במהלך השבועיים האחרונים נמסר על תקיפת סייבר נרחבת שבוצעה על מערכות הממשל האמריקאית, באמצעות חדירה לשרשרת האספקה של מערכות הממשל. התקיפה בוצעה על פי הפרסומים על ידי גורם מדינתי בעל יכולות – החשד המיידי הוא כי מדובר בגורם תקיפה רוסי.

מדובר בתקיפה נרחבת וארוכת טווח, שבמסגרתה הצליחו התוקפים לשהות במערכות הממשל (בכללן מודיעין וביטחון) במהלך חודשים רבים – לפחות מאז חודש מרס 2020, ולהזליג מתוכן מידע רב מאוד.

החקירה העלתה, כי התוקפים הצליחו לחדור לחברת התוכנה SolarWinds והטמיעו בעדכוני התוכנה Orion מתוצרתה פוגען, אשר הצליח להגיע במסגרת הורדת העדכון לעשרות אלפי משתמשים במערכות הממשל.  הפוגען הופץ כנראה בשלוש גרסאות עדכון של התוכנה בין החודשים מרס ליוני השנה (מגרסה 2019.4 ועד ל- 2020.2.1).  

הפגיעה במערכות והחדירה העמוקה של הרוסים, גרמה בין היתר להשבתת הרשת המסווגת SIPRNET המשמשת את הממשל להעברת מידע רגיש בין סוכנויות הממשל.

לפני מספר ימים פורסם בתקשורת, כי חברת האבטחה FireEye חוותה תקיפת סייבר עוצמתית, שבמסגרתה נגנב ממאגרי המידע שלה מידע רב, בכללו כלי תקיפה שפיתחה החברה לצורך חקירותיה. הפרצה בגרסאות הבעייתיות של SolarWinds Orion אפשרה כפי הנראה את הפריצה לחברת האבטחה FireEye, וממנה החלה כנראה החקירה שהובילה לאיתורה של התקיפה הנרחבת.

ככל הידוע, התקיפה, שבוצעה כאמור לפי החשד על ידי גורמי תקיפה רוסיים הצליחה לפגוע במערכות רבות מאוד של משרד ההגנה, ב- DHS וכנראה גם בסוכנויות מודיעין דוגמת ה- NSA, באתרי גרעין, במתקני צבא, ובמאות חברות פרטיות המשמשות כקבלניות עבור מערכת ההגנה האמריקאית. יצוין, כי לחברת SolarWinds יש לקוחות רבים מאוד בישראל, בהם גם משרדי ממשלה.

הממשל האמריקני הנחה באמצעות  הסוכנות לאבטחת סייבר ותשתיות, CISA,  את כל הסוכנויות הפדרליות להשבית באופן מיידי את המערכות בהן נעשה שימוש בתוכנות של SolarWinds, ובהמשך הוציאה החבר טלאי אבטחה למערכות אלו.    

מהפרסומים עד כאן לא ברור אם מדובר בתקיפה שמטרתה מודיעין (CNE) בלבד, או גם פגיעה (CNA), אבל ברור, כי התוקפים היו חשופים במשך תקופה ארוכה מאוד לתעבורת המידע (תכתובות, מיילים, מסמכים ועוד) במערכות הנתקפות, ואף הצליחו לעקוף את האימות הדו-שלבי של חברת MICROSOFT.

מכלל המידע שפורסם עד כה עולה החשד, כי התקיפה בוצעה ע”י יחידת התקיפה הרוסית המכונה APT29 (הנקראת גם Cozy Bear), שפעילותה משמשת ככל הידוע את ארגון מודיעין החוץ הרוסי, ה- SVR (אם כי בעבר התקבל מידע,   לפיו פעלו גורמי יחידה זו עבור שירות הביטחון הרוסי – FSB).  

יוזכר, כי יחידה זו הייתה מעורבת בתקיפת מערכת הבחירות בארה"ב בשנת 2016, במסגרת זו תקפו אנשיה את מערכות מחלקת המדינה (משרד החוץ) וניסו לחדור גם למערכות אחרות של הממשל ולשרתי הוועדה הלאומית של המפלגה הדמוקרטית, למכוני מחקר ועוד.

תקיפה זו מדגישה את האפשרויות הגלומות עבור תוקפי הסייבר בשימוש ב"שרשרת האספקה" במטרה לבצע תקיפה על יעדים, התלויים באותה חולייה בשרשרת – במקרה הזה – חברת התוכנה, בדומה לתקיפה שהתגלתה לפני מספר ימים בישראל על חברות לוגיסטיקה, שילוח ועמילות מכס, באמצעות חדירה לחברת "עמיטל".

בהקשר לתקיפות "שרשרת האספקה", ראוי לציין, כי זהו מונח המתייחס לכלל המשאבים והתהליכים הקשורים בספקים, בלקוחות ובקבלני ביצוע, אשר דרושים לצורך אספקת מוצר או שירות בארגון. יש ב"חוליות" השרשרת איומים פוטנציאליים קריטיים, אשר עלולים לסכן את הארגון ועליהם יש לתת את הדעת בהיבטי אבטחה, בעיקר בשל היכולת לעשות שימוש לתקיפה באמצעות ספקי צד שלישי (בדומה לאירוע הנוכחי) תקיפת אתרי אינטרנט דרך חברות לבנייה ועיצוב של אתרים, תקיפת חברות צד שלישי העוסקות באחסון נתוני חברות, ותקיפה הכוללת שתילת קוד באתרים הנמצאים בשימוש נרחב של מושאי התקיפה.

"ישראל צריכה לצאת במסע הסברתי לחברות וארגונים אך גם לאנשים פרטיים מה הם יכולים לעשות כדי להתגונן. חלק מאמצעי ההגנה הם דברים מאוד פשוטים וקלים לביצוע כמו החלפת סיסמאות, שמות משתמשים וכמובן עדכוני תוכנה של FIREWALL ותוכנות הגנה שונות. הרבה אנשים פרטיים נמנעים מלעשות זאת בגלל החשש מטכנולוגיה, כאן המדינה צריכה להיכנס, לספק מידע ולהסביר לאזרחים מה עליהם לעשות כדי להתגונן"

הכותב הוא ד"ר הראל מנשרי, ממקימי מערך הסייבר בשב"כ וראש תחום סייבר במכון טכנולוגי HIT