מתקפת הענק בארה"ב: ההאקרים ניצלו ספקי מיקרוסופט כדי להגיע ללקוחות

על פי קראוד-סטרייק, ההאקרים ניצלו גישה שהשיגו אל ספק שמכר רישוי לתוכנת אופיס, ובאמצעותה ניסו לקרוא את הדואר האלקטרוני של המשתמשים

ההאקרים ניצלו את ספקיה כדי להגיע ללקוחות. מיקרוספט

ההאקרים הרוסים, שעומדים מאחורי אחת ממתקפות הסייבר החמורות ורחבות ההיקף בארה"ב, ניצלו את המפיצים והשותפים של מיקרוסופט (Microsoft), כדי לחדור למטרות שלא היו בהן תוכנות של סולאר-ווינדס (SolarWinds), כך מסרו חוקרים בסוף השבוע.

עד עתה עדכוני תוכנת אוריון של סולאר-ווינדס היו נקודת הכניסה היחידה שזוהתה. כעת חוקרי קראוד-סטרייק (CrowdStrike) סבורים כי ההאקרים הצליחו להשיג גישה לספק שמכר לחברה רישיונות של אופיס, על מנת לנסות לקרוא את הדואר האלקטרוני שלה. ענקית האבטחה לא זיהתה באופן ספציפי את ההאקרים כמי שפגעו בסולאר-ווינדס, אולם מקורבים לחקירה אמרו כי מדובר בקבוצת ההאקרים הרוסית.

קראוד-סטרייק, שאינה משתמשת בתוכנות סולאר-ווינדס, עושה שימוש בתוכנת אופיס לעיבוד תמלילים, אך לא לדואר אלקטרוני. הניסיון הכושל נעשה לפני כחודש, ב-15 בנובמבר, ומיקרוסופט דיווחה עליו לענקית האבטחה לפני ימים אחדים.

קראוד-סטרייק אמרה כי לא התגלו נזקים עקב ניסיון הפריצה אליה, ולא נקבה בשם המשווק של מיקרוסופט. "הם נכנסו דרך הגישה של המשווק, וניסו לקבל הרשאות גישה לדואר", אמר אחד האנשים שמכירים את פרטי החקירה. "אם קראוד-סטרייק היו משתמשים ב-365 Office לאימייל שלהם, אז המשחק היה גמור".

לא רק דרך אוריון של סולאר-ווינדס. מתקפת הסייבר בארצות הברית. אילוסטרציה: BigStock

לא רק דרך אוריון של סולאר-ווינדס. מתקפת הסייבר בארצות הברית. אילוסטרציה: BigStock

"לא זיהינו פגיעות או פריצות למוצרי מיקרוסופט או לשירותי הענן שלנו"

"חקירת המתקפות האחרונות שלנו העלתה אירועי סייבר הכוללים שימוש לרעה בתעודות לקבלת גישה, שעלולות להגיע בכמה צורות", אמר ג'ף ג'ונס, מנהל בכיר במיקרוסופט, "לא זיהינו פגיעות או פריצות למוצרי מיקרוסופט או לשירותי הענן שלנו".

מיקרוסופט רמזה באחרונה שלקוחותיה עדיין צריכים להיזהר. בסוף פוסט טכני ארוך בבלוג החברה, שפורסם בשבוע שעבר, נכתב משפט אחד המציין את האפשרות של ההאקרים להגיע למיקרוסופט 365 בענן: "מחשבונות של ספקים מהימנים, בהם התוקף פרץ לאקו-סיסטם של הספקים".

מיקרוסופט ביקשה מהספקיות שלה לקבל גישה למערכות הלקוח שלהן, על מנת להתקין מוצרים ולאפשר גישה למשתמשים חדשים, אך נראה שמדובר במהלך קשה למימוש: לגלות לאילו ספקים יש זכויות גישה בכל זמן נתון. לכן, קראוד-סטרייק פיתחה ושחררה כלי בקרה לכך.

כזכור, בשבוע שעבר חוקרי מיקרוסופט גילו, כי קבוצת האקרים שנייה – לא מזוהה – התקינה דלת אחורית ב-Orion, תוכנת ניהול הרשת של סולאר-ווינדס, שאפשרה מסע ריגול מסיבי ברשת, מכיוון שמספר הקורבנות במתקפה גדל.

הדלת האחורית השנייה, שזכתה לכינוי SUPERNOVA על ידי מומחי אבטחה, נראית שונה מהעקבות שהותירה המתקפה שנעשתה על ידי קבוצת ההאקרים הרוסית APT29. ההאקרים מ-APT29 הכניסו דלת אחורית בשם SUNBURST לתוכנת אוריון. החוקרים העלו את האפשרות כי יריבים מרובים עשו, או יעשו, שימוש בנוזקה לטובת מתקפות מקבילות, אולי בלא ידיעה או תיאום ביניהם.

הדלת האחורית השנייה היא פיסת נוזקה, אשר מחקה את מוצר אוריון של סולאר-ווינדס, אך היא אינה "חתומה דיגיטלית" כמו במתקפת הענק הראשונה.

עובדה זו מצביעה על כך, שקבוצת ההאקרים השנייה לא חולקת אותה גישה למערכות הפנימיות של סולאר-ווינדס. לא ברור אם SUPERNOVA נפרסה כנגד יעדים כלשהם, כמו לקוחות של סולאר-ווינדס. חוקרים העריכו, כי הנוזקה נוצרה בסוף מרץ, בהתבסס על סקירת זמני ההדרה (קומפילציה) של הקובץ. למרות זאת, מומחים העריכו כי ה"טיפול" בתוכנת אוריון החל כבר באוקטובר 2019.

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים