האקרים רוסים התקיפו את משרד האוצר ואת מינהל הטלקום והמידע בארה"ב

"פריצה חמורה": משרדים פדרליים הותקפו עם נוזקה על גבי תוכנת סולאר-ווינדס ● המתקפות חמורות כל כך, שהן הובילו לישיבת המועצה לביטחון לאומי בבית הלבן ביום שבת

הדוב הרוסי שוב תוקף? צילום: BigStock

משרדי ממשלה רבים בארה"ב, כולל משרד האוצר האמריקני, הותקפו באמצעות הפצת גירסה נושאת נוזקה של תוכנת Orion של סולאר-ווינדס (SolarWinds).

מאחורי התקיפה עומדת קבוצת התקיפה הרוסית – APT29 כך העריכו גורמי אבטחה. גופי הממשל האמריקניים מבצעים הבוקר בדיקות כדי להעריך את הנזקים שנגרמו להם עקב הפריצה.

הממשל האמריקני קרא אמש (א') לכל הסוכנויות האזרחיות הפדרליות להשבית את תוכנות Orion באופן מיידי, כיוון שהם משמשים פלטפורמה לתקיפה. הסוכנות לאבטחת סייבר ותשתיות, CISA, במשרד להגנת המולדת, הנפיק התראת חירום, "בתגובה לפגיעות ידועה שיש במוצרי Orion של סולאר-ווינדס, אשר מנוצלת כיום על ידי גורמים זדוניים. הנחיית חירום זו קוראת לכל הסוכנויות האזרחיות הפדרליות לבדוק את הרשתות שלהן, לבדוק מה רמת הפגיעות ולנתק או לכבות באופן מיידי את הפעלת התוכנה".

ברנדון וויילס, המנהל בפועל של CISA, אמר, כי "הפגיעות במוצרי Orion לניהול רשתות טומנת בחובה סיכונים לא מקובלים לאבטחת הרשתות הפדרליות. ההנחיה שניתנה הלילה נועדה להדוף ולמזער את היקף הפריצות הפוטנציאליות ברשתות אזרחיות פדרליות. אנחנו קוראים לכל השותפים שלנו – במגזר הציבורי והפרטי – להעריך את רמת החשיפה שלהם לפגיעות הזאת ולאבטח את רשתותיהם מפני כל אפשרות לפריצה". ההנחיה מורה לכל הסוכנויות המפעילות את מוצרי סולאר-ווינדס לדווח כי סיימו את ההשבתה עד היום, ב' בצהריים, שעון ארה"ב. CISA פרסמה את ההנחיה בעקבות דיווח, כי כלי הניהול של החברה שימשו את ההאקרים כדי לפרוץ לכמה סוכנויות פדרליות.

משרדי האוצר והמסחר בארה"ב חוו מתקפות סייבר באמצעות תוכנת Orion, וזאת כחלק מקמפיין בחסות ממשלת רוסיה, כך דיווח הוושינגטון פוסט. נראה כי הפריצה שהייתה בשבוע שעבר, אותה חוותה פייראיי (FireEye), קשורה גם היא לפגיעות בסולאר-ווינדס.

סולאר-ווינדס הודיעה אתמול (א') כי חוותה התקפה ידנית, מתוחכמת מאוד, של שרשרת האספקה ​​על גירסאות של Orion, מוצר ניטור הרשת שלה. המתקפה אירעה בין מרץ ליוני השנה. מהחברה נמסר, כי המתקפה התנהלה ככל הנראה על ידי מדינת לאום, והיא הייתה מתקפה צרת היקף, ממוקדת ביותר ובוצעה באופן ידני. הטכנולוגיה שלה משמשת את הפנטגון, את כל חמש הזרועות ופיקודי צבא ארה"ב, את משרד החוץ, את נאס"א, את ה-NSA, את שירות הדואר, את מינהל האוויר והאוקיאנוסים הלאומי, את משרד המשפטים, ואת לשכת נשיא ארצות הברית.

