Sunburst: סייבר של פרל הארבור?

(של סירו מטגיאטה)
21/12/20

בעוד מספר שנים, כאשר סוף סוף השליטה במגפה הנוראה הנוכחית, 2020 לא תיזכר רק בזכות פיצוץ זיהום ה- COVID-19 והשלכותיו הקשות, אלא שהוא גם מהווה אבן דרך עבור חוקרים ו למקצוענים (כמו גם לסקרנים כמוני) של מימד הסייבר, בעקבות סיפור שלוקח את קווי המתאר של אחד מהמצורמים ביותר סיפור ריגול של כל הזמנים הצלחה. הכוונה היא למתקפת הסייבר שעברה חברת ה- IT האמריקאית השמש, שמוצריהם, המופצים ברחבי העולם, שימשו כ"סוסי טרויאנים "כדי לחדור לרשתות ולמערכות של חברות וגופים ממשלתיים ברחבי העולם, היעדים האמיתיים של ריגול.

בז'רגון, מתקפה מסוג זה מכונה "התקפת סייבר בשרשרת האספקה", ולמעשה, מאחורי מונחים נשמעים ומורכבים ככל הנראה, ישנן דחיות מודרניות של טכניקות ריגול שקיימות זמן רב: אבטחת היעד נפגעת בעקיפין בעקיפין. , לתקוף את "השרשרת הלוגיסטית" היחסית, כלומר טובין או שירות המסופק באופן לגיטימי על ידי צד שלישי (בדרך כלל חברה). בתחום הסייבר מדובר במוצרי IT או שירותים שאף חברה או גוף ממשלתי לא יכולים להסתדר בלעדיהם כדי לבצע את משימותיה.

דוגמה בולטת להתקפות סייבר מסוג זה היא הפעולה שהסוכנות לביטחון לאומי, על פי משתף הפעולה לשעבר אדוארד סנודן, הייתה מקימה במשך שנים בכך שהיא מוודאת כי מכשירי רשת המיוצרים על ידי חברה מובילה מופצים בשוק. ברחבי העולם, ששונה באופן ספציפי על ידי הסוכנות, על מנת להיות מסוגל ליירט ולהעביר מחדש את כל התקשורת המעובדת על ידי מערכות אלה. או הסיפור המדהים של Crypto AG (v.articolo), חברה שבסיסה בשוויץ, שייצרה והפיצה מכונות צופן למדינות השייכות לנאט"ו ומחוצה לברית (בסך הכל 130 ממשלות!), גם היא שונתה על מנת לאפשר למודיעין ארה"ב ול גרמנית ליירט תקשורת מסווגת ממדינות ויריבים "ידידותיים" במשך למעלה מ -50 שנה!

לבסוף, דוגמה נוספת של התקפת סייבר בשרשרת האספקה זה מורכב NotPetya, תוכנה זדונית הרסנית, "מחוסנת" בשנת 2017 בעדכון תוכנת ניהול עסקים פופולרית מאוד באוקראינה (v.articolo). בהקשר זה, אם נכון שלעולם ככל הנראה לא ניתן יהיה לכמת את ההשפעה האמיתית של פעולות אלה, הרי שבטוח, בהתחשב במספר היעדים הגבוה והמעורבות בפעילות הפוגענית, בכל המקרים מדובר כמות עצומה של מידע שיורט או הושמד, עם פגיעה קשה מאוד בבטיחות הקורבנות. אותו תרחיש מתגלה גם להתקפה א השמש כשהם מסננים את הפרטים (ברור שמי שרוצה לדעת) של החקירות המתבצעות.

האם זה יכול להיות המקבילה הסייברית למתקפה על בסיס הצי של פרל הארבור בשנת 1941, כלומר מעשה עוין כל כך עצום ועם השלכות כה חמורות, עד שהוא מרמז על תגובה חסרת תקדים, אולי זה לא מתפתח רק בממד הסייבר? מה יקרה עכשיו?

