הרמז של מיקרוסופט והעקבות של רוסיה וסין: האם אנחנו בפתחה של מגפת סייבר?

הידיעות על הווירוס המסתורי החדש החלו להופיע בדצמבר. לאחר ימים ארוכים של ידיעות מהוססות החל העולם להבין שאותה מדינה נמצאת תחת השפעה של וירוס שדומה לווירוסים אחרים שנצפו בעבר לאחר שהתפשטו ברחבי העולם, אבל הפעם היה בווירוס משהו שונה. הוא חדר עמוק יותר, מהר יותר ובאופן נרחב יותר. יותר מאי פעם היה קשה להתחקות אחר המסלול שעבר הווירוס טרם פגע במישהו, אם בכלל פגע.

הווירוס המדובר אינו הקוביד-19, אלא מתקפת הסייבר שמתרחשת כעת בארה"ב. כבר עתה מופיעים הקולות הראשונים של מי שרואים במתקפת הסייבר בארה"ב את תחילתה של מגפת סייבר עולמית - "סייברדמיק". ואם להמשיך את ההשוואה לקורונה.
לא בכדי, אף לא גורם אחד מוסמך אחד יצא לציבור, לא בישראל ולא בארה"ב, ועדכן את הציבור במה שמתרחש. וכאשר כבר יצאו והתבטאו, רק הוסיפו בלבול.

מי אחראי לאחת ממתקפות הסייבר החמורות בתולדות הטכנולוגיה ואחת החמורות בתולדות ארה"ב? מזכיר המדינה מייק פומפאו, טוען - הרוסים. הנשיא טראמפ מציע את הסינים. אבל האמת היא שלמומחי הסייבר, אין שמץ של מושג.

התוכנה שנפרצה: התוקפים הסתובבו במערכת בחופשיות

נתחיל מהקונצנזוס היחסי לגבי הפרטים הידועים. מתקפת הסייבר שמתרחשת כעת בארה"ב, היא מהחמורות שאירעו אי פעם. מספר הארגונים בעלי פוטנציאל הפגיעה, בכירות וחשיבות הארגונים שנפגעו, עומק החדירה והיכולת של התוקפים לעשות כבשלהם בארגונים הנתקפים הותירו ומותירים מומחים רבים משתאים וחסרי מושג ואונים.

אוריון, התוכנה של סולרווינד שנפרצה ואשר שימשה לצורך הפריצה לארגונים, נחשבת סטנדרט בתחום של ניהול תשתיות מחשוב ארגוניות. היא בעלת לקוחות רבים בארגוני ענק בכלל, ובקרב ממשלות בפרט, כולל בישראל. עצם הבחירה בה משמעותית מאוד עוד לפני שהזכרנו את האופן המתוחכם שבו היא נוצלה כדי לאפשר לתוקפים לחדור לשורה ארוכה של ארגונים, ובראשם משרדי ממשלה בארה"ב - כולל החוץ, הביטחון, האוצר, הסחר וביטחון הפנים, ולחברת מיקרוסופט, שאף הזהירה עשרות מלקוחותיה כי נפגעו, בהם לקוחות מישראל ומאיחוד האמירויות.

נוסף לחשיבות של עצם הבחירה בסולרווינד, מבלי להיכנס לפרטים הטכנולוגיים, מומחי הסייבר עדיין משתאים מעומק החדירה למערכות החברה. חופש הפעולה שהשיגו התוקפים איפשר להם להבין היכן להשתיל את הווירוס באופן שיופץ לכל לקוחות החברה מבלי שאף אחד ישים לב. לדברי המומחים, מדובר בחדירה כה עמוקה, עד שנראה שהתוקפים הסתובבו במערכות הארגון כבתוך שלהם.

השימוש שהתוקפים עשו בתוכנת "אוריון" של סולרווינד, הוא למעשה כמו בסוג של פצצה חודרת שריון, כזו שמאפשרת לפצצה נוספת להשתחרר לאחר החדירה לארגון ולהשיג בו שליטה. גם כאן הצלחת התוקפים אדירה, לאחר שהכלי שבו הם השתמשו לאחר הפריצה, עלול לאפשר להם גישה לכל מערכת הרשאות המשתמשים בארגון ולמעשה לקבל גישה לכל דבר שבו ירצו. גורם בעולם הסייבר תיאר את זה כאילו הפורצים קיבלו לידיהם את תבנית ההדפסה של הדולר.

איתור התוקפים: פעלו באופן כירורגי וסלקטיבי

אלא שמעבר לכך לא ידוע הרבה. למעשה כל ארגון שהתקין את עדכון התוכנה של אוריון שגרם להדבקה חשף את עצמו לסיכון של פריצה, אלא שהתוקפים, מסבירים מומחי סייבר שעמם שוחחנו, פעלו באופן כירורגי וסלקטיבי. כך שלא ניתן לדעת בוודאות אצל מי מהלקוחות אכן הפורצים גם טרחו להיכנס מבעד לחור שפערה בקירותיהם הפצצה חודרת השריון.

