ההיסטוריה חוזרת: ההאקרים של סולארווינדס גנבו מידע משרתי מיקרוסופט

ההאקרים שעומדים מאחורי קמפיין הריגול  הענק בסייבר של סולארווינדס לא נחים לרגע: הם פיתחו דלת אחורית, הגונבת מידע רגיש משרתי ADFS של מיקרוסופט

ההאקרים הרוסים תוקפים שוב. צילום אילוסטרציה: אימג'בנק

נראה כי ולדימיר פוטין, נשיא רוסיה, לא ממש מתרגש מהאיומים והתחנונים של מדינות המערב לחדול ממתקפות הסייבר שאנשיו עורכים: ההאקרים שעומדים מאחורי קמפיין הריגול  הענק בסייבר של סולארווינדס (SolarWinds) לא נחים לרגע: הם פיתחו דלת אחורית, הגונבת מידע רגיש משרתי ADFS (ר"ת Active Directory Federation Services) של מיקרוסופט (Microsoft).

הענקית מרדמונד אמרה, כי הדלת האחורית, העונה לשם FoggyWeb, היא "פסיבית וממוקדת מאוד", והיא גונבת מרחוק מגוון אישורי הרשאות, תצורה ומפתחות פענוח. הדלת האחורית נצפתה בראשונה באפריל השנה. לדברי ראמין נאפיסי, חוקר במרכז האיומים של מיקרוסופט, "מדובר בדלת אחורית ממוקדת ביותר, המסוגלת להעביר מידע רגיש מרחוק משרת ADFS שנפגע". נאפיסי, מהנדס בכיר, עוסק בהנדסה לאחור של נוזקות. בערב החג (ב') הוא ציין, כי "היא עלולה לקבל הנחיות גם מרכיבים זדוניים נוספים".

לאחר שהותקנה, הדלת האחורית מאפשרת ניצול לרעה של אסימון אבטחת סימון השפה (SAML). כך, היא מצליחה לסייע להאקרים להעביר מרחוק מידע רגיש משרתי ADFS שנפגעו, על ידי בניית הגדרות הנדמות להיות לגיטימיות, ובעקבותיהן יירוט בקשות של המשתמשים, ועל בסיסן – גניבת המידע הרגיש.

לפי מיקרוסופט "FoggyWeb היא עוד נוזקה שנבנתה בהתאמה אישית, כפי שאנו מכירים לעיתים קרובות (את כלי פריצה של) ה-SVR, שירות הביון הזר הרוסי – בקמפיינים שלו".

ביוני 2021 פרסמנו כי חלק מכלי התמיכה בלקוחות של מיקרוסופט (Microsoft) נפרצו על ידי קבוצת הפריצה נובליום (Nobelium), שהייתה מקושרת – בנפרד – למתקפה אחרת, מתוקשרת הרבה יותר – על סולארווינדס. המתקפה נערכה על סוכן שירות הלקוחות של מיקרוסופט, והצליחה.

חודש קודם לכן, במאי השנה, קבוצת ההאקרים הרוסית הפועלת בחסות הקרמלין, שהתפרסמה בביצוע מתקפת הענק שהחלה בסולארווינדס (SolarWinds) ומשם המשיכה לעשרות סוכנויות פדרליות ולמאות ארגונים ברחבי העולם – פעלה שוב, כך לפי מיקרוסופט. ההאקרים הרוסים פצחו בקמפיין פישינג נרחב, שמטרתו לפרוץ לכ-150 ארגונים ב-24 מדינות. ההאקרים הרוסים התחזו ל-USAID, הסוכנות האמריקנית הממשלתית לפיתוח בינלאומי, המממנת פרויקטים של סיוע ברחבי העולם. ההאקרים התמקדו בכ-3,000 חשבונות אישיים וערכו עליהם "בליץ" של הודעות דוא"ל. הם ערכו את משלוח המיילים דרך חשבון פרוץ שהסוכנות משתמשת בו כדי לשלוח מיילים שיווקיים.

קבוצת APT29 נתמכת על ידי ממשלת רוסיה וידועה גם בשם Cozy Bear (דובי חמים ונעים). הקבוצה מקושרת ל-SVR, שירות ביון החוץ של רוסיה, ולעיתים גם ל-FSB, שירות הביטחון הפדרלי, ה"יורש" של הקג"ב. זמן מה לאחר חשיפת הפריצה לסולארווינדס, קבעו גורמי ביון מערביים, כי הקבוצה היא האחראית למתקפת הסייבר הענקית, אף שמוסקבה, כצפוי, הכחישה זאת כמה פעמים.

קבוצת ההאקרים המקושרים ל-SVR הייתה מעורבת גם בפריצה למחשבי המפלגה הדמוקרטית בארה"ב במהלך המירוץ לנשיאות ב-2016.

בינואר השנה פרסמנו כי מערכת ניהול התיקים והגשת התיקים האלקטרונית של הרשות השופטת בארה"ב נפלה קורבן לפריצת הענק הרוסית. מדובר במערכת המקבילה במהותה למערכת נט-המשפט הישראלית. המערכת סבלה מ"פריצה לכאורה", כחלק מהפריצה שהתבססה על החדרת נוזקה לתוכנת Orion לניהול הרשת של סולארווינדס.

קורבן נוסף של מתקפת הענק היה משרד המשפטים: התוקפים הצליחו להשיג גישה לחשבונות הדואר האלקטרוני של עובדי משרד המשפטים המשתמשים באופיס 365 של מיקרוסופט.

הפריצה החלה באוקטובר 2019 וקיבלה דחיפה משמעותית במרץ 2020. פייראיי (FireEye) הייתה הראשונה לחשוף את המתקפה ואת העובדה שההאקרים חדרו למערכותיה – בתחילת דצמבר. חברות נוספות היו VMware, מיקרוסופט, סיסקו (Cisco), אינטל (Intel) ואנבידיה (Nvidia), בלקין (Belkin International), יצרנית נתבי Wi-Fi וציוד רשת ביתי, ודלויט (Deloitte).

מהממשל הפדרלי האמריקני הנפגעים רבים, בהם משרד האוצר ומינהל הטלקום והמידע הלאומי במשרד המסחר, ה-NTIA, וסוכנויות מודיעין ומשרד האנרגיה. מינהל ביטחון הגרעין הלאומי, ה-NNSA, המטפל במאגר אמצעי הלחימה הגרעיניים של ארה"ב, היווה גם הוא מטרה למתקפה, כמו גם המשרד להגנת המולדת ומשרד החוץ.

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר.

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים