חשבון הטוויטר של SolarWinds. “נפלנו קורבן למתקפת סייבר” / צילום: Reuters, Alex Milan Tracy
רוסיה, סין או גורם אחר? מי עומד מאחורי מתקפת הסייבר החמורה שמתחוללת בימים אלה בארה"ב? מה עומק הפגיעה בגופי הממשל שנפרצו כמו משרדי ההגנה והחוץ, האוצר, הסחר וביטחון הפנים? כמה חברות נפגעו עד כה ומה היקף הפגיעה בהן? ייתכן שלעולם נדע את מלוא היקף הנזק שנגרם במה שכבר זכה לכינוי "מתקפת שרשרת האספקה החמורה ביותר שהתחוללה אי-פעם בארה"ב".
גם אם נדע, ייתכן שייקחו עוד שבועות או חודשים ארוכים בטרם יתבררו היקפיו המלאים של האירוע. בינתיים, אפילו בצמרת הממשל היוצא מתקשים להסתיר את המבוכה לנוכח המתקפה. בעוד שמזכיר המדינה מייק פומפאו האשים ביום שישי את הרוסים, צייץ אתמול נשיא ארה"ב דונלד טראמפ, כי "ייתכן שאולי אלו בכלל הסינים".
המתקפה האמורה נקראת "מתקפת שרשרת אספקה", משום שהיא מנצלת את אחת מנקודות התורפה של המשק - התלות וקשרי הגומלין בין חברות לספקים שלהן. במתקפת הסייבר הנוכחית נוצלה תוכנה ארגונית בשם אוריון של חברת סולרווינד (SolarWind), כדי להתפשט ולהגיע לשורה ארוכה של גופי ממשל מרכזיים בהם משרדי ההגנה, החוץ, האוצר, הסחר וביטחון הפנים ולחברות מרכזיות במשק האמריקאי.
התוקפים פרצו לתוכנת אוריון, אשר משמשת לניהול תשתית IT בארגונים רבים, והפיצו את התוכנה הזדונית באותם ארגונים באמצעות מנגנון העדכון התקופתי שלה. מתקפת שרשרת האספקה החמורה הקודמת אירעה ב-2016 כשהרוסים פרצו לתוכנת ניהול החשבונות האוקראינית M.E.Doc והפיצו באמצעותה וירוס כופרה שנעל קבצים חשובים במחשבי הקורבנות. היקף הנזקים הגלובלי מהמתקפה ההיא הוערך בכמה מיליארדי דולרים.
על פי הערכות, המתקפה בארה"ב יצאה לדרך כבר בסוף 2018 או תחילת 2019. במחצית 2019 הצליחו התוקפים לקבל דריסת רגל בחברת סולרווינד בהמתנה לשעת כושר. רק בתחילת נובמבר צצים הסימנים הראשונים למתקפה - בחברת הסייבר FireEye ועובר עוד חודש עד שחמ"ל הסייבר (CERT) של ארה"ב מעדכן בדבר המתקפה ועוד יומיים עד ש- FireEyeמפרסמת אזהרה לפיה תוקפים עושים שימוש בכלים שלה, של FireEye, על מנת לתקוף חברות אחרות. הסיפור החל לקבל תאוצה רק ביום ראשון שעבר, אז רויטרס פרסמה את דבר הפריצה לגופי הממשל ומתפרסם כי מקור התקיפה היא תוכנת אוריון של סולרווינד.
מיקרוסופט מודה: גם אנחנו הותקפנו
ככל שהימים עוברים, כך הולכת ומתבהרת עוצמת המתקפה. ביום שישי הודיעה מיקרוסופט כי דיווחה לקבוצה של ארבעים לקוחות כי היו בין הנפגעים ממתקפה נוספת, שבה נעשה שימוש בכלים מתוחכמים נוספים על אלה שבהם נעשה שימוש במתקפה הראשית. 80% מבין הלקוחות הללו ממוקמים בארה"ב, אך מיקרוסופט זיהתה לקוחות גם בישראל, איחוד האמירויות, ומדיניות נוספות. בפוסט רשמי בבלוג של מיקרוסופט מאת נשיא החברה בראד סמית’, העומד גם בראש המחלקה המשפטית שלה נאמר כי "מספר הקורבנות ומספר המדינות בהם הם ממוקמים צפוי עוד לעלות".
