מתקפת הסייבר הרוסית פגעה אנושות במערכות מידע וביון של ארה"ב, אבל הדי הנפץ נשמעים היטב גם בישראל. מומחי הגנת סייבר משוכנעים שתוכנות הביון הרוסיות כבר מקננות בשרתים של ארגונים ישראלים רבים, חלקם אולי ארגוני ביטחון, וכי לא ירחק היום שבו כלי מלחמת הסייבר שנגנבו מחברת פייראיי (FireEye) האמריקאית ישמשו לפריצה לחברות ישראליות. עולם קטן.
שרשרת אירועי הסייבר בארה"ב הם לא פחות מסרט הוליוודי עוצר נשימה. מי שהיה עסוק במלחמת הסייבר שמתנהלת מול ישראל, כדאי שיידע שמדובר רק בקדימון קצר, מתאבן, לעומת סרט האקשן המלא שבו מככבות רוסיה, ארה"ב וכמה מגופי הסייבר העוצמתיים ביותר בתבל.
הכתבות האחרונות על מתקפת הסייבר הרוסית:
ב-8 בדצמבר, לפני קצת פחות משבועיים, הודיעה חברת FireEye שגילתה שהאקרים פרצו למערכת שלה וגנבו את קוד המקור של התוכנות שלה. מכיוון שמדובר באחת מחברות אבטחת המידע הגדולות בארצות הברית, הידיעה היתה מרעישה: הפורצים גנבו את כלי ה-Red Team, "ארסנל" של כלי פריצת סייבר וכלי מודיעין סייבר, שמאפשרים למפעיליהם לחדור לארגונים בדרכים שלא נודעו ולא ייאמנו. עולם הסייבר סער ורגש. מי היה מאמין שזה רק הסצינה הראשונה בסרט המתח.
(צילום: משי בן עמי)
גל בן דוד, ממייסדי חברת מודיעין הסייבר IntSights, מעריך כמו רבים, שהפורצים שייכים לארגון ריגול: "זו ספקולציה שלי, לא מאומתת, אבל אם אני רוסיה ואני תוקף ארגוני ממשל אמריקאיים אני מסתבך. אבל אם אני תוקף חברה פרטית, הסבירות שזה יחדור לממשל נמוכה יותר. אני משוכנע שמדובר פה בארגון ביון, לא בקבוצת פשע. בשביל לעשות את מה שעשו פה צריך ארגון עם הרבה כוח אדם".
למה הם בחרו ב-FireEye?
"היא עניינה אותם כי היא כמו מחסן נשק. הם יכולים לגנוב דברים שיעזרו להם אחר כך בעשייה שלהם, כלים שעוזרים לפרוץ, למצוא חולשות וכדומה. אבל הטעות הכי גדולה שהם עשו היתה לפרוץ לפייראיי. זו חברה שחוקרת בעצמה, וזה עלה להם בחשיפה".
ואכן, ב-13 בדצמבר, יום ראשון שעבר, הודיעה פייראיי כי איתרה את וקטור החדירה לשרתים שלה: מוצר תוכנה נפוץ בשם אוריון של חברת סולארווינדס (Solarwinds). בעדכון תוכנה תמים שהופץ על ידי החברה הושתלה "דלת אחורית" – קוד זדוני שמאפשר למפעיל מרחוק לחדור לכל מחשב שבו הוא מותקן. משמעות הגילוי התבררה עד מהירה: כל חברה מבין 33 אלף הלקוחות של סולארווינדס בעולם עלולה לארח כרגע במחשביה דלת אחורית של ארגון ביון סייבר בעל כוונות זדון בעליל.
"סולארווינדס היא חברה מאוד ליבתית", אומר בן דוד, "המוצר שלה לניטור הרשת נחשב מאוד טוב ולכן נמצא אצל החברות הכי גדולות כמו מיקרוסופט ומשרדי הממשל האמריקאי. יש לו גישה רשתית מאוד עמוקה, לכל הרשת של הארגון כי החברות מחברות אותו למאגרי המידע הכי רגישים. אני חושב שזה רק קצה הקרחון ולדעתי הצליחו לגנוב הרבה מידע". למעשה, החשיפה של הפריצה לפייראיי, היא שהובילה לחשיפת רשת ריגול סייבר ענקית שהיתה יכולה להמשיך ולפעול עוד חודשים ארוכים.
