הערכות: הפריצה הרוסית הגדולה למחשבים בארה"ב נמשכה חודשים

הפריצה לסוכנויות פדרליות וחברות מסחריות מזעזעת גורמי מודיעין בתפקיד ולשעבר

האקר בפעולה / צילום: שאטרסטוק, א.ס.א.פ קריאטיב
האקר בפעולה / צילום: שאטרסטוק, א.ס.א.פ קריאטיב

פריצה למחשבים של כמה סוכנויות ממשלתיות אמריקאיות וכמה עסקים פרטיים ברחבי העולם, אשר מקורה ככל הנראה ברוסיה, נמשכה במשך חודשים, מבלי שמישהו בממשל טראמפ או בחברות אבטחת סייבר שם לב אליה, כך אמרו אנשים המכירים את הנושא.

על המבצע הרוסי דווח ביום ראשון, וההודעה הביאה לתגובות נדהמות בקרב בכירי מודיעין, מומחי ביטחון ומחוקקים בארה"ב, כאשר חלק אמרו כי הם המומים מכך שפריצה בסדר גודל נרחב הצליחה להימשך זמן ממושך מבלי ששמו לב אליה.

בתחילת מרץ השנה, לקוחות של חברת סולאר ווינדס (SolarWinds Inc), חברה אמריקאית לניהול רשתות, החלו להתקין רכיב תוכנה זדוני מבלי לדעת זאת, כחלק מעדכון תוכנה של רכיב מתוך המערכת של החברה המכונה אוריון, כך לפי החברה.

העדכון, שקשה היה במיוחד לזהותו כאיום, הכיל מה שחוקרים מכנים "דלת אחורית", אשר הייתה יכולה לספק גישה בקלות לכמעט 18 אלף גופים שהורידו אותו. החוקרים סבורים כי מספר האנשים שבפועל נפגעו צפוי להיות קטן יותר, אולי כמה מאות בסך-הכול.

משרדי המסחר והאוצר של ארה"ב השתמשו כנראה בעדכון בחלק מהמחשבים שלהם, כך לפי בכירים ואנשים המכירים את החקירה המתמשכת מקרוב.

ביום שני, רשימת הסוכנויות הממשלתיות שייתכן שנפגעו מהמתקפה גדלה באופן משמעותי. משרד ביטחון המולדת, המכון הלאומי לבריאות ומחלקת המדינה נפרצו כולם גם כן, אמרו אנשים המכירים את הנושא.

בכל שלוש הסוכנויות סירבו להגיב על הפריצות. העיתון "וושינגטון פוסט" דיווח לראשונה על הפריצות במחלקת המדינה ובמכון הלאומי לבריאות לקראת סוף יום שני.

נראה כי הפריצות שהתגלו עד כה הן רק חלק מכל הרשתות הפרטיות והפדרליות אשר נפרצו על-ידי מרגלים רוסים שביקשו לאסוף חומר על תקשורת פנימית.

סוכנויות ביטחון לאומיות וקבלני ביטחון היו גם הם בין המטרות של מבצע הפריצות, כך אמר אדם המכיר את החקירה מקרוב. האדם ואישים נוספים שתודרכו בעניין אמרו כי הפריצה עשויה להתגלות כאחד הכשלים הביטחוניים החמורים ביותר מזה שנים.

שירותי הביון במדינות זרות של רוסיה חשודים במעורבות בפריצות. אותה קבוצה נקשרה בעבר למבצעי סייבר אחרים, כולל חדירה לסוכנויות ממשלה רבות וביניהן מחלקת המדינה והבית הלבן בזמן ממשל אובמה.

השגרירות הרוסית בוושינגטון הכחישה אחריות ואמרה כי ההאשמות בפריצה הן "ניסיונות חסרי בסיס של התקשורת האמריקאית להאשים את רוסיה".

חוקרים עדיין עובדים להעריך את מידת הנזק. בדיווח של מועצת ניירות הערך והבורסות לגבי הפריצה מיום שני, מסרה סולאר ווינדס כי הודיעה לכ־33 אלף לקוחות לגביה, והוסיפה כי היא מאמינה שמספר הלקוחות שהתקינו את עדכון אוריון הפרוץ בין מרץ ליוני השנה היה נמוך מ־18 אלף.

נראה כי המתקפה על החברה נתנה לפורצים נקודת גישה אפשרית לרשימה ארוכה של מערכות המחשב הנחשקות ביותר שעשויות לעניין יריב ממדינה זרה. לחברה יש חוזים עם כל חמשת זרועות הצבא וכמה סוכנויות לביטחון לאומי, כמו גם עם קבלני ביטחון כגון תאגיד לוקהיד מרטין (Lockheed Martin) ויותר מ־400 מהחברות ב־Fortune 500.

סולאר ווינדס עובדת עם חברת אבטחת המידע FireEye ועם קהילת המודיעין ואכיפת החוק בחקירת הפריצה, אמר דובר של החברה.

אי-אפשר היה ללמוד איך סולאר ווינדס עצמה נפרצה. החברה הודיעה בדיווח למועצה לניירות ערך ולבורסות כי ייתכן שמערכות הדואר האלקטרוני שלה של מיקרוסופט נפרצו, וכי התקרית "אולי סיפקה גישה לכלי תוכנה אחרים הקשורים לפריון במשרד". בפוסט על הבלוג של מיקרוסופט מיום ראשון, נכתב כי בחברה לא זיהו חולשות במוצרים שלהם כתוצאה מחקירה של המקרה.

בשבוע שעבר FireEye סיפקה תיאור מעורפל של פריצה שהיא אמרה שהייתה עבודתה של ממשלה זרה בעלת יכולות, אם כי לא נאמר באופן פומבי לאיזו מדינה מופנית אצבע מאשימה.

קו המתאר הכללי של מבצע ריגול הסייבר הרוסי - כולל פריצות לסוכנויות ממשלתיות - התבהר רק במהלך סוף השבוע, כאשר פרטים מהפריצה שסופקו על-ידי FireEye אפשרו לבכירים בממשלה ובממשל הנשיא לעבור על המערכות שלהם ולחפש סימנים לפריצה אפשרית, כך אמרו אנשים המכירים את הנושא.

הנזק אינו מוגבל לארה"ב. לחברת FireEye לקוחות שנפגעו בכל העולם - בצפון אמריקה, באירופה, באסיה ובמזרח התיכון - ובמגוון תחומים כולל תקשורת, טכנולוגיה, בריאות, רכב, אנרגיה וממשלה, כך אמר אדם המכיר את החקירה שמתבצעת בחברה.

באופן המדגים עד כמה האיום חמור, סוכנות ביטחון התשתיות וביטחון סייבר, חלק מהמחלקה להגנת המולדת שעוזרת לממשלה ולעסקים להתמודד עם פריצות סייבר, הוציאה הוראת חירום נדירה ביום ראשון. הסוכנות הורתה לכל הסוכנויות הפדרליות האזרחיות לעבור על הרשתות שלהן בחיפוש אחר סימנים לפריצה ולהפסיק לאלתר את השימוש במוצרי סולאר ווינדס אוריון.

"הפריצה במוצרי הניהול של סולאר ווינדס אוריון מציבה סיכון לא מקובל לביטחונן של רשתות פדרליות", אמר ברנדון וויילס, המנהל בפועל של סוכנות ביטחון התשתיות וביטחון סייבר.

רק להסיר את ההתקנה של סולאר ווינדס אינו מספיק להסרת האיום, אמרו חוקרים ובכירים, והוסיפו כי לטהר את הנוכחות הרוסית מהמערכות עשוי להיות עבודה קשה, מפני שהפורצים התאמצו במיוחד לפעול בשקט ולהימנע מגילוי ברשתות אחרות עד שהגיעו ל־FireEye. "החבר'ה האלה מאוד חמקניים ויכולים להימנע מניסיונות לעקור אותם", אמר אדם המכיר את הנושא. "זה יהיה קרב במעלה הגבעה. מעולם לא ראיתי דבר כזה".

לפי בדיקה של מסמכי רכש פדרליים, הפנטגון וכמה מזרועות הביטחון של ארה"ב, כולל הצבא והצי, רכשו והתקינו את המוצר של אוריון. כך עשו גם המחלקה לענייני חיילים וותיקים ומכון הבריאות הלאומי, שתי סוכנויות הקשורות לתגובה למגפת הקורונה.

"איגוד החיילים הוותיקים בודק את הנושא ולא זיהה פריצות כלשהן", אמרה כריסטינה נואל, דוברת של הארגון. "יחד עם זאת, אנחנו מורידים את המוצרים של סולאר ווינדס כדי להיות זהירים במיוחד".

בראיון ברדיו ביום שני, מזכיר המדינה מייק פומפאו אישר את המעורבות הרוסית בפריצה והבטיח כי ממשל טראמפ יעבוד להגן על מידע רגיש על-מנת שלא ייפול לידיים הלא נכונות.

"אני לא יכול לומר הרבה מעבר לכך שזה היה מאמץ קבוע של הרוסים לנסות להיכנס לשרתים אמריקאיים, לא רק של סוכנויות ממשלה אלא גם של עסקים", אמר פומפאו. "זה קרב מתמשך, מאבק מתמשך לשמירה על המערכות שלנו, ואני בטוח לגמרי שממשלת ארה"ב תשמור על המידע המסווג שלנו שלא יגיע לידי הגורמים הרעים האלה".

הסנאטור רון ווידן (דמוקרט מאורגון), חבר במועצת המודיעין של הסנאט, אמר כי אם הדיווחים על הפריצה אמיתיים, אז ארה"ב "נפגעה פגיעה ביטחונית ברמה לאומית, שעלולות להיות לה השלכות עוד שנים קדימה".

וויידן אמר כי הוא דוחק בממשל לפרט את ההיקף המלא של הפריצה ולהסביר אילו צעדים נעשים על-מנת למזער את הנזק. "אני חושש שהנזק הרבה יותר נרחב ממה שאנו יודעים כרגע", אמר.

הסנאטור אנגוס קינג, סנאטור עצמאי ממדינת מיין שמצביע לרוב עם הדמוקרטים, אמר כי הפריצה הייתה מדאיגה במיוחד, מפני שקרתה מעט יותר מחודש לפני כניסתו לתפקיד של הנשיא הנבחר ג'ו ביידן. "הרגע של העברת השלטון הוא רגע של חולשה", אמר קינג.

קינג, שגם משרת במועצת המודיעין, אמר כי הוא עדיין לא תודרך על הפריצה, אבל הוסיף כי אם רוסיה תאושר כאחראית לה, הדבר יוכיח כי הממשלה הפדרלית אינה מוכנה כהלכה להתמודדות עם ניסיונות פריצת סייבר של מדינות זרות.

לנשיא רוסיה ולדימיר פוטין "אין המשאבים להתחרות איתנו בנשק קונבנציונלי, אבל הוא יכול לשכור כ־8,000 פצחנים במחיר של מטוס קרב בודד", אמר קינג. "זה עתה למדנו כמה נזק יכולים הפצחנים האלה לגרום - אם אכן מדובר ברוסיה".

בן קסלינג השתתף בהכנת הכתבה

צרו איתנו קשר *5988