעה על ידי האקרים רוסים, שפועלים בחסות הקרמלין. ההאקרים הצליחו להשיג גישה לא מורשית למערכות של סוכנויות ממשל בארצות הברית, תשתיות קריטיות וארגונים מהמגזר הפרטי.

הנוזקה הוזרקה לאוריון בין מרץ ליוני 2020, וזו אפשרה להאקרים, חברי קבוצה APT29, לפרוץ למערכות של ארגונים שונים. קבוצה APT29 נתמכת על ידי ממשלת רוסיה וידועה גם בשם Cozy Bear (דובי חמים ונעים). הקבוצה מקושרת ל-SVR, שירות ביון החוץ של רוסיה – אף שמוסקבה, כצפוי, הכחישה כי היא זו שעומדת מאחורי המגה אירוע.

הראשונים לזהות שהותקפו ונפרצו היו אנשי פייראיי, אז הבעלים של מנדיאנט. הפריצה פגעה במאות ארגונים בעולם, ובראשם מיקרוסופט ופייראיי, ובעשרות ארגונים פדרליים בארצות הברית. יותר מ-400 מ-500 החברות הגדולות באמריקה הורידו את הקובץ הפגום, וחלקן נפרצו. לפי סולארווינדס, "פחות מ-18 אלף" מהלקוחות שלה הורידו את העדכון המזוהם.

ה-SEC: "הרשלנות של סולארווינדס היא שהובילה למתקפת הסייבר"

בעקבות התקרית, באוקטובר 2023 ה-SEC הגישה כתב אישום נגד סולארווינדס ומנהל האבטחה הראשי שלה, טים בראון, על סעיפי הונאה וכשלים בבקרה פנימית. בכתב התביעה צוין כי "הרשלנות של הנתבעת היא שהובילה למתקפת הסייבר… החברה הייתה מודעת לליקויי אבטחה בתוכנת ניהול המידע שלה, שאפשרו לבצע את מתקפת הסייבר החמורה ביותר בהיסטוריה של ארצות הברית". ביולי 2024 דחה השופט אנגלמאייר את כל טענות ה-SEC על הונאה, כמו גם חלק ניכר מהאישומים האחרים של הרשות נגד החברה.

לפי הפשרה, שעיקר פרטיה התגבשו בשבוע שעבר, סולארווינדס וה-SEC יספקו לבית המשפט עד ה-12 בספטמבר דו"ח מצב בכתב על ההתקדמות בהסכם. תנאי ההסדר לא פורטו. "ההסדר כפוף לאישור ה-SEC, ולכן איננו יכולים לדון בתנאים בשלב זה. אנחנו מרוצים מהפתרון הפוטנציאלי ושמחים להתמקד בהנעת העסק שלנו קדימה, בלא הסחות דעת", נמסר מסולארווינדס.

יש לציין כי בפברואר השנה הפכה סולארווינדס לחברה פרטית, ומנייתה חדלה מלהיסחר בבורסת ניו יורק. זאת, לאחר שנרכשה על ידי טרן/ריבר קפיטל בעסקה בשווי של 4.4 מיליארד דולר.