סולארווינדס פרסמה רשימה של 18 אלף החברות שהורידו בפועל את עדכון התוכנה, ובכך הפעילו חיבור סמוי לשרת מרוחק, שפעל במשך שלושה חודשים לפחות. בין החברות שנפגעו אפשר היה לגלות חברות ענק כמו מיקרוסופט, IBM, אנבידיה, וגם זרועות של הממשל האמריקאי כמו משרד החוץ, משרד האוצר, משרד המסחר ואפילו המשרד להגנת המולדת. בסוף השבוע האחרון גילתה מיקרוסופט, מי ששלחה מומחים מטעמה לסייע לפייראיי, שגם הרשת הפנימית שלה נפרצה, ובאמצעות המוצרים שלה הושתלה הנוזקה בלפחות 40 חברות נוספות, בהן גם ישראליות. למעשה, ייתכן שכל מי שמפעיל תוכנה של מיקרוסופט חשוף כרגע לריגול.
הסוכנות לאבטחת סייבר ותשתיות (CISA) הורתה על הפסקת שימוש מיידית באוריון וכל זרועות הממשל נשלחו לערוך בדיקה מקיפה של המערכות שלהן. איש לא היה יכול להגיד בוודאות מי עומד מאחורי המתקפה האדירה הזו ומה המידע שחיפש. איש לא יודע להגיד היום לאלו רשתות אמריקאיות יש לרוסים גישה נסתרת. מומחים העריכו כי הפריצה החלה באביב וכי היא ממשיכה עד לרגע זה. היו שכינו אותה התקיפה הגדולה ביותר של הממשל הפדרלי, אפילו פרל הארבור של מערכות המידע. כולם זוכרים איך הגיבה ארה"ב למתקפה היפנית ב-1941. האם זה מה שצפוי לרוסים כעת? "היריבים שלנו צריכים לדעת שכנשיא אני לא אשב בחיבוק ידיים מול מתקפות סייבר נגד האומה שלנו", אמר הנשיא הנבחר ג'ו ביידן.
ריקושטים בישראל
עד כמה משפיעים האירועים בארה"ב על מה שקורה אצלנו? עמרי שגב מויאל, מנכ"ל חברת ניהול משברי הסייבר Profero, טוען כי המודעות למה שקורה בארה"ב לא מספיקה: "בעוד אנחנו מתעסקים כאן בביצה הקטנה שלנו במזרח התיכון, קורה פה משהו גדול שפוגע גם בחברות בארץ ונראה שמתעלמים מזה. אולי יש עייפות החומר אצל המומחים והחברות ואולי כי זה קורה רחוק מכאן, אבל זה לא פשוט, מנה שקרה שם".
איך זה משפיע על חברות ישראליות?
"ברשימת החברות שנפרצו יש גופים וחברות ישראליות והרשימות האלה נכונות לפי מה שאני יודע. זה אומר שהתוכן הזדוני של המוצר ישב אצלם. האם נעשה בו שימוש או שהצליחו להתגבר? לא יכולים לדעת. אבל מי שאומר שלא היה כלום - או שלא בדק מספיק, או שמיהר להגיב. גם סיסקו אמרו שלא היה כלום ורק אחרי זה ראו שכן הייתה פגיעה במספר מחשבים".
יש חשש שנראה כלי תקיפת סייבר שנגנבו שם, מופנים נגד ישראל?
"כן. מי שמופיע ברשימות של סולארווינדס ולא טיפל כמו שצריך, אז ככל הנראה יקרה לו בסוף משהו. אם החברות לא ייקחו את המידע וכלי ההגנה שפייראיי הפיצה ויפרשו אותם, אז כנראה שגם נראה יותר ויותר התקפות".
