האקרים תקפו את SharePoint – עשרות אלפי שרתים מצויים בסיכון

האקרים ניצלו ליקוי אבטחה משמעותי בתוכנת SharePoint של מיקרוסופט ופצחו בימים האחרונים במתקפה עולמית על סוכנויות ממשלתיות, פדרליות ומדינתיות בארצות הברית, אוניברסיטאות, עסקים, חברות אנרגיה וחברת תקשורת אסייתית – כך מסרו אתמול (א') פקידי ממשל בוושינגטון וחוקרים בענף האבטחה.

חוקרי אבטחה מהממשלים של ארצות הברית, קנדה ואוסטרליה חוקרים את הפגיעה בשרתי SharePoint, שהיא פלטפורמה לשיתוף ולניהול מסמכים. מומחים ציינו כי עשרות אלפי שרתים שכאלה נמצאים בסיכון. המתקפה הינה מסוג "יום אפס" והמצב חמור יותר, לטעמם, שכן מיקרוסופט לא הוציאה תיקון לפגם – מה שהותיר את הקורבנות ברחבי העולם לבדם בתגובת ההגנה.

יש לציין שלפי גורמים רשמיים, המתקפה מסכנת רק את השרתים המאוחסנים בארגון – ולא את אלה שבענן, דוגמת Microsoft 365. מיקרוסופט הציעה למשתמשים לבצע שינויים בתוכניות שרת SharePoint, או פשוט לנתק אותן מהאינטרנט, כדי לעצור את הסיכון. החברה פרסמה התראה ללקוחות, אך סירבה להגיב מעבר לכך.

"כל ארגון שיש לו שרת SharePoint מצוי בבעיה"

אדם מאיירס, סגן נשיא בכיר בקראודסטרייק, אמר כי "כל ארגון שיש לו שרת SharePoint מצוי בבעיה. מדובר בנקודת תורפה משמעותית".

ה-FBI מסר בהצהרה כי הוא מודע לעניין. "אנחנו עובדים בשיתוף פעולה הדוק עם הממשל הפדרלי ושותפינו במגזר הפרטי", נמסר מהבולשת. CISA, הסוכנות לאבטחת סייבר ותשתיות, ציינה כי היא "קיבלה התראה על הנושא ביום ו', מידי חברת מחקר סייבר, ויצרה קשר מיידי עם מיקרוסופט".

פיט רנלס, מנהל בכיר ביחידה 42, גוף חקר האיומים של פאלו אלטו, אמר כי "אנחנו רואים ניסיונות לנצל את החולשה באלפי שרתים ברחבי העולם – לפני שתיקון יהיה זמין. זיהינו עשרות ארגונים, מהמגזרים המסחרי והממשלתי כאחד – שכבר נפגעו".

לפי חוקרי Eye Security ההולנדית, "עם גישה לשרתים אלה, שלעתים קרובות מתחברים לאאוטלוק, טימס ושירותי ליבה אחרים, פריצה עלולה להוביל לגניבת נתונים רגישים, כמו גם לקצירת סיסמאות. מה שמדאיג בנוסף הוא שההאקרים השיגו גישה למפתחות שעלולים לאפשר להם להיכנס מחדש, גם לאחר תיקון המערכת".

חוקר בעילום שם הביע ביקורת על מיקרוסופט ואמר כי "לדחוף תיקון ביום שני או שלישי לא יעזור לאף אחד שנפגע ב-72 השעות האחרונות".

מי עומד מאחורי הפריצה?

לא ברור מי עומד מאחורי הפריצה הגלובלית או מה המטרה הסופית שלה. חברת מחקר אחת מצאה שההאקרים כיוונו את המתקפות לשרתים בסין, כמו גם לבית מחוקקים באחת המדינות במזרח ארצות הברית. החברה ההולנדית עקבה אחרי יותר מ-50 פרצות, כולל בחברת אנרגיה ובכמה סוכנויות ממשל אירופיות.

כך או כך, החוקרים ציינו ששרתים של לפחות שתי סוכנויות פדרליות בארצות הברית – נפרצו. גורם אמריקני רשמי אמר כי "התוקפים 'חטפו' מאגר של מסמכים שסופק לציבור". הסוכנות שממנה נקצר המידע באירוע כבר מנועה מלגשת לחומר, אך לא ברור אם הוא נמחק.

מתקפות נדירות, שגורמות לבהלה

מומחים ציינו כי מתקפות אלה, מסוג "מגב", הן נדירות, והן גרמו לבהלה בקרב לא מעט מהפקידים של הממשל האמריקני. חלק מהחברות שנפגעו מהמתקפה ציינו כי אנשיהן לא ראו מחיקות נתונים במתקפות, אלא "רק" גניבת מפתחות קריפטוגרפיים, שיאפשרו להאקרים להיכנס מחדש לשרתים.

מיקרוסופט חוותה כמה אירועי סייבר בשנתיים האחרונות: פריצות לרשתות הארגוניות שלה, חשיפת מיילים של מנהלים, פגם תכנות בשירותי הענן שלה ועוד. בשנה שעברה, פאנל של מומחי ממשל ותעשייה בארצות הברית טען לכשלים שאפשרו פריצה סינית ממוקדת ב-2023 למיילים של הממשל הפדרלי, כולל של שרת המסחר דאז, ג'ינה ריימונדו.