ולא רק זאת, למעט במקרים בודדים, לא ברור בכלל איזו פעילות ביצעו בה הפורצים והאם היא הסתיימה. לא רק שלא ברור איזה מידע עניין את הפורצים, והאם הם גנבו אותו, אלא שלא ברור אפילו אם הם בכלל נכנסו כדי לגנוב מידע, או לשם מטרה אחרת, למשל המתנה ליום פקודה במסגרת פעולה עתידית.

אחת הסיבות לכך היא שלא ידוע על כך שלמתקפה יש היבט של גרימת נזק (השחתה) וגם לא של נעילת קבצים לשם סחיטה (מתקפת כופרה). מצד שני - העובדה שהותקפו גופים מסחריים חשובים, לצד גופי ממשל מרכזיים, גם היא מוסיפה מורכבות שיוצרת בלבול.

זהות המותקפים: סיסקו, דלויט, אנבידיה והטכניון

בסוף השבוע שעבר אירע ניסיון להסיק מי עשויים להיות בין הגופים שהותקפו בפועל. זאת אומרת - בעוד שכל לקוח סולרווינד שהתקין את עדכון התוכנה של אוריון שהופץ כבר בחודש מרץ 2020, העמיד את עצמו בפני סיכון לחדירה - חדירה בפועל בוצעה רק לגופים מעטים. הניסיון להסיק לגבי זהות הקורבנות בפועל, נעשה באמצעות פענוח של התקשורת של כלי התקיפה שבו נעשה שימוש, והנדסה לאחור של מרכיביה, כך שניתן יהיה לגלות עם אילו שרתים היא יצרה קשר.

התוצאות של מאמץ זה הוא רשימה של כמה עשרות גופים מוכרים שעשויים לרמז על כיווני העניין של התוקפים. אבל נסייג ונדגיש שמפרסמי הרשימה עצמה לא טוענים לאמיתותה הוודאית, וכי היא מציעה כיוון אינדיקטיבי בלבד. זאת אומרת שעצם העובדה שחברה מופיעה ברשימה לא מעידה על כך שאכן התוקפים יצרו איתה קשר.

הרשימה שפורסמה כוללת שמות כמו חברות כמו: סיסקו, סאפ, דלויט, אינטל, אנבידיה, וחברות וגופים ישראליים כמו אוניברסיטת חיפה, הטכניון, ואפילו חברת אבטחת המידע צ’קפוינט - שמסרה בתגובה כי מדובר בכיוון בדיקה ראשוני שכבר אינו רלוונטי. על פי צ’קפוינט, "בדקנו את כל הרשתות שלנו, הן נקיות, וכמובן שכמו בכל מתקפת סייבר עולמית צ׳ק פוינט אנו ממשיכים למקור ולפתח תובנות, ובמקביל מסייעים ללקוחות ברחבי העולם להתמודד עם התקיפה המשמעותית הזו".

אינטל ואנבידיה לא מגיבים, ואילו מהטכניון נמסר כי "מערכות ההגנה של הטכניון, מרכז החישוב הבינאוניברסיטאי (מחב"א) והמערכות לטובת מחב"א באירופה מתמודדים ללא הרף עם מתקפות רבות. באופן כללי, וגם בתקופה האחרונה הטכניון פעל ופועל על פי המלצות והוראות גופי הגנה בארץ ובעולם. התמודדות זו כבר הפכה לחלק מהשגרה שלנו ואין באירוע הנוכחי שום מאפיין חריג שאיננו מורגלים בו".

אם בכל זאת יש ממש ברשימה, המשותף לכל הגופים הוא מעורבות בפיתוח תשתיות טכנולוגיות כמו בינה מלאכותית, וטכנולוגיות קוונטיות.

התגובה: קריאה לפעולה של מיקרוסופט

גם המעורבות העמוקה של מיקרוסופט במשבר מעניינת. בפוסט שפרסם בסוף השבוע נשיא החברה בראד סמית', נכתב כי הפורצים טירגטו את לקוחות החברה "באמצעות כלים מתוחכמים נוספים", אלא שמעט מאוחר יותר ביקשה החברה להבהיר כי היא "לא מצאה כל אינדיקציה לכך שנעשה שימוש במערכות החברה על מנת לתקוף אחרים". אם בימים הקרובים יתגלו עוד סולרווינדים כאלה, יילך המשבר ויעמיק.

 נשיא מיקרוסופט, בראד סמית'. מקבל אחריות / צילום: Reuters, Sipa USA

לבסוף, מיקרוסופט, שנפלה בעצמה קורבן, מגלהנהיגות יוצאת דופן דווקא בצד שמנסה לפתור את המשבר. היא לוקחת בעלות על המשבר, וקוראת לפעולה בינלאומית משותפת נגד איומי הסייבר. קריאה זו עולה בקנה אחד עם טענות שמשמיעים גורמים בתעשייה זה זמן מה - הצורך המיידי בשיתוף פעולה בינלאומי מול איומי הסייבר, תוך לקיחת יותר אחריות מצד חברות הסייבר והמשק האזרחי. האם מאחורי המילים האלה מסתתרים ניצנים לשינוי ביחסי הכוחות בין מדינות לענקיות הטק?