על פי דוח של מיקרוסופט בשנה האחרונה התרחשו מידי יום למעלה מ-600 מיליון נסיונות תקיפה על מערכות של לקוחוץ. אבל המתקפה המדוברת מדאיגה במיוחד לא בהכרח בגלל שיטת הפעולה או תחכום יוצא דופן, אלא בעיקר בשל היעדים: סוכנויות ממשלתיות בארצות הברית, כולל גוף שמופקד על הארסנל הגרעיני של המדינה. התקיפה, שמיוחסת לקבוצת האקרים הפועלת בחסות סין, התבצעה דרך פרצת אבטחה במערכת שיתוף קבצים SharePoint, והגיעה עד ללב מערכת הביטחון האמריקאית.

לפי הדיווחים, ההאקרים ניצלו נקודות תורפה בגרסה מקומית של SharePoint Server פלטפורמה של מייקרוסופט שמשמשת לשיתוף מסמכים ולשיתופי פעולה פנים-ארגוניים. שרתים שלא עודכנו בזמן פתחו לתוקפים דלת אחורית למערכות המידע של הסוכנויות. רק אחרי שהפריצה כבר התבצעה, שוחרר עדכון אבטחה ממיקרוסופט שנועד לחסום את