המלך עירום: הפריצה לסולר וינד - כשלון תעשיית הסייבר העולמית
קמפיין הריגול בסייבר הקשור לפריצה לחברת SolarWinds חושף כי אף יצרן הגנה בסייבר לא זיהה, עצר, או חסם , במשך כשנה לפחות, את ההאקרים מהצד השני. פרשנות
עמי רוחקס דומבה
| 28/12/2020
bigstock
הפריצה לחברת סולר וינד חשפה את תעשיית ההגנה בסייבר במערומיה. מתוך 500 החברות הכי גדולות בארה"ב, כ425 נחשפו לתוקפים באמצעות הורדה של קובץ מזוהם. חלקן נפרצו, חלקן עדיין לא ברור, חלקן לא. ניתן להעריך כי בתמהיל כלי ההגנה שאותן מאות חברות ענק רכשו, אפשר למצוא את מרבית, אם לא את כל, יצרני ההגנה בסייבר המובילים בעולם. וכולם כשלו לזהות את המתקפה המיוחסת לביון הרוסי או הסיני.
"SolarWinds הסירה את רשימת הלקוחות שלה מאתר האינטרנט שלה, אך ארכיון האינטרנט הציל אותה: כל חמשת הזרועותשל צבא ארה"ב, מחלקת המדינה, הבית הלבן, ה-NSA, כ-425 מחברות Fortune 500, כל חמשת חמשת פירמות הרו"ח הגדולות. חברות ומאות אוניברסיטאות ומכללות. בתצהיר ל-SEC SolarWinds אמרה כי היא מאמינה כי "פחות מ -18,000" מאותם לקוחות התקינו את העדכון הזדוני הזה. דרך נוספת לומר שיותר מ -17,000 עשו זאת", כותב חוקר הסייבר, ברוס שנייר בבלוג שלו.
בבלוג של פאלו אלטו, פורסם ציר הזמן המשוער למתקפה שהחלה אי שם באוגוסט 2019. יותר משנה עד שהמתקפה נחשפה. המשמעות היא כי ייתכן והתוקפים היו חודשים ברשתות הכי מאובטחות, לכאורה, בעולם. ואף אחד לא גילה אותם. אף אחד לא שם לב שהם שם, גונבים מידע. איפה כל אותם פתרונות בינה מלאכותית, חכמים, שיודעים לזהות כל חריגה מהשימוש הנורמלי? תוצאות התקיפה מראות כי הבינה המלאכותית אכזבה בהקשר זה.
גם הכלי היקר להחריד שפיתחה ממשלת ארה"ב בשם "Einstein 3" כשל. כלי שהושקעו בו מיליארדי דולרים והיה אמור לזהות מתקפות נגד תשתיות הממשל האמריקאי. גם הNSA, פיקוד הסייבר והCIA כשלו לתפוס את המתקפה ולהביא מודיעין אודותיה - באמצעות סיגינט או יומינט. לא משנה אם זו סין, רוסיה או כל מדינה אחרת. פריצה למערכות הפנטגון, הDHS וסוכנויות ממשל אחרות חושפות סודות אמריקאים לאויב. לא נדע לעולם כנראה מה הנזק המודיעיני של המתקפה הזו.
דיווחים נוספים טוענים כי ייתכן ובכלל היו שתי קבוצות תקיפה שונות בתוך הרשת של SolarWinds. כל אחת השתמשה בכלים ושיטות (TTP) שונים. טרם ברור האם התזה הזו נכונה. דיווח עדכני של הCERT האמריקאי חושף כי ניתן לעקוף את אימות הAPI של החברה, מנגנון תקיפה המאפשר לתוקף להריץ קוד זדוני במערכת שהותקפה.
אין ספק כי מדובר באירוע מכונן (או כזה לפחות שאמור להיות) עבור כלל יצרני ההגנה בסייבר. כמו גם, שאלות צריכות להשאל על מנגנוני הזיהוי הסטטיסטי, כולל אלו הכוללים את מילת הקסם 'בינה מלאכותית', כפי שהיטיב להעיר עמית מלצר, בכיר לשעבר בשירות ביטחון ישראלי. ולסיום, עוד שאלה פתוחה, אם הרוסים או הסינים יודעים לפרוץ לנבכי העולם הביטחוני והעסקי בארה"ב, בלי שירגישו בהם לכל הפחות שנה, מעניין אילו עוד קמפייני ריגול מתנהלים בזמן כתיבת שורות אלו שהעולם טרם נחשף אליהם.
