שוב: פריצת שרשרת אספקה בארה״ב למאות ארגונים
פריצה לחברת Codecov המפתחת כלים לבדיקות תוכנה אפשרה לתוקפים להגיע ללקוחות החברה. הפריצה החלה בינואר וזוהתה רק החודש, כך לפי פרסום של רויטרס
עמי רוחקס דומבה
| 20/04/2021
bigstock
כאילו לא הספיקו הפריצות לסולרווינד ולשרתי הדוא״ל של מיקרוסופט, מגיע מגה אירוע שלישי - הפעם חברת Codecov נפלה קורבן. חוקרים אמרו לסוכנות הידיעות רויטרס כי האקרים שהתעסקו בכלי פיתוח תוכנה של חברה בשם Codecov השתמשו בתוכנית זו כדי להשיג גישה מוגבלת למאות רשתות השייכות ללקוחות החברה.
קודקוב מייצרת כלי ביקורת תוכנה המאפשרים למפתחים לראות עד כמה בודקים את הקוד שלהם עצמם, תהליך שיכול לתת לכלי הבדיקה גישה להרשאות המאוחסנות עבור חשבונות תוכנה פנימיים שונים. התוקפים השתמשו באוטומציה כדי להעתיק במהירות את האישורים הללו ולפשוט על משאבים נוספים, אמרו החוקרים, והרחיבו את הפריצה מעבר לגילוי הראשוני של קודקוב ביום חמישי.
ההאקרים השקיעו מאמצים רבים בשימוש בקודקוב בכדי להיכנס ליצרנים אחרים של תוכנות לפיתוח תוכנה, כמו גם חברות שבעצמן מספקות ללקוחות רבים שירותי טכנולוגיה, כולל IBM, כך אמר אחד החוקרים בתנאי אנונימיות.
האדם אמר כי שתי השיטות יאפשרו להאקרים להשיג פוטנציאל תעודות לאלפי מערכות מוגבלות אחרות. יבמ וחברות אחרות אמרו כי הקוד שלהן לא השתנה, אך לא התייחסו לאישור הגישה למערכות שלהן. "אנו חוקרים את אירוע קודקוב ועד כה לא מצאנו שינויים בקוד אצל לקוחות או ב- IBM", אמרה דוברת IBM.
משרד ה- FBI בסן פרנסיסקו חוקר את הפרשה ועשרות קורבנות ככל הנראה קיבלו הודעה ביום שני. חברות אבטחה פרטיות כבר החלו להגיב לסייע ללקוחות מרובים. קודקוב לא הגיבה לבקשת רויטרס לתגובה ביום שני. מומחי אבטחה המעורבים במקרה אמרו כי היקף התקיפה והכישורים הנדרשים דומים בהשוואה למתקפת SolarWinds בשנה שעברה. לא ברור מי עומד מאחורי הפריצה האחרונה או אם מדובר בגורם ממשלתי, כפי שהיה במקרה של SolarWinds.
אחרים מבין 19,000 הלקוחות של קודקוב, כולל ספקית שירותי הטכנולוגיה הגדולה Hewlett Packard Enterprise, אמרו כי הם עדיין מנסים לקבוע אם הם או לקוחותיהם נפגעו. "ל- HPE צוות ייעודי של אנשי מקצוע החוקר את העניין הזה, ועל הלקוחות להיות סמוכים ובטוחים שנעדכן אותם על כל ההשפעות ברגע שנדע יותר", אמר דובר HPE, אדם באואר.
אפילו משתמשי קודקוב שלא ראו שום עדות לפריצה לקחו את הפריצה ברצינות, אמר גורם אבטחת סייבר ארגוני לסוכנות הידיעות רויטרס. לדבריו, החברה שלו עסוקה באיפוס תעודותיה וכי עמיתיו במקומות אחרים עושים אותו הדבר, כפי שהמליצה קודקוב.
קודקוב אמרה מוקדם יותר כי האקרים החלו להתעסק בתוכנה שלה ב -31 בינואר. היא זיהתה זאת רק בתחילת החודש (אפריל) כאשר לקוח העלה חשש. באתר קודקוב נכתב כי בין לקוחותיה נכללים קונגלומרט מוצרי הצריכה פרוקטר אנד גמבל, חברת אחסון אתרים GoDaddy Inc, וושינגטון פוסט וחברת התוכנה האוסטרלית Atlassian Corporation PLC. אטלסיאן אמר כי טרם ראתה השפעה ולא סימנים לפריצה.