זוהר פנחסי, מנכ"ל חברת הגנת הסייבר MonsterCloud, נשמע נחרץ עוד יותר. לדבריו התוקפים הכניסו סוס טרויאני למיקרוסופט, ולמעשה בכך פרצו לרוב השרתים בעולם והדבר משליך ישירות על ישראל: "כל המערכות הכי רגישות בישראל, אפשר להניח שגם אלה של הצבא ושל גופים ביטחוניים אחרים, נפרצו והושפעו בצורה קיצונית. בגלל הצנזורה בישראל והיקף הפריצה, ישראל לא תחשוף אילו מערכות נפרצו וזה לא יגיע לחדשות. אבל אפשר להניח שנפרצו מקומות רגישים מאוד בישראל".
פנחסי מתריע: "אתה יכול לגנוב מידע סודי ורגיש ולעשות שינויים במערך ההגנה של מדינת ישראל. אם מיקרוסופט וסיסקו נחשפו לפריצה, זה אומר שזה השפיע כמעט על כולם. למעשה, למדינה התוקפת יש עכשיו פוטנציאל להשתלט או לשבת כמעט כל מערכת תשתית וביטחון בישראל. הם יכולים להשתלט על מערכות החשמל המים והתחבורה של ישראל, לשבש את מגדלי הפיקוח וענף התעופה הישראלי. אני לא פוסל שגם מתקנים בישראל שעוסקים במחקר גרעיני נפרצו". לדבריו, היקף המתקפה על ישראל עלול להיות גדול יותר מהמתקפה בנמל האיראני לפני מספר חודשים.
לעומתו אומר בן דוד: "לסולארווינדס יש הרבה לקוחות בישראל, רובם כנראה נפגעו. אבל הסבירות שהיינו על הכוונת היא לדעתי אפסית. הרוסים והסינים מסתכלים קודם כל על האמריקאים. לא הייתי אומר שישראל צריכה לחשוש, למעט זה שאנחנו צריכים לנקות את כל נוזקות הדלת האחורית מכל הרשתות. ויש עוד משהו שעצוב אבל חשוב לומר: בדרך כלל קשה לנקות דברים כאלה והרבה דברים מתפספסים. זה אומר שעלולים להיות לנו ריקושטים לאורך הרבה זמן".
שגב מויאל מדגיש את חוסר הסימטריה בין עוצמת התקיפה המדינתית, שנעשית בכלי תקיפה מתוחכמים וחזקים, לבין בחירת המטרות במגזר העסקי, שאינן ערוכות להתגונן כנגד כוחות כאלה: "אנחנו רואים פה א-סימטריות מטורפת, חברות פרטיות שנתקפות על ידי מדינות. אם יוצאים למלחמה, זה בין מדינה למדינה, אבל פה זה בין מדינה לחברות פרטיות. זה כמו שהמוסד יחליט לפרוץ לחברת בטון בעזה. אז יש מדינה שתוקפת חברה פרטית והמדינה הנתקפת עומדת, וכמו במקרה של שירביט אפילו מערימה קשיים על החברה. אז נכון שאסור למדינה להגיב, אבל מי באיראן יכול להתמודד מול 8200 כמו שמי בישראל יכול להתמודד מול משמרות המהפכה? יש טשטוש בין מה מדינתי ומה עסקי, וכולם מתחבאים מאחורי חומת הכחשה".
שיקום ארוך
האם כל מי שהוריד את העדכון של אוריון נפגע? חוקרים שעקבו אחר התקשורת שיצאה מהדלת האחורית זיהו כמה מאות לקוחות, שאצלם נעשה שימוש בנוזקה, בהם גם ארגונים וחברות ישראליות. בן דוד אומר שהשאלה היא אם מדובר בדלת אחורית טיפשה שיש להפעילה מרחוק, או משהו מתוחכם יותר שמאתר ומשגר את המידע בעצמו. ייתכן והתשובה נמצאת בידי חוקרי חברת סנטינל וואן, שמצאו 2,000 קורבנות שאצלם נוזקת הדלת האחורית הפעילה כלי תקיפה וביצעה פעולות ברשת של הקורבן. בין החברות האלה גם חברת אבטחת מידע גדולה בישראל וכן מספר מוסדות אקדמיים.
