שורה ארוכה של חברות וארגונים בישראל חשופים למתקפת Hafnium הסינית, שפרצה את שרתי מיקרוסופט בעולם. לפני נתונים של חברת אבטחת המידע קונפידס, לא פחות מ-173 ארגונים נותרו חשופים וזמינים לחדירה של קבוצת התקיפה הסינית לשרתי הדואר שלהם ומהם למערכת המחשבים כולה. לפי הערכות ממקורות מוסמכים, מדובר במאות ארגונים בישראל. לא ידוע כמה ארגונים נפרצו בפועל בישראל, אבל מומחים מעריכים כי מדובר בארגונים רבים. בחברת מיקרוסופט ישראל נמנעו מלהתייחס לממדי האירוע בישראל.
בין הארגונים שאותרו כחשופים, נכון להיום אחר הצהריים: הרשות לעסקים קטנים ובינוניים במשרד הכלכלה, הרשות לפיתוח ירושלים, הטכניון, המכללה האקדמית תל אביב יפו, עיריית נשר, האגודה למלחמה בסרטן, ההתאחדות לכדורגל, הסתדרות המורים, רשת מלונות פתאל, מועדון הכדורגל הפועל תל אביב, הספארי, ועוד רבים. בסך הכל פועלים בישראל 19,933 שרתי Exchange.
מנכ"ל קונפידס, רם לוי, מעריך כי ארגונים רבים בישראל כבר נפרצו בפועל, חלקם נמנעים מלדווח על כך וחלקם כלל אינם יודעים כי התוקפים חדרו למערכות המחשב שלהם. הוא אמר כי החברות שמפעילות שרתי Exchange צריכות לעדכן באופן מיידי את השרתים שלהם באמצעות העדכונים שהפיצה מיקרוסופט, אך לא להסתפק בכך וגם לבדוק אחורה, החל מחודש ינואר השנה, פעילות חשודה ותקשורת שנוצרה בין השרת לבין כתובות של שרתים בסין.
מערך הסייבר הלאומי מבצע בימים האחרונים פניות יזומות לארגונים שטרם הטמיעו את עדכון האבטחה ומתריע בפניהם על החשיפה ועל הפוטנציאל של תוקפים לבצע באמצעותה דלף מידע ולחדור לארגון. דוברת מערך הסייבר מסרה: "שיעור ההיענות אינו משביע רצון בשלב זה, ובהיעדר סמכות חוקית, יכול המערך רק לקוות שארגונים אלו יסגרו את הפירצה מהר לפני שיימצאו עצמם נתקפים. המערך קורא לארגונים להתקין את עדכון האבטחה בדחיפות - חולשה זו ממומשת כבר בפועל על ידי מגוון תוקפים בעולם".
מיקרוסופט העולמית פרסמה בשבוע שעבר דיווח, לפיו ארבע חולשות בשרתי הדואר שלה אפשרו לתוקפים לחדור לחשבונות דוא"ל בארגונים ברחבי העולם ואף לשתול נוזקות במחשבים שנפרצו. התוקפים זוהו בוודאות גבוהה כקבוצת Hafnium, קבוצת תקיפה עם יכולות מדינתיות שפועלת בחסות ובהנחיית הממשל הסיני. על פי ההערכות הראשונות עד כה נפרצו כ-30 אלף שרתי דוא"ל בארצות הברית ומספר הנפגעים בעולם כולו נאמד במאות אלפים.
רק בימים האחרונים זיהתה מיקרוסופט את המתקפה, שהחלה ב-6 בינואר וממשיכה עד לרגע זה מול חברות שלא התקינו את עדכוני התוכנה. בדיווח של מיקרוסופט נמסר כי הפורצים יכולים לגנוב מידע מהמחשבים אליהם חדרו, בהם חברות ביטחוניות, מעבדות מחקר, ארגונים פוליטיים ועוד. עם זה טענו במיקרוסופט שמספר המקרים בהם הצליחו התוקפים לפרוץ לשרתים היה "מוגבל".
מערך הסייבר הלאומי פרסם התרעה בשבוע שעבר וקרא לארגונים להטמיע בדחיפות את עדכון האבטחה. בהודעה נאמר: "מערך הסייבר הלאומי מתריע מפני מספר פגיעויות חמורות שהתגלו בשרת הדוא"ל Exchange מבית מיקרוסופט, הנפוץ מאוד בארגונים. חברת מיקרוסופט פרסמה אתמול עדכוני אבטחה חריגים, מחוץ למחזור העדכונים הקבוע, לטיפול בפגיעויות אלו, המנוצלות כבר בפועל (Zero Day) על ידי קבוצת תקיפה מדינתית, ובפגיעויות נוספות. הפגיעויות מוגדרות על ידי מיקרוסופט חמורות וניתנות למימוש בקלות על ידי תוקפים. ניצול פגיעויות אלו לתקיפה עלול לגרום להרצת קוד מרחוק על השרת, דלף מידע, התקנת Webshell, וכן תנועה רוחבית לרשת הארגונית".