זרוע אבטחת הסייבר של המשרד לביטחון פנים וה- FBI סירבו להגיב.
פריצה לחברת Codecov המפתחת כלים לבדיקות תוכנה אפשרה לתוקפים להגיע ללקוחות החברה. הפריצה החלה בינואר וזוהתה רק החודש, כך לפי פרסום של רויטרס
bigstock
כאילו לא הספיקו הפריצות לסולרווינד ולשרתי הדוא״ל של מיקרוסופט, מגיע מגה אירוע שלישי - הפעם חברת Codecov נפלה קורבן. חוקרים אמרו לסוכנות הידיעות רויטרס כי האקרים שהתעסקו בכלי פיתוח תוכנה של חברה בשם Codecov השתמשו בתוכנית זו כדי להשיג גישה מוגבלת למאות רשתות השייכות ללקוחות החברה.
קודקוב מייצרת כלי ביקורת תוכנה המאפשרים למפתחים לראות עד כמה בודקים את הקוד שלהם עצמם, תהליך שיכול לתת לכלי הבדיקה גישה להרשאות המאוחסנות עבור חשבונות תוכנה פנימיים שונים. התוקפים השתמשו באוטומציה כדי להעתיק במהירות את האישורים הללו ולפשוט על משאבים נוספים, אמרו החוקרים, והרחיבו את הפריצה מעבר לגילוי הראשוני של קודקוב ביום חמישי.
ההאקרים השקיעו מאמצים רבים בשימוש בקודקוב בכדי להיכנס ליצרנים אחרים של תוכנות לפיתוח תוכנה, כמו גם חברות שבעצמן מספקות ללקוחות רבים שירותי טכנולוגיה, כולל IBM, כך אמר אחד החוקרים בתנאי אנונימיות.
האדם אמר כי שתי השיטות יאפשרו להאקרים להשיג פוטנציאל תעודות לאלפי מערכות מוגבלות אחרות. יבמ וחברות אחרות אמרו כי הקוד שלהן לא השתנה, אך לא התייחסו לאישור הגישה למערכות שלהן. "אנו חוקרים את אירוע קודקוב ועד כה לא מצאנו שינויים בקוד אצל לקוחות או ב- IBM", אמרה דוברת IBM.
משרד ה- FBI בסן פרנסיסקו חוקר את הפרשה ועשרות קורבנות ככל הנראה קיבלו הודעה ביום שני. חברות אבטחה פרטיות כבר החלו להגיב לסייע ללקוחות מרובים. קודקוב לא הגיבה לבקשת רויטרס לתגובה ביום שני. מומחי אבטחה המעורבים במקרה אמרו כי היקף התקיפה והכישורים הנדרשים דומים בהשוואה למתקפת SolarWinds בשנה שעברה. לא ברור מי עומד מאחורי הפריצה האחרונה או אם מדובר בגורם ממשלתי, כפי שהיה במקרה של SolarWinds.
אחרים מבין 19,000 הלקוחות של קודקוב, כולל ספקית שירותי הטכנולוגיה הגדולה Hewlett Packard Enterprise, אמרו כי הם עדיין מנסים לקבוע אם הם או לקוחותיהם נפגעו. "ל- HPE צוות ייעודי של אנשי מקצוע החוקר את העניין הזה, ועל הלקוחות להיות סמוכים ובטוחים שנעדכן אותם על כל ההשפעות ברגע שנדע יותר", אמר דובר HPE, אדם באואר.
אפילו משתמשי קודקוב שלא ראו שום עדות לפריצה לקחו את הפריצה ברצינות, אמר גורם אבטחת סייבר ארגוני לסוכנות הידיעות רויטרס. לדבריו, החברה שלו עסוקה באיפוס תעודותיה וכי עמיתיו במקומות אחרים עושים אותו הדבר, כפי שהמליצה קודקוב.
קודקוב אמרה מוקדם יותר כי האקרים החלו להתעסק בתוכנה שלה ב -31 בינואר. היא זיהתה זאת רק בתחילת החודש (אפריל) כאשר לקוח העלה חשש. באתר קודקוב נכתב כי בין לקוחותיה נכללים קונגלומרט מוצרי הצריכה פרוקטר אנד גמבל, חברת אחסון אתרים GoDaddy Inc, וושינגטון פוסט וחברת התוכנה האוסטרלית Atlassian Corporation PLC. אטלסיאן אמר כי טרם ראתה השפעה ולא סימנים לפריצה.
זרוע אבטחת הסייבר של המשרד לביטחון פנים וה- FBI סירבו להגיב.