בפוסט בבלוג של פייראיי נכתב, כי האקרים קיבלו גישה לפרטי מידע רבים של ארגונים ציבוריים ופרטיים רבים באמצעות עדכוני תוכנה שהכילו סוסים טרויאניים לתוכנת Orion. ענקית הגנת הסייבר לא חשפה את זהותם של הקורבנות. פייראיי מסרה, כי היא עובדת בשיתוף פעולה הדוק עם הבולשת, עם סולאר-ווינדס ועם שותפים נוספים.

"ממשלת ארצות הברית מודעת לדיווחים (על הפריצה והפגיעות) אלה ואנחנו נוקטים את כל הצעדים הדרושים כדי לזהות ולתקן כל היבט אפשרי הקשור למצב זה", נמסר מהמועצה לביטחון לאומי.

הוושינגטון פוסט דיווח אמש, כי ההאקרים, חברי קבוצת APT29 – הידועה כמקורבת לממשל ולביון הרוסי – הם שתקפו את פייראיי, כמו גם את משרדי האוצר והמסחר וכן סוכנויות ממשלתיות אחרות בארה"ב. המתקפות מתרחשות כבר חודשים, ציינו מומחי אבטחה, והן חמורות ורחבות היקף כמו הפריצות למשרד החוץ ולבית הלבן, שאירעו במהלך ממשלו של ברק אובמה. בקרב קהילת המודיעין האמריקנית קיים חשש כי ההאקרים, שכיוונו לאוצר ולמינהל התקשורת והמידע הלאומי של משרד המסחר, השתמשו בכלי דומה כדי לפרוץ לסוכנויות ממשלתיות אחרות, כך דיווחה סוכנות רויטרס אמש. המתקפות היו חמורות כל כך, שהן הובילו לישיבת המועצה לביטחון לאומי בבית הלבן ביום שבת.

קבוצת ההאקרים APT29, שמכונה גם Cozy Bear, מקורבת מאוד לקרמלין ולשירותי הביון הרוסיים. ב-"רזומה" שלה יש פריצות למשרד החוץ האמריקני ולבית הלבן בתקופת כהונתו של ברק אובמה, כמו גם לשרתי הוועדה הלאומית של המפלגה הדמוקרטית במהלך הקמפיין לנשיאות ארצות הברית ב-2016. מומחי אבטחה ציינו בחיוך, כי לאחר הפריצות, מומחי פייראיי הם שגויסו להעריך את הנזקים ולהעלות את רמת האבטחה ברשתות שהותקפו.  ממחי אבטחה ציינו, כי חברי APT29 פורצים למטרות ריגול מסורתיות וגונבים סודות שיכולים להועיל לקרמלין כדי להבין את התוכניות והמניעים של פוליטיקאים וקובעי מדיניות. כך, חברי הקבוצה גנבו סודות תעשייתיים, פרצו למשרדי ממשלה מחוץ לארה"ב, ובאחרונה ניסו לגנוב מחקרים על חיסונים נגד הקורונה.

בארץ, המפיצה של סולאר-ווינדס היא פרולוג'יק. היא מסרה, כי " סולאר-ווינדס הודיעה כי היא חוותה מתקפת סייבר מתוחכמת, שבמסגרתה נפרצו כמה גירסאות של פלטפורמת Orion, שהופצו בין מרץ ליוני 2020. כל הסימנים מראים, כי מאחורי המתקפה עומדת ישות מגובה במדינה, וכי מדובר על מתקפה ממוקדת על מספר מצומצם של לקוחות, וכי אין מדובר על פריצה רחבת היקף לארגונים. על מנת להגן על סביבות העבודה שלהם, לקוחות פלטפורמת Orion מתבקשים במהירות האפשרית להוריד את עדכון התוכנה שהפיצה בשעות האחרונות סולאר-ווינדס. אנו בפרולוג'יק, יחד עם שותפינו ורשת האינטגרטורים בישראל, עומדים לרשות לקוחות החברה ונדאג לעדכן את לקוחותינו במידע ובהנחיות חדשות שתגענה אלינו".

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים