"בחוליות שרשרת האספקה יש איומים פוטנציאליים קריטיים"

"המונח 'שרשרת האספקה' מתייחס לכלל המשאבים והתהליכים הקשורים בספקים, בלקוחות ובקבלני ביצוע, אשר דרושים לצורך אספקת מוצר או שירות בארגון. יש ב'חוליות' השרשרת איומים פוטנציאליים קריטיים, אשר עלולים לסכן את הארגון, ועליהם יש לתת את הדעת בהיבטי אבטחה. יש לעשות זאת בעיקר בשל היכולת לעשות שימוש בתקיפה באמצעות ספקי צד שלישי, כגון אתרי אינטרנט, חברות לבנייה ועיצוב של אתרים, תקיפת חברות צד שלישי העוסקות באחסון נתוני חברות, ותקיפה הכוללת שתילת קוד באתרים הנמצאים בשימוש נרחב של מושאי התקיפה", כך אמר ד"ר הראל מנשרי, ראש תחום סייבר במכון טכנולוגי חולון – HIT.

לדברי ד"ר מנשרי, "תקיפת הסייבר הנרחבת שבוצעה על מערכות הממשל האמריקניות, נעשתה באמצעות חדירה לשרשרת האספקה של מערכות הממשל. התקיפה בוצעה, על פי הפרסומים, על ידי גורם מדינתי בעל יכולות, והחשד המיידי הוא כי מדובר בגורם תקיפה רוסי. מדובר בתקיפה נרחבת וארוכת טווח, שבמסגרתה הצליחו התוקפים לשהות במערכות הממשל – בכללן מודיעין וביטחון – במהלך חודשים רבים – לפחות מאז מרץ 2020, ולהזליג מתוכן מידע רב מאוד".

הוא ציין כי "חקירה העלתה, כי התוקפים הצליחו לחדור לחברת SolarWinds והטמיעו בעדכוני התוכנה של Orion מתוצרתה – נוזקה שהצליחה להגיע, במסגרת הורדת העדכון – לעשרות אלפי משתמשים במערכות הממשל. הנוזקה הופצה, ככל הנראה, בשלוש גרסאות עדכון של התוכנה בין החודשים מרץ ליוני השנה – מגרסה 2019.4 ועד ל-2020.2.1. הפגיעה במערכות, והחדירה העמוקה של הרוסים, גרמה בין היתר להשבתת הרשת המסווגת SIPRNET, המשמשת את הממשל להעברת מידע רגיש בין סוכנויות הממשל".

"באחרונה", ציין, "פייראיי (FireEye) חוותה מתקפת סייבר עוצמתית, שבמסגרתה נגנב ממאגרי המידע שלה מידע רב, בכללו כלי תקיפה שפיתחה החברה לצורך חקירותיה. הפרצה בגרסאות הבעייתיות של SolarWinds Orion היא שאפשרה, כפי הנראה, את הפריצה לפייראיי, וממנה החלה החקירה שהובילה לאיתורה של התקיפה הנרחבת".

פריצת סייבר דרך חוליות פגיעות בה. שרשרת האספקה. אילוסטרציה: BigStock

ל-SolarWinds לקוחות רבים בישראל, גם משרדי ממשלה

"ככל הידוע", הסביר, "התקיפה, שבוצעה לפי החשד על ידי האקרים רוסיים, הצליחה לפגוע במערכות רבות מאוד של משרדי ההגנה והגנת המולדת, DHS וגם בסוכנויות מודיעין דוגמת הסוכנות לביטחון לאומי, NSA, באתרי גרעין, במתקני צבא, ובמאות חברות פרטיות המשמשות כקבלניות עבור מערכת ההגנה האמריקנית.

ל-SolarWinds יש לקוחות רבים מאוד בישראל, בהם גם משרדי ממשלה. הממשל האמריקני הנחה, באמצעות CISA, הסוכנות לאבטחת סייבר ותשתיות, את כל הסוכנויות הפדרליות להשבית באופן מיידי את המערכות בהן נעשה שימוש בתוכנות של SolarWinds ובהמשך הוציאה החברה טלאי אבטחה למערכות אלו".

"מהפרסומים עד כאן", סיכם ד"ר מנשרי, "לא ברור אם מדובר בתקיפה שמטרתה מודיעין (CNE) בלבד, או גם פגיעה (CNA), אבל ברור כי התוקפים היו חשופים במשך תקופה ארוכה מאוד לתעבורת המידע – תכתובות, מיילים, מסמכים ועוד – במערכות הנתקפות, ואף הצליחו לעקוף את האימות הדו-שלבי של מיקרוסופט (Microsoft). תקיפה זו מדגישה את האפשרויות הגלומות עבור תוקפי הסייבר בשימוש בשרשרת האספקה, במטרה לבצע תקיפה על יעדים התלויים באותה חולייה בשרשרת – במקרה הזה – חברת התוכנה, בדומה לתקיפה שהתגלתה לפני כמה ימים בישראל על חברות לוגיסטיקה, שילוח ועמילות מכס, באמצעות חדירה לעמיטל. במכון הטכנולוגי חולון HIT אנחנו מלמדים, בין היתר, את נושא ההגנה על שרשרת האספקה, במסגרת קורס ניהול מדיניות סייבר בארגון, בתואר השני בפקולטה להנדסת תעשייה וניהול טכנולוגיה".