מיקרוסופט הודיעה כי האקרים מסין ניצלו חולשות אבטחה בשרת הדואר האלקטרוני Exchange על מנת לתקוף לקוחות של החברה. התוקפים הצליחו לחדור לחשבונות מייל ולהתקין נוזקות שיאפשרו להם גישה לטווח ארוך לסביבות העבודה של הקורבנות. בחברה מעריכים כי מאחורי המתקפות עומדת קבוצת האקרים הנקראת HAFNIUM, שפועלת ככל הנראה בחסות המשטר בבייג'ינג. בעקבות המתקפה שחררה מיקרוסופט עדכוני אבטחה חריגים ובמערך הסייבר הישראלי קוראים לארגונים להתקין אותם בהקדם האפשרי.
2 צפייה בגלריה
מיקרוסופטמיקרוסופט
מיקרוסופט. ארגונים רבים חשופים למתקפות
(צילום: AP)
שרתי Exchange משמשים ארגונים רבים ברחבי העולם, וגם בישראל, לניהול תעבורת המיילים. חולשות האבטחה שהתגלו בשרתים הללו חושפות את הארגונים למתקפות ולכן ההמלצה היא להתקין בהקדם את עדכוני האבטחה ששחררה מיקרוסופט. במיקרוסופט הדגישו כי אין סימנים המצביעים על כך שההאקרים תקפו לקוחות פרטיים או ניצלו חולשות במוצרים אחרים של החברה. במיקרוסופט אומרים כי קבוצת HAFNUIM פועלת בעיקר נגד חברות וארגוני בארה"ב בכמה מגזרים - חוקרי מחלות מדבקות, משרדי עורכי דין, מוסדות להשכלה גבוהה, קבלנים בתחום הביטחון, מכוני מחקר בתחום המדיניות וארגוני מגזר שלישי. למרות שהם נמצאים בסין, ההאקרים נוהגים להשתמש בשרתים וירטואליים בארה"ב על מנת לתקוף.
לוטם פינקלשטיין, מנהל מחלקת מודיעין סייבר בחברת אבטחת המידע צ'ק פוינט, אמר ל-ynet כי מדובר בחולשות שלא היו מוכרות עד כה, ולכן "המתקפה חשפה את כל ציבור הלקוחות של החברה המשתמשים בשרתים אלה למתקפה מדינתית, שמטרה עדיין אינה ברורה. מתקפות שכאלו אמנם נדירות, אולם מאז דצמבר תכיפותן עולה. אף על פי שיש מעט שניתן לעשות על מנת להימנע מהשלב הראשון של המתקפה המנצל חולשות אלו, שלבים מתקדמים יותר הנוגעים להדלפת מידע ומניפולציה שלהן מוכרים בתעשייה, ולמעשה אמצעי אבטחה מתקדמים מסוגלים לזהותם ולמנוע נזק ממשי".
2 צפייה בגלריה
מטה חברת Solarwindsמטה חברת Solarwinds
מטה חברת Solarwinds. ההאקרים מנצלים חולשות במוצרים פופולריים
(צילום: רויטרס)
פינקלשטיין הוסיף כי "החודשים האחרונים בעולם אבטחת המידע מוכיחים כי מתקפות סייבר הופכות למורכבות יותר ובעלות השפעה הולכת ומתרחבת. הדבר נכון אף יותר כשאר קבוצות האקרים בתמיכה מדינתית עומדים מאחורי מתקפות אלו". לדבריו, אין קשר ישיר בין המתקפה הסינית לבין מתקפת Solarwinds המיוחסת לרוסיה, אולם בשני המקרים נוצלו חולשות אבטחה במוצרים פופולריים שמהווים שער כניסה עבור ההאקרים. לדבריו, "ברגע שהן מנצלים את חולשות האבטחה, האחיזה שלהם ברשת היא לאורך חודשים". תקופת הביניים שבין פרסום החולשות ושחרור עדכוני האבטחה ועד להתקנתם על-ידי כלל הלקוחות היא מסוכנת, אומר פינקלשטיין. הסיבה היא שהאקרים שעד כה לא היו מודעים לקיום הפרצה עשויים לנצל אותה כעת כדי להוציא לפועל מתקפות נגד לקוחות מיקרוסופט. לכן, ההמלצה לארגונים היא להתקין את העדכונים בהקדם האפשרי. ממערך הסייבר נמסר כי ניצול החולשות "עלול לגרום להרצת קוד מרחוק על השרת, דלף מידע, התקנת Webshell, וכן תנועה רוחבית לרשת הארגונית. המערך ממליץ לארגונים לבחון ולהתקין את העדכונים בהקדם האפשרי על כל שרתי ה-Exchange, ובפרט על שרתים הנגישים מרשת האינטרנט. כמו כן, ממליץ המערך להגביל את הגישה לשרתי OWA, לדוגמה באמצעות שירות מסוג VPN עם הזדהות חזקה והצפנה מתאימה".