אסף אמיר, ראש מחלקת המחקר של סנטינל וואן, אומר: "אין ספק שהסיפור הזה רק בתחילתו ושמדובר במתקפה הגדולה ביותר שהעולם ידע מזה זמן רב". לדבריו קבוצת המחקר של החברה עוקבת אחר האירוע מראשיתו והחוקרים ניתחו את הדלת האחורית ומצאו כלי תקיפה מתוחכם, שעורך בדיקות התגוננות לפני שהוא מתחיל בהתקשרות עם השרת המרוחק, והוא מנסה לכבות תוכנות אבטחה מסויימות או משתתק בנוכחות תוכנות אחרות. לדבריו תוכנת סנטינל וואן גרמה לו להיכבות ולא לבצע תקיפה אקטיבית.
מה צריכים לעשות בישראל עכשיו כדי להתמגן?
פנחסי: "אם הייתי אחראי על מערך הסייבר ואבטחת הסייבר בממשלת בישראל, הייתי בלחץ גדול. הפורצים כל כך מקצוענים שגם אם נניח שהצליחו למצוא בישראל את כל ה'פצצות' והסוסים הטרויאנים שהפורצים שתלו, הבעיה היא במה שלא נמצא. אם אין לך קצה חוט אתה לא יודע מה ההיקף של הפריצה, אנחנו נגלה את זה רק בעוד זמן רב שהמערכות של ישראל פרוצות ויש לפורצים גישה למערכות אלה בלי שידענו מזה. לכן, האתגר הישראלי גדול הרבה יותר מאשר רק לבדוק 'איך להתמגן מחדש'. צריך לעשות הערכה על מי ישראל סומכת".
אילן שעיה, חבר דירקטוריון ב-Cybonet Security, אומר: "המקרים האחרונים מוכיחים שאין דבר כזה הגנה מלאה. מין הראוי יהיה לאמץ שיטת הגנה שנפוצה בשדה הקרב - הימנעות משגרה. כאשר מערכות ההגנה הן סטטיות ונבדקות אחת לתקופה בצורה קבועה, קל לתוקפים לאתר את הרוטינה ולבצע את ההתקפה בזמני הביניים, גם הסלחנות שבדרך כלל מאפיינת ארגונים בשירותים הניתנים לעובדי החברה ותוך רצון 'לא להעיק' עליהם צריכה לחלוף מהעולם, אין אבטחת מידע 'נוחה'. אבטחת מידע באה להטיל מגבלות והתפקיד של הטכנולוגיה לסייע להפחית למינימום את ההפרעה אבל בלי לפגוע ברמת האבטחה".
בן דוד אומר שכולם צריכים להגיב במהירות, לעקוב אחר כל האירועים שחלפו במחשבים שלהם ולדווח ללקוחות אם נגנב משהו. "להערכתי, ארגונים ספציפיים היו על הכוונת. ולא סתם הם פרצו לסולארווינדס. הם הבינו שזה ייתן להם מרחב תמרון מאוד גדול להגיע להרבה חברות שעשויות לעניין אותם". הוא מאמין שלא כל החברות נמצאות תחת מתקפה פעילה, ולו רק בגלל מגבלות יכולות אנוש: "לאף ארגון ביון בעולם, אולי רק לסינים, אין יכולת למצות כל כך הרבה תקיפות במקביל. אתה צריך להתמקד, אתה צריך צי"ח (ציון ידיעות חיוניות), שאלה שאתה מחפש לה תשובה. ואתה גם לא רוצה לעשות הרבה רעש כארגון ביון, כדי לא להיחשף ולאבד את האחיזה הרשתית שלך".
איך מאתרים אם פרצו לך למחשבים?
בן דוד : "הייתי מתחיל בלהעיף את המוצר של סולארווינדס, אבל גם אחרי זה נשארת עבודה מאוד קשה. צריך להיות ברור לך שהרשתות שלך 'טופלו', בוודאות. ואם אכן נמצא שכך, אז אתה על הכוונת שלהם".
האם אפשר לסמוך על עדכוני התוכנה של החברות?
"הפאצ'ים מנקים את הסימפטומים אבל אם היה שינוי גנטי ברשת, זה לא מספיק. רוב הסיכוי שהדלת האחורית לא הפיצה נשק חכם בצורה אוטומטית, אלא השתמשה בנשק שלא אכפת לה אם יתגלה. אבל כנראה שיש להם נוזקות דלת אחורית יותר מתוחכמות, שמסתתרות יותר טוב ויש להם יכולת הפקה יותר טובה".
