בימים אלה מתרחשת מתקפת ענק על שרתי הדואר הארגוני של מיקרוסופט. תוקפים סינים הצליחו לנצל ארבע חולשות בשירות Exchange הפופולרי של מיקרוסופט, ודרכן לתקוף עשרות אלפי ארגונים בארצות הברית ובעולם.

מאחורי המתקפה החזיתית שהחלה כבר בחודש ינואר עומדת Hafnium, קבוצת האקרים סינית שמתמקדת בחדירה וגניבה מארגוני בריאות, אוניברסיטאות, פירמות עורכי דין, ספקים של משרד ההגנה האמריקאי, מכוני מחקר ומדיניות ועמותות. לפי פרסום של MIT מיום שבת האחרון, בשבוע שעבר הצטרפו לא פחות מארבע קבוצות האקרים נוספות.

לפי הדיווחים, מיקרוסופט ידעה על החולשות כבר בחודש ינואר, אך רק ביום שלישי שעבר היא שחררה עדכון הפותר את 7 החולשות. האם מדובר במקרה נוסף של מעט מדי, מאוחר מדי?

על הכוונת: עשרות אלפי ארגונים

החולשות העניקו לתוקפים נגישות מלאה לשרתי דואר בארגונים; כך הם שתלו קוד זדוני שאיפשר להם לחדור שוב מתי שרק ירצו. אם נצלול לפן הטכני, התוקפים מתחברים לשרת הדואר הארגוני תוך שימוש באחת מחולשות הללו (שכאמור, לא היו מוכרות עד לפני זמן קצר); מתקינים WebShell שמאפשר להם לשלוט בשרת מרחוק וללא ידיעת הארגון המותקף; ומוציאים מהארגון מידע רגיש מבלי שאיש ישים לב לכך. מסתמן שמעל ל-60 אלף ארגונים ברחבי העולם נפרצו כך, וסביר להניח שעוד מאות אלפי ארגונים בארץ ובעולם נפגעו גם כן.

אותן חולשות מופיעות בתוכנת Exchange שמותקנות על שרתים עצמאיים של ארגוניים; זאת, מאחר שגרסת הענן לא מושפעת מהחולשות הללו. מדובר בטכנולוגיה ישנה יחסית, כשרוב הארגונים מנהלים כיום את שירות המייל שלהם בענן; יחד עם זאת, לפחות 15% מהמשרדים מפעילים שרתי דואר פיזיים שחשופים לתקיפות אלו.

לאור הסכנה התעשייתית והביטחונית, הבית הלבן, סוכנות הסייבר CISA והמשרד לבטחון פנים של ארצות הברית פרסמו התרעה דחופה שקוראת לארגונים פדרליים לבדוק בדחיפות את שרתי ה-Exchange  שלהם – ואם כן, להתקין את עדכון האבטחה באופן מידי. גופים שלא מסוגלים לקבוע האם ברשותם שרתים כאלו או שלא מסוגלים לבצע את עדכון התוכנה, נצטוו לנתק את השרתים מהרשת. גם בישראל, מערך הסייבר הלאומי קרא לארגונים להתקין את עדכוני האבטחה באופן מיידי, כשמיקרוסופט שיחררה כלי שמאפשר לסרוק פעילות חשודה שיכולה להתקשר לפרצה.

הקורונה האיצה את המלחמה

בשנים האחרונות מתקפות הסייבר הולכות ותופסות כלי מרכזי במאבק בין מדינות, כשהן משמשות לצורך פעולות שבוצעו באופן מסורתי על ידי סוכנים. הקורונה תרמה למגמה הזו: היא הפעילה לחץ כלכלי על משטרים דיקטטוריים, ובמקביל נתנה להם מוטיבציה מיוחדת לנסות להשיג מידע על חיסוני קורונה. מאמץ זה מבוצע רובו ככולו באמצעי סייבר.

את המגמה מובילות סין, רוסיה, צפון קוריאה ואיראן; הן משכללות את שיטות התקיפה שלהן, ומכוונות את מאמציהן לשרשראות האספקה של הארגונים. בשיטה זו מותקף ספק משנה של הארגון שאותו רוצים לתקוף, ודרכו משיגים נגישות אל המטרה הרצויה. בחודשים האחרונים התגלו כמה קמפיינים בקנה מידה שלא היה מוכר לפני כן, שבמסגרתם נפרצו עשרות אלפי ארגונים (דרך ניצול חולשות בתוכנות מסחריות) במטרה להשיג נגישות למספר מצומצם של מטרות - וזאת תוך שמירה על חשאיות מרבית.

כפועל יוצא מהתגברות הפעילויות האלו, ארגונים רבים (כולל ארגונים מסחריים לחלוטין, שאינם קשורים לממשלות) נפגעים מתהליך התקיפה. דוגמה נוספת לכך אפשר לראות באירוע SolarWinds, שבו הותקפה חברה שמספקת שירות IT מנוהלים לעשרות אלפי חברות, כנראה מתוך רצון של התוקפים להשיג נגישות למספר מצוצמם של מטרות (רשויות ממשלה בארצות הברית). המתקפה על שרתי Exchange, שבאה בעקבות אירוע SolarWinds, מדגישה עד כמה ארגונים פגיעים לתקיפות סייבר מצד תוקפים מדינתיים. העובדה שקיימת חולשה כזו במוצר שקיים בכמעט כל ארגון מראה שאיש אינו חסין מפני תקיפות סייבר. רק שילוב של מודיעין איכותי, ניטור רציף ומוצרי הגנה מתקדמים יכולים לזהות מתקפות מסוג זה לפני שיגרמו נזק לארגונים.

הכותב הוא סמנכ"ל מחקר בחברת הסייבר SentinelOne