קמפיין הריגול בסייבר הקשור לפריצה לחברת SolarWinds חושף כי אף יצרן הגנה בסייבר לא זיהה, עצר, או חסם , במשך כשנה לפחות, את ההאקרים מהצד השני. פרשנות
bigstock
הפריצה לחברת סולר וינד חשפה את תעשיית ההגנה בסייבר במערומיה. מתוך 500 החברות הכי גדולות בארה"ב, כ425 נחשפו לתוקפים באמצעות הורדה של קובץ מזוהם. חלקן נפרצו, חלקן עדיין לא ברור, חלקן לא. ניתן להעריך כי בתמהיל כלי ההגנה שאותן מאות חברות ענק רכשו, אפשר למצוא את מרבית, אם לא את כל, יצרני ההגנה בסייבר המובילים בעולם. וכולם כשלו לזהות את המתקפה המיוחסת לביון הרוסי או הסיני.
"SolarWinds הסירה את רשימת הלקוחות שלה מאתר האינטרנט שלה, אך ארכיון האינטרנט הציל אותה: כל חמשת הזרועותשל צבא ארה"ב, מחלקת המדינה, הבית הלבן, ה-NSA, כ-425 מחברות Fortune 500, כל חמשת חמשת פירמות הרו"ח הגדולות. חברות ומאות אוניברסיטאות ומכללות. בתצהיר ל-SEC SolarWinds אמרה כי היא מאמינה כי "פחות מ -18,000" מאותם לקוחות התקינו את העדכון הזדוני הזה. דרך נוספת לומר שיותר מ -17,000 עשו זאת", כותב חוקר הסייבר, ברוס שנייר בבלוג שלו.
בבלוג של פאלו אלטו, פורסם ציר הזמן המשוער למתקפה שהחלה אי שם באוגוסט 2019. יותר משנה עד שהמתקפה נחשפה. המשמעות היא כי ייתכן והתוקפים היו חודשים ברשתות הכי מאובטחות, לכאורה, בעולם. ואף אחד לא גילה אותם. אף אחד לא שם לב שהם שם, גונבים מידע. איפה כל אותם פתרונות בינה מלאכותית, חכמים, שיודעים לזהות כל חריגה מהשימוש הנורמלי? תוצאות התקיפה מראות כי הבינה המלאכותית אכזבה בהקשר זה.
גם הכלי היקר להחריד שפיתחה ממשלת ארה"ב בשם "Einstein 3" כשל. כלי שהושקעו בו מיליארדי דולרים והיה אמור לזהות מתקפות נגד תשתיות הממשל האמריקאי. גם הNSA, פיקוד הסייבר והCIA כשלו לתפוס את המתקפה ולהביא מודיעין אודותיה - באמצעות סיגינט או יומינט. לא משנה אם זו סין, רוסיה או כל מדינה אחרת. פריצה למערכות הפנטגון, הDHS וסוכנויות ממשל אחרות חושפות סודות אמריקאים לאויב. לא נדע לעולם כנראה מה הנזק המודיעיני של המתקפה הזו.
דיווחים נוספים טוענים כי ייתכן ובכלל היו שתי קבוצות תקיפה שונות בתוך הרשת של SolarWinds. כל אחת השתמשה בכלים ושיטות (TTP) שונים. טרם ברור האם התזה הזו נכונה. דיווח עדכני של הCERT האמריקאי חושף כי ניתן לעקוף את אימות הAPI של החברה, מנגנון תקיפה המאפשר לתוקף להריץ קוד זדוני במערכת שהותקפה.
אין ספק כי מדובר באירוע מכונן (או כזה לפחות שאמור להיות) עבור כלל יצרני ההגנה בסייבר. כמו גם, שאלות צריכות להשאל על מנגנוני הזיהוי הסטטיסטי, כולל אלו הכוללים את מילת הקסם 'בינה מלאכותית', כפי שהיטיב להעיר עמית מלצר, בכיר לשעבר בשירות ביטחון ישראלי. ולסיום, עוד שאלה פתוחה, אם הרוסים או הסינים יודעים לפרוץ לנבכי העולם הביטחוני והעסקי בארה"ב, בלי שירגישו בהם לכל הפחות שנה, מעניין אילו עוד קמפייני ריגול מתנהלים בזמן כתיבת שורות אלו שהעולם טרם נחשף אליהם.
