כשהענן כשל: מתקפת הסייבר על CDK Global חושפת את הפגיעות של תשתיות SaaS

שתי מתקפות סייבר עוקבות על תאגיד הטכנולוגיה CDK Global חשפו את הפגיעות הקריטיות של תשתיות ענן SaaS, גרמו לשיבושים נרחבים בשוק הרכב והובילו להפסדים במיליארדים

CDK Global הוא תאגיד רב-לאומי אמריקאי שבסיסו בהופמן אסטייטס, אילינוי. החברה נוסדה בשנת 2014 כספין-אוף מ-ADP Dealer Services ומספקת טכנולוגיות מידע משולבות ופתרונות שיווק דיגיטליים בעיקר לתעשיית הרכב.

המוצר העיקרי של החברה הוא פלטפורמת SaaS המטפלת בכל ההיבטים התפעוליים של סוכנויות רכב, לרבות ניהול מכירות, ניהול מלאי, ניהול קשרי לקוחות (CRM), ניהול שירות ותיקונים, פיננסים וביטוח (F&I), שיווק דיגיטלי, ניתוח נתונים ותפעול Backoffice (כולל הנהלת חשבונות, שכר ומשאבי אנוש).

סוכנויות רכב משתמשות בשירותים של CDK Global באמצעות חיבור VPN פתוח תמיד למרכזי הנתונים של הספק, מה שמאפשר ליישומים המקומיים שלהן להתממשק עם הפלטפורמה. בסיס ההתקנות שלהם כולל כ-15,000 סוכנויות רכב ברחבי המדינה, אשר אחראיות ליותר ממחצית ממכירות הרכב בארה"ב.

בחודש שעבר, CDK Global סבלה משתי מתקפות סייבר עוקבות. מתקפת הסייבר הראשונה התרחשה ב-19 ביוני 2024, כאשר קבוצת הפריצה BlackSuit חדרה למערכות של CDK Global. BlackSuit, הידועה בטקטיקת ה"סחיטה הכפולה" שלה, לא רק הצפינה נתונים אלא גם איימה להדליף מידע רגיש אלא אם ישולם כופר.

עם זיהוי הפרצה, CDK Global סגרה את מערכות ה-IT שלה, כולל כניסות ופעולות במרכז הנתונים, כדי להכיל את המתקפה. עם זאת, בעודם מתאוששים מהפריצה הראשונית, התקפה שנייה התרחשה ב-20 ביוני 2024, מה שגרם לכיבוי נוסף של המערכות שלהם. לפי הדיווח, דרישת הכופר עמדה על עשרות מיליוני דולרים.

BlackSuit השתמשה בשילוב של שיטות לביצוע המתקפה, לרבות פישינג, ניצול פגיעויות בתוכנות לא מתוקנות ויישומים הפונים לאינטרנט כדי לקבל גישה לא מורשית, ניצול לרעה של Remote Desktop Protocol כדי לגשת ולבקר מרחוק במערכות ומינוף אישורים שנגנבו או הודלפו אל הרשת האפלה כדי להקל על ההתקפה. לאחר שנכנסה, BlackSuit פרסה תוכנת כופר כדי להצפין נתונים והשתמשה בטקטיקות סחיטה כפולה, וגרמה לשיבושים משמעותיים.

אף אחד מהאמור לעיל אינו ייחודי להתקפה זו. קבוצות תוכנות כופר פועלות באופן זה שנים. אבל, בשל האופי הריכוזי של תשתית ה-CDK SaaS (המסתמכת על מרכזי הנתונים שלה וקישוריות ישירה למשתמשי קצה) ונתח השוק הבולט שלה, למתקפה יחידה זו תהיה השפעה עמוקה על חברת התוכנה, על הלקוחות שלה ועל שוק הרכב האמריקאי כולו.

CDK בוודאי תסבול מפגיעה במוניטין, מהפסדים כספיים (תשלום הכופר לבדו מוערך ב-10 מיליון דולר), עלויות הטיפול במתקפה ועלויות משפטיות נלוות. כבר הוגשו מספר תביעות משפטיות, רובן על ידי עובדי CDK או סוכנויות הרכב, אשר חוששים מגניבה וניצול לרעה של המידע האישי שלהם.

למתקפות הסייבר הייתה השפעה עמוקה על סוכנויות המשתמשות בתוכנה של CDK Global. הסוכנויות איבדו מיידית גישה לכלים קריטיים הדרושים לפעילות היומיומית. הן נאלצו לחזור לעיבוד ידני, שבתורו האט את העסק בצורה משמעותית וגרם לשיבושים במכירות (ההתקפה התרחשה במהלך תקופת מכירות עמוסה, וגרמה לעיכובים וביטולים של רכישות רכבים). הייתה לכך השפעה על מחלקת השירות, שיבשה את השירותים השגרתיים כמו החלפת שמן ועבודות אחריות, דחתה את תשלומי השכר והביאה להפסדים כספיים עקב ירידה במכירות של עד 50% במהלך המתקפה.

קשה להעריך את הנזק הכולל, אבל הוא משמעותי. לפי Anderson Economic Group, LLC הנזקים הישירים לסוכנות המושפעת יהיו בסביבות מיליארד דולר. זה לא כולל קטגוריות אחרות של הפסדים עקיפים.

בסך הכל, השיבוש שנגרם מהתקיפות צפוי לגרום לכ-100,000 פחות מכוניות שנמכרו ביוני, כלומר ירידה של יותר מ-7% בהשוואה לתקופה המקבילה ב-2023.

הנזק שנגרם על ידי מתקפה בודדת, ששאיפת המבצעים הייתה לגרוף מקסימום כ-10 מיליון דולר רווח מתשלום כופר, עשוי להסתכם במיליארדים ולהשפיע על כלכלת המדינה (ובהתחשב בכך שחלק מהמכוניות שנמכרו וטופלו בסוכנויות אלו מיוצרות ביפן ובמקומות אחרים - הדבר עלול לפגוע גם בכלכלות שלהן).

התקפות הסייבר על CDK Global מדגישות את הפגיעויות והסיכונים הקשורים בהסתמכות על תשתית דיגיטלית לפעילות עסקית מודרנית. זה קרה עכשיו בתעשיית הרכב, אבל ראינו תקריות דומות במגזרים אחרים כמו בריאות, חינוך ומזון. תעשיות אחרות צריכות ללמוד מתקרית זו ולנקוט פעולה כדי להפחית את הסיכונים הנלווים - לדוגמה, מעבר לשימוש בתשתיות ענן של ספקי הענן הגדולים, פריסה של מנגנון הזדהות חזק ומערכות זיהוי והכלה של מתקפות סייבר בענן.

img
פרשנות | כוח צבאי משמעותי של נאט״ו יכול להקטין הסתברות למלחמה גרעינית באירופה
דעה | אופציה צבאית ישראלית תוכל לרסן את איראן 
קבוצת SQLink רוכשת את ZIGIT הישראלית
קבוצת SQLink רוכשת את ZIGIT הישראלית