בואו נמשיך לפי הסדר. לפני כמה ימים החברה FireEye, חברה מובילה בתחום אבטחת הסייבר, הודיעה כי הייתה קורבן למתקפת סייבר חמורה, שבין היתר הייתה מאפשרת להחשיף תוכנות מסוימות שפותחו לביצוע בדיקות אבטחה מטעם לקוחותיה (v.articolo). בפרט נודע כי התקפה זו בוצעה באמצעות עדכון של מערכת אוריון השמש נפגע באופן אמנותי, כלומר, כנראה "אמיתי" אך, למעשה, שונה כדי לאפשר לו לחדור למערכות ורשתות FireEye. פרט זה של הפיגוע, שהיה ידוע פעם, הרחיב את אופק החקירות גם לכל שאר החברות וגופי המדינה המשתמשים באותם שירותים של השמש, יעדים שאולי נפגעו מאז חודש מרץ האחרון, התקופה ממנה חלוקה של עדכון ההונאה המדובר.

רשימת הקורבנות מועשרת לפי שעות על בסיס הניתוחים המתבצעים על הראיות שנאספו וכוללת כעת אלפי נושאים ציבוריים ופרטיים המופצים ברחבי העולם (אנו מדברים על למעלה מ- 17.000 קורבנות), אולם ברוב המקרים מרוכזים בארה"ב. . לכן הניסיון לספק רשימה מעודכנת משאיר את הזמן שהוא מוצא. עם זאת, מבלי לחשוש שיוכח כי הם טועים, ניתן לאשר כי במקרים רבים מדובר בגופים ממשלתיים המשתייכים אפילו למגזרים מכריעים (כמו למשל משרד האנרגיה האמריקני) וחברות מובילות בקנה מידה עולמי, בתורם, הם מספקים מוצרים ושירותים. בפרט, לאחר שמערכות האוריון שלהם עודכנו בתוכנה המתוקנת, הצליח התוקף להכניס את עצמו לרשתות היעדים ובמקרים רבים הוא השתלט עליהם, ופתח במתקפות נוספות על ידי ניצול ה"פריצה "שנפתחה במערכות ההגנה של אחרים.

נכון לעכשיו, לא ידוע על הנתונים שנגנבו בדרך זו ולא על ההשלכות הנוספות של ההתקפות, שכן נעשה שימוש בטכניקות מתוחכמות במיוחד כדי להסיט חקירות (בז'רגון, כדי "לטשטש" את הרמזים). פרט זה, יחד עם טכניקות התכנות המשמשות לביצוע עדכון ה- SolarWinds שנפגע, שבינתיים מכונה SUNBURST, נראים כמקוריים, נחשבים כמדדים ליכולות ברמה הגבוהה ביותר שיש בידי התוקף. כן, מי עומד מאחורי המבצע הנועז הזה?

כרגיל, החקירות אינן מאפשרות לייחס בוודאות את מחבר פעולת הריגול, אולם בהחלט מדובר בארגון המחזיק במשאבים עצומים (צוות טכני מומחה, מימון, אנשי תכנון, תשתיות וכו '). שייכות לממשלה או בהכרח בחסות לאומה. או שזו יכולה להיות קבוצה פלילית המציעה שירותים למציע הגבוה ביותר, שהפכה למובילת שוק השוק המידע בו אינטרנט אפל, "הצד האפל" של האינטרנט. מי יכול לספר? אף אחד לא בוודאות מוחלטת.

חלק מהאנליסטים והמעריכים של הממשל הנוכחי בארה"ב סבורים שקבוצת ההאקרים הידועה בשמות הקוד APT29, Cozy Bear, CozyCar, CozyDuke או Office Monkeys, שלכאורה קשורה סלובבה ונשני רזבדקי (SVR), שירות הביון הזר הרוסי (שחגג את מאה שנות ההיסטוריה הראשונות ב -19 בדצמבר) ואשר מתגאה בתכנית לימודים משמעותית במיוחד של פעולות סייבר מתוחכמות. עם זאת, ממשלת הפדרציה הרוסית הכחישה מייד כל מעורבות.