באותו פוסט תלה סמית’ את ההחמרה במתקפות הסייבר בעולם - בתפוצה ההולכת וגוברת של כלי תקיפת סייבר שבעבר היו נחלתן של מדינות בלבד וכיום הם מגיעים ליותר ויותר ידיים עוינות. סמית׳ מתקיף קטגוריה שלמה של חברות סייבר אזרחיות שמפתחות כלי סייבר התקפי. סמית’ ציין כדוגמה לחברה בקטגוריה זו את חברת הסייבר ההתקפי הישראלית NSO.
סמית׳ טען כי קיומן של חברות אלה פוגע בעולם בשתי דרכים. הן מאפשרות למדינות לשפר את יכולות התקיפה הקיימות שלהן, ובנוסף הן עוזרות למדינות שבידיהן הכסף, אך לא כוח האדם המתאים, לשים את ידיהן על כלים שכאלה. סמית׳ השתמש לתיאור תפוצת אותם כלים במונח proliferation, המשמש גם בהקשר של תפוצת נשק לא קונבנציונלי בעולם. מקורבים ל-NSO ממסרו בתגובה כי "האתגרים המשמעותיים הם אלה המחייבים שיתוף פעולה גלובלי של המדינות והמגזר העסקי". עוד מסרו המקורבים כי הם "ישמחו לשתף מניסיונם הן בחקירת מתקפות הסייבר והן בגיבוש מענה טכנולוגי ורגולטיבי מחייב, כפי שמיקרוסופט מציעים".
הפגיעה בישראל כנראה מינורית
על פי הידוע כעת, על אף הודעת מיקרוסופט כי ישנם גופים בישראל הקשורים אליה, שנפגעו במתקפה, היקף הפגיעה במשק הישראלי יהיה ככל הנראה נמוך ביותר. אחת הסיבות לכך היא ההערכה שמספר הלקוחות של סולרווינד בישראל מצומצם למדי ועומד על כמה עשרות בלבד. לדברי טום אלכסנדרוביץ’ ממערך הסייבר הלאומי, "סולרווינד הודיעה על המתקפה ללקוחותיה ברגע האמת ישירות או דרך המפיצים שלה, וכל הארגונים הגדולים בצעו את כל העדכונים הנדרשים". מערך הסייבר פרסם גם רשימה של אמצעי פעולה להתמודדות של ארגונים עם המתקפה.
לדברי אלכסנדרוביץ’, מדובר במתקפה מתוחכמת ביותר. "הקונספט של מתקפת שרשרת אספקה אינו מתוחכם כשלעצמו אולם במקרה הזה ביצעו התוקפים שורת פעולות הנחשבות קשות לביצוע ושנועדו כדי לאפשר להם לחמוק מהרבה מאוד טקטיקות של הגנת סייבר".
בתעשיית הסייבר בישראל סבורים כי פרשת סולווינד צריכה להתחיל מהלך של חשיבה והתארגנות לשיתופי פעולה שיאפשרו הגנה טובה יותר על ארגונים וממשלות. "צפויה נסיגה בנכונות של ארגונים לעבור לענן", טוען מנכ"ל חברת אבטחת הסייבר קלירסקיי בעז דולב. לדבריו, "יותר ויותר ברור שההגנה מגיעה רק עד גבול מסוים".
עורך הדין חיים רביה, שותף בכיר וראש קבוצת האינטרנט בפרל כהן צדק לצר ברץ, אומר כי "ישראל נהנתה משנים של שקט יחסי בתחום. הדבר אפשר לשמור את המתקפות שהיו בלי פרסום אך בשבועיים האחרונים נוכחנו לדעת שזה שקט מדומה. מרחב החסינות הישראלי הוא אשליה, ולכן כל ארגון חייב להיערך בהתאם".
עו"ד רביה טען כי "מטריד מאוד שארגונים שנתקפים בידי מעצמות זרות או מדינות אויב מתוחכמות כמו אירן עלולים גם לעמוד בפני תביעות ואכיפה, אפילו פלילית, בישראל. הכוונה לתביעות אזרחיות, כולל ייצוגיות ולאכיפה של הרשות להגנת הפרטיות. מצבה המיוחד של המדינה קורא להסדרים ייחודיים של מתן חסינות מפני אירועי אבטחה ודלף מידע בתקיפות שמאפייניהן מעידים על ארגון מדינתי".