אירוע סייבר ענקי: עשרות אלפי ארגונים נפגעו מהנוזקה בהטלאה של מיקרוסופט

יותר מ-20,000 ארגונים בארצות הברית ועשרות אלפי ארגונים באירופה ובאסיה נפגעו מהנוזקה שהוטמנה בעדכון התוכנה של מיקרוסופט – כך התברר בסוף השבוע. את מספר הארגונים הנפגעים בארצות הברית חשף מומחה אבטחה המקורב לממשל האמריקני. הנוזקה הותקנה כדלת אחורית בתיקונים לשרת המייל Exchange של מיקרוסופט, והיא התפשטה יותר מאשר פריצת הענק הרוסית בסייבר, שנחשפה בדצמבר.

בשל הפריצה האחרונה נוצרו ונותרו ערוצים לגישה מרחוק עבור ההאקרים שעשו זאת לחברות אשראי והלוואות, רשויות ממשלתיות ועירוניות, כמו גם עסקים בינוניים וקטנים רבים – כך עולה מסיכום ביניים של החקירה. הפריצות נמשכו בסוף השבוע, למרות עדכוני ההטלאה שמיקרוסופט הנפיקה בנוהל חירום בשבוע שעבר.

התיקון לעדכון הותקן רק על 10% מהמכשירים שנפגעו

מיקרוסופט, שבתחילה אמרה שהפריצות היו "מתקפות מוגבלות וממוקדות", סירבה למסור פרטים על היקף הבעיה, אך מסרה כי היא עובדת עם סוכנויות ממשלתיות וחברות אבטחה כדי לספק עזרה ללקוחות. הענקית מרדמונד הוסיפה כי "לקוחות שהושפעו (מהפריצה ומהפרצה – י"ה) צריכים לפנות לצוותי התמיכה שלנו לקבלת עזרה ומשאבים נוספים".

אחת מהסריקות שנעשו על מנת לאמוד את היקף הבעיה העלתה כי רק על 10% מהמכשירים שנפגעו מעדכון התוכנה המזוהם הותקן התיקון לעדכון, נכון לסוף השבוע האחרון, אולם הנתון נמצא במגמת עלייה. כיוון שהתקנת התיקון לא פותרת את בעיית הדלתות האחוריות, פקידי ממשל בארצות הברית מנסים להבין כיצד ביכולתם להודיע לכל הקורבנות ולהדריך אותם מה הם צריכים לעשות.

מומחים שניסו לאפיין את פרופיל הארגונים שנפגעו ציינו כי נראה שאלה מריצים גרסאות אאוטלוק מקומיות ומארחים אותן במחשבים שלהם. זאת, במקום להסתמך על ספקיות ענן. הם ציינו כי ייתכן שכיוון שמדובר בגרסה מקומית ולא עננית, וכי למרות ההיקף הנרחב – הפרצה הסבה הרבה פחות נזק עבור החברות הגדולות ביותר וכן עבור סוכנויות ממשל פדרליות.

מזכירת העיתונות של הבית הלבן, ג'ן פסקי, אמרה בתדרוך היומי ביום ו' כי הפגיעות והפגיעויות שנמצאו בשרתי ה-Exchange הרבים של מיקרוסופט היו "משמעותיות" ו-"ייתכן שיש להן השפעות מרחיקות לכת". הדוברת הוסיפה כי "אנחנו מודאגים מכך שיש מספר רב של קורבנות".

האם גם ארגונים בישראל הושפעו מהמתקפה?

בשבוע שעבר מסרה מיקרוסופט כי האקרים סיניים, שלוחי הממשל בבייג'ינג, ניצלו באג ב-Exchange – שרת המייל של מיקרוסופט – כדי לתקוף באופן ממוקד ארגונים בארצות הברית. מומחים הזהירו שהתקיפה עלולה להשפיע גם על מאות אלפי ארגונים בעולם, כולל בישראל.

חוקרי הענקית מרדמונד ציינו שהקבוצה "מיומנת ומתוחכמת מאוד", ושהיא ניסתה לגנוב מידע מכמה יעדים אמריקניים, ביניהם אוניברסיטאות, קבלני ביטחון, משרדי עורכי דין וחוקרי מחלות זיהומיות. מומחי אבטחה ציינו שגופים נוספים כוללים ארגוני סיוע ופיתוח בינלאומיים, פורומים וגופי חשיבה לא ממשלתיים, ומכוני מחקר בנושאים שונים.

Exchange של מיקרוסופט

מיקרוסופט פרסמה עדכוני אבטחה לתיקון הפגיעות ב-Exchange, המשמשת לשירותי למייל לעבודה ולוח שנה, בעיקר עבור ארגונים גדולים – שיש להם שרתי מייל פרטיים משלהם. היא ציינה כי הפגיעות לא משפיעה על חשבונות דוא"ל אישיים או על השירותים מבוססי הענן של מיקרוסופט. לפי החברה, קבוצת הפריצה, שאותה היא מכנה Hafnium, הצליחה להערים על שרתי ה-Exchange כדי לקבל גישה אליהם. לאחר מכן התחזו ההאקרים כמי שאמורה להיות להם גישה, ואז הם יצרו דרך לשלוט בשרת מרחוק, כדי לגנוב נתונים מרשת הארגון. מהענקית מרדמונד נמסר כי קבוצת ההאקרים ממוקמת בסין, אולם היא פועלת באמצעות שרתים פרטיים וירטואליים מושכרים בארצות הברית – מה שעוזר לה להימנע מזיהוי.

כאמור, מומחי אבטחה העריכו שלאור הפריסה הנפוצה של השרתים, היקף הגופים העלולים להיפגע מכך עומד על מאות אלפים רבים, עם עשרות מיליוני משתמשים. יצוין שבישראל יש 19,933 שרתים כאלה. בסוף השבוע הזהירו מומחים שמתקפות נוספות צפויות מכיוונם של האקרים אחרים, תוך שהם מנצלים את הנוזקה להשתלטות על שרתי הדואר. אחרים הוסיפו כי "כמה מאות בחורים (כך בלשונם. הכוונה היא האקרים צעירים – י"ה) מנצלים את הפרצה כמה שיותר מהר, גונבים נתונים ומפלסים לעצמם דרכים אחרות לחזור אחר כך".

את מתווה המתקפה הראשונית גילה חוקר הסייבר הטייוואני הבולט צ'נג-דה צאי, שלדבריו דיווח על הפגם למיקרוסופט כבר בינואר השנה.