זה לא נגמר: האקרים הצליחו לצפות בקובצי מקור של מיקרוסופט

מתקפת הענק של קבוצת ההאקרים הרוסית APT29, שהחלה באוקטובר 2019 ונחשפה בדצמבר האחרון, ממשיכה לעורר גלים.

מיקרוסופט (Microsoft) הודיעה בבלוג שלה בסוף השבוע, כי האקרים הצליחו להגיע לחלקים רגישים בחלק מהמערכות שלה, שאפשרו להציג קוד מקור של תוכנות. למרות זאת, חוקרי הענקית מרדמונד ציינו כי להאקרים לא היו הרשאות לשנות את הקוד, או את המערכות – כי אם רק הרשאות "קריאה".

מיקרוסופט אמרה בעבר, כי היא נמנית עם אלפי חברות שגילו נוזקות במערכותיה לאחר שהורידו עדכון תוכנה שגרתי לתוכנת Orion של סולארווינדס (SolarWinds), שהכילה "דלת אחורית" עבור ההאקרים, שבאמצעותה קיבלו גישה לנתוני החברה. אולם ההודעה ביום חמישי היא הפעם הראשונה שמיקרוסופט מודה, כי התוקפים עשו יותר מאשר הצבת עדכון תוכנה נגוע במערכת שלה: האקרים פרצו בהצלחה למערכות החברה וצפו בקוד המקור, ה-DNA השמור בקפידה של מוצרי התוכנה של החברה.

מיקרוסופט אמרה, כי לאחר שסברה שהיא חסמה את החדירה, "פעילות חריגה" כלשהי ב"מספר קטן" של חשבונות עובדים שלה – הביאה להתראה. כשחברה חקרה את ההתראה התגלה ממצא מדהים: קוד המקור של החברה "בכמה מאגרי קוד מקור", היה נגיש להאקרים. הענקית מרדמונד אמרה, שקוד המקור של החברה לא שונה על ידי התוקפים: "לחשבון לא היו הרשאות לשנות כל קוד או מערכות הנדסיות, ובדיקתנו אישרה גם, כי לא בוצעו בהם שינויים. חשבונות אלה נחקרו ותוקנו", נמסר מהחברה.

הענקית מרדמונד הבהירה, כי לא מצאה "עדות כלשהי לגישה לשירותי הייצור או לנתוני לקוחות… לא נמצאו עדויות לכך שהמערכות שימשו לתקוף אחרים. אנחנו מניחים, כי בכל מקרה המתחרים שלנו יודעים את קוד מקור שלנו, ולכן אנחנו לא מסתמכים עליו כדי לשמור על אבטחת המוצרים". במיקרוסופט לא מסרו אילו קודים נחשפו ולמה הם שימשו.

מומחי אבטחה ציינו, כי מדובר בהודעה רצינית וגרועה, עבור החברה ולקוחותיה – כי למיקרוסופט יש מיליארדי משתמשים, כמעט בכל ארגון ברחבי העולם. עוד הם העלו את החשש, כי הגילוי הזה עלול להקל על התוקפים לחשוף פגמים נוספים במערכות במיקרוסופט, אך ציינו, כי "למרות זאת, הרי שהחששות הגרועים ביותר (שינוי קוד המקור, י.ה.) – לא מומשו".

על פי דייוויד קנדי, המנהל את חברת TrustedSec מאוהיו, שחקרה את הפריצה, "אנו סומכים על המכשירים שבהם אנו משתמשים. אנו סומכים על המחשבים שלנו. אנו סומכים על הטלפונים שלנו שבהם אנו משתמשים באופן יומיומי. ולכולם יש קוד מקור שפועל במכשירים. התקווה שלי היא, שכל אלו לא נפרצו, אולם אנחנו פשוט לא יודעים את זה בשלב זה". לדברי קנדי, הודעת מיקרוסופט מעלה כמה שאלות: "האם מה שעשו ההאקרים משפיע על מנגנוני האימות, וכיצד מוגנים שמות המשתמש והסיסמאות? האם הם נמצאים בצד מערכת ההפעלה – או בפרויקטים עתידיים? אלה דברים מרכזיים שעלינו להבין כדי לדעת עד כמה החדירה הייתה עמוקה. ככל שהייתה להם יותר גישה, כך יהיה נזק פוטנציאלי גדול יותר בעתיד".

עוד ציינו מומחי אבטחה כי עובדות רבות נותרו לא ידועות על אופן ההתקפה על מיקרוסופט: החברה לא אמרה לאילו מוצרים קשור קוד המקור שבו צפו ההאקרים, או כמה זמן ההאקרים הצליחו להישאר בתוך מערכותיה.

דובר מיקרוסופט סירב להגיב מעבר למה שפורסם בפוסט בבלוג של החברה.