החקירות החלו זה עתה וכפי שקורה כמעט תמיד במקרים אלה, אין זה סביר שייאספו ראיות מספיקות כדי לזהות את האשמים בוודאות סבירה ולהענישם בפלילים. יהיה קשה מאוד גם לכמת את הנזק שנגרם לקורבנות ולדעת מה עלה בגורל המידע הגנוב, או ליתר דיוק "מועתק", מבלי שאיש שם לב. בסופו של דבר, לא ניתן לשחזר לחלוטין את כל הפעולות שהתוקף ביצע במהלך שמונה חודשי ה"שהייה "במערכות וברשתות הקורבנות.

תרחיש זה הביא כמה משקיפים להסיק מסקנה מטרידה: נצטרך להתמודד עם ההשלכות של התקפה זו במשך חודשים או שנים רבות, מכיוון שהתוקף אולי הפיץ את רשתות היעד והמערכות של תוכנות זדוניות אחרות. למעשה, אם זה נכון שמדובר בקבוצה מנוסה ויעילה במיוחד, האנליסטים מציינים כי הסיכוי שהתגלתה העסקה בהחלט תוכנן מראש ולכן הם סבורים שכל הצעדים שמטרתם להמשיך במסע הריגול, בציפייה לאמצעי הנגד של הקורבנות.

ההיבט האחרון של הסיפור, אולי רק משני לכאורה, הוא הפיננסי: השמש מדובר בחברה בבורסה והתקפה כזו עלולה להיות קטלנית למוניטין שלה ולפיכך לעתידה. יתר על כן, נראה כי יש מי שהצליח להרוויח מעל כל הנושא, מה שהופך את תנועות השוק לחשדניות יותר.

לסיכום, דייקנית, בכל שנה בתקופה זו אנו מוצאים את עצמנו בעמודים אלה להכין דוחות סופיים אבטחת סייבר, שממנו צצים תרחישים עם צבעים כהים יותר ויותר. מדי שנה ה"בר "מועבר יותר ויותר, מתקרב באופן מסוכן לסף ההתנגשות האמיתית בין המדינות והגבולות הטכנולוגיים נהרסים בהכרח, ולעתים קרובות עולים על הדמיון עצמו. בהקשר זה, אם מצד אחד החברה הופכת תלויה יותר ויותר בממד הסייבר, מצד שני זו הפכה כעת לציד נטול כללים הן לממשלות והן לקבוצות פשע חסרות מצפון.

הטרף של הציד הבלתי פוסק הוא מידע אשר, בעולם ההולך ומתקשר זה לזה, מהווה את המפתח לשליטה בו מבחינה צבאית, פיננסית, כלכלית, מדעית, טכנולוגית או פוליטית. מי שעדיין לא הבין או שלא רוצה לקבל את המציאות הזו, נועד להיכנע.

2021 שמח!

מקורות

https://www.corrierecomunicazioni.it/cyber-security/crypto-ag-cyber-scan...

https://www.ncsc.gov.uk/collection/supply-chain-security/supply-chain-at...

https://www.infoworld.com/article/2608141/snowden--the-nsa-planted-backd...

https://www.govinfosecurity.com/solarwinds-supply-chain-hit-victims-incl...

https://krebsonsecurity.com/2020/12/solarwinds-hack-could-affect-18k-cus...

https://www.wired.com/story/cozy-bear-dukes-russian-hackers-new-tricks/

https://blogs.microsoft.com/on-the-issues/2020/12/17/cyberattacks-cybers...

https://www.ilpost.it/2020/12/18/attacco-hacker-stati-uniti/amp/

צילום: נאס"א