מי ישמור על השומרים? ענקית הסייבר פייראיי נפרצה

פייראיי, אחת מחברות הגנת הסייבר המשפיעות בעולם, חשפה אתמול (ג') כי חוותה פריצה בסייבר, ככל הנראה של האקרים שפעלו בחסות מדינה. לפי שעה, בחברה וב-FBI לא מציינים באיזו מדינה מדובר.

קווין מנדיה, מנכ"ל החברה, אמר כי ה-FBI ומומחי אבטחה ממיקרוסופט סייעו בחקירת האירוע, בו התוקפים השיגו גישה לכלים שפייראיי משתמשת בהם כדי לדמות מתקפות נגד לקוחות. "הניתוח הראשוני שלהם תומך במסקנתנו", כתב מנדיה פוסט בבלוג החברה, "כי זו הייתה עבודה של תוקף מתוחכם מאוד, שפועל בחסות המדינה ושמשתמש בטכניקות תקיפה חדשניות".

התוקפים גנבו כלים של "צוות אדום", שחברות האבטחה משתמשות בהם על מנת לחקות פריצות בעולם האמיתי. מומחי אבטחה ציינו כי כלים שכאלה – של חברה מכובדת כמו פייריאיי – "יספקו לתוקפים זדוניים סוג של מפת דרכים כיצד לחסל את ההגנות ולהמשיך לפרוץ בהצלחה לקורבנות".

לדברי מנדיה, "ההאקרים שפרצו לרשת שלנו חיפשו בעיקר מידע הקשור ללקוחות ממשלתיים מסוימים". המנכ"ל הוסיף כי "אנחנו נוקטים צעד יוצא דופן, של פיתוח יותר מ-300 אמצעי נגד – ללקוחותינו ולקהילה כולה. זאת, כדי למזער את ההשפעה הפוטנציאלית של גניבת כלים אלה". הוא הוסיף כי "אנחנו עדים למתקפה בעלת יכולות מרחיקות לכת, ב-'שפיץ' הטכנולוגי של סייבר התקפי. לא מדובר ב-'עוד' מתקפה, אחת מני עשרות אלפי מתקפות שאנחנו מטפלים בהן באופן שוטף". הוא ציין כי אין עדויות לכך שנגנבו פרטי לקוחות החברה, או פרטי מודיעין איומים.

האם ההאקרים הם רוסים, איראנים, צפון קוריאנים או אחרים?

פייראיי לא ציינה את זהותם של ההאקרים שפרצו לרשת שלה. כך או כך, על לקוחות החברה נמנות חברות פורצ'ן 500 ברחבי העולם, וכן לקוחות רבים מהמגזר הציבורי-ביטחוני בארצות הברית ובמדינות שהן בעלות בריתה. מומחים ציינו כי כל שירות מודיעין זר יוכל למצוא ערך בגישה לכלי האבטחה של פייראיי, כדי לבחון ארגוני יעד במגזר הציבורי והפרטי.

"ה-FBI חוקר את האירוע", מסר מאט גורהם, עוזר מנהל מחלקת הסייבר של הבולשת, "והממצאים הראשוניים מצביעים שההאקרים הם שחקן ברמת תחכום גבוהה, שמתאים לאפיון של מדינת לאום". זהו מקרה נדיר, שבו ה-FBI מגיב לחקירה מתמשכת.

החברה שנפרצה ידועה כמי שמייחסת מתקפות שונות לקבוצות של האקרים רוסים, סינים וצפון קוריאנים. היא חקרה בעבר פריצות וגניבות נתונים בפרופיל גבוה, כמו זו שנעשתה ב-2014 לאולפני סוני, על ידי האקרים מצפון קוריאה. החברה גם ייחסה את הפסקת החשמל רחבת ההיקף שהייתה באוקראינה בחגי דצמבר לפני כמה שנים למתקפת סייבר של האקרים שלוחי רוסיה. יצוין כי בין שתי המדינות הסובייטיות לשעבר התנהל בעבר סכסוך צבאי, והן עדיין מסוכסכות מדינית, סביב שטחים במזרח אוקראינה.

האם האקרים מטעם רוסיה עומדים מאחורי תקיפת פייראיי? צילום אילוסטרציה: BigStock

הפריצה לפייראיי מהדהדת עם מקרה שאירע ב-2016, אז קבוצת האקרים טענה כי פרצה לקבוצת האקרים אחרת, הקשורה לסוכנות האמריקנית לביטחון לאומי (ה-NSA), והוציאה את כלי הנשק לסייבר של הנפרצת למכירה ברשת. על קבוצת ריגול הסייבר Equation Group נאמר כי גורם האיום שלה "עולה על כל דבר מוכר אחר מבחינת מורכבות ותחכום הטכניקות". מערך הכלים של הקבוצה דומה לזה שמשמש סוכנויות ביון אמריקניות והוא כולל התקפה שיכולה לתכנת מחדש את הקושחה של הדיסק הקשיח. קבוצת האקרים מסתורית המכונה Shadow Brokers פרצה לקבוצת Equation והעמידה את כלי הסייבר המקושרים ל-NSA למכירה ברשת. כלי הפריצה של הסוכנות לביטחון לאומי שנגנבו שימשו לאחר מכן במתקפות סייבר בולטות, כמו מתקפת הכופרה WannaCry.

פייראיי לא לבד

דמיטרי אלפרוביץ', מייסד שותף ומנהל טכנולוגיה ראשי בחברת האבטחה קראוד סטרייק, ציין כי "חברות האבטחה הגדולות הן יעדים תכופים של האקרים שלוחי מדינה. חשוב לזכור שאין ארגון שחסין מפני פריצות. חברות אבטחה רבות נפגעו בהצלחה לאורך השנים, כולל סימנטק, טרנד מיקרו, פאלו אלטו, קספרסקי, RSA ו-Bit9 1".

"לפי מה שידוע לנו על המבצע של פייראיי, זהות ההאקרים עולה בקנה אחד עם שחקן ממלכתי רוסי", אמר ההאקר לשעבר של ה-NSA, ג'ייק וויליאמס, נשיא רנדישן אינפוסק, אמר כי "בין אם ההאקרים השיגו גישה לנתוני הלקוחות ובין אם לאו, זה עדיין ניצחון גדול עבור רוסיה".