מקרה SolarWinds, בואו ניקח חשבון

(של אלסנדרו רוגלו)
08/03/21

ב מאמר של 14 בדצמבר 2020 דיברנו על FireEye ואיך זה נפרץ. באותה חברה, ב- 8 בדצמבר האחרון, הודיעה לציבור על מה שקרה.

לאחר מכן אספנו את החדשות כעבור שבוע עם המאמר מאת סירו מטגגיאטה

לאחר מכן ניסינו לשאול את עצמנו כמה שאלות על בסיס הידוע ולשרטט כמה תשובות.

היום, כמעט שלושה חודשים לאחר התקרית, אנו יכולים לנסות לעשות צעדים קדימה בוודאות שהתקיפה, המכונה כיום סולורייט, נמשיך לדבר עוד הרבה זמן.

בינתיים הובהר כי התקיפה התרחשה באמצעות חברת ספקי תוכנה עבור FireEye (ולא רק!), קוראים לחברה השמש וממוקם בטקסס.

דבר אחד אנו יכולים לראות באופן מיידי הוא השפעת המתקפה על שתי החברות: FireEye שמרה על שווי מניותיה, אשר אכן צמח בזמן ש השמש אָבֵד!

זה רק כדי להגיד איזה סוג של "השפעות" מתקפת סייבר יכולה להיות, מבחינה כלכלית כדי להיות ברורה, אם למישהו יש עדיין ספק לגבי ההשפעות בעולם האמיתי. במקרה זה ההשפעות שהראיתי הן רק אלה על יצרן התוכנה, אך אם היינו מעריכים את ההפסדים הכלכליים עקב התקפה זו היה צריך לכלול ניתוח של כ- 18.000 ארגונים ממלכתיים ולא מדינתיים, ואת הנתון היה יוצא יכול להיות גבוה להפחיד. בואו נעזוב את זה.

השמש פיתחה מוצר המשמש את לקוחותיו לעדכון מערכות. זה למשל המקרה של מיקרוסופט ורבים אחרים שהשתמשו במוצר של השמש המכונה "אוריון", מוצר המשמש ארגונים וחברות רבות לניהול נכסי IT.

כנראה בתחילת 2020 השמש שלחו עדכונים שהכילו א דלת אחורית, שאיפשר להאקרים לגשת למערכות, לחקור ולהסנן נתונים, אך ככל הנראה גם לשנות חלק מהנתונים שאליהם ניגשת. המשמעות היא שההאקרים היו לפחות שישה חודשים לפני שנתפסו. 

על פי דיווחים שהיו לאחרונה בעיתונים, החוקרים מאמינים כי ישנם גורמים רוסיים בקרב ההאקרים וכי היה זה מסע ריגול. בהקשר זה יש לומר כי ממשל ביידן פועל לייחוס התקיפה. 

בקרב הקורבנות, בנוסף ל FireEye שדיווחו לראשונה על האירוע, ישנם כמה מהמוסדות האמריקאים העיקריים, כולל משרד החוץ, האוצר, ביטחון פנים, אנרגיה ומסחר, המכון הלאומי לבריאות והמינהל הלאומי לביטחון גרעיני, אך גם כמה חברות מהגדולות ביותר העולם המופיע ב- Fortune 500, כולל מיקרוסופט, סיסקו, אינטל, דלויט ...

על פי ניתוח מומחים, ברגע שהאקרים קיבלו גישה לרשתות ומערכות הקורבנות, במקרים רבים הם תמרנו פיסת תוכנה של מיקרוסופט בשם "Active Directory Federation Services" העוסקת בהנפקת "זהויות דיגיטליות" עבור הקורבנות. "אסימונים של SAML". 

כעת הדיון, אפילו פוליטי, מתמקד בעובדה שטכניקת התקפה זו הייתה ידועה כבר לפחות משנת 2017 כאשר חוקרת ישראלית, שקד ריינר, תיארה את טכניקת התקפה זו בשם "Golden SAML Attack". למעשה, ישנם רבים שדורשים הסברים מדוע רשתות ומערכות אמריקאיות אינן מוגנות כראוי למרות ההשקעות העצומות שבמגזר. 

אני בטוח שיש עדיין הרבה מה לומר על המקרה השמשעם זאת, אני רוצה לסכם בשיקול דעת: החברה שלנו תלויה יותר ויותר באינטרנט ובמערכות הדיגיטליות. התמכרות זו, לעומת זאת, מצור יותר ויותר על ידי הסיכונים הגוברים הקשורים להתקפות סייבר.

כנראה שהגיע הזמן שמדינות יתחילו לעבוד ברצינות וביחד כדי להפחית סיכונים באמצעות אסטרטגיה משותפת רצינית אלא אם כן אתה רוצה להסתכן בביטול 50 השנים האחרונות של פיתוח דיגיטלי כדי לחפש דרך חדשה, קיימא ובטוחה.

להעמיק:

FireEye נפרץ, על ידי מי? - הגנה מקוונת

Sunburst: סייבר של פרל הארבור? - הגנה מקוונת

FireEye משתפת פרטים על מתקפת סייבר לאחרונה, פעולות להגנה על הקהילה FireEye Inc.

FireEye גילתה את הפרת SolarWinds תוך כדי בדיקה של האק של עצמו - בלומברג

מציג XBRL מוטבע (sec.gov)

פריצת SolarWinds: ממשל ביידן אומר כי החקירה עשויה להימשך "מספר חודשים" - CNNPolitics

WH "תחדד את הייחוס" עם רוסיה לאחר פריצת SolarWinds (nypost.com)

הנה הסבר פשוט כיצד קרה הפריצה המסיבית של SolarWinds ומדוע זה עניין כל כך גדול (businessinsider.fr)

SAML הזהב: טכניקת התקפה שהתגלתה לאחרונה מחיילת אימות ליישומי ענן (cyberark.com)

מה זה Solorigate - מקורבים לאבטחת סייבר (cybersecurity-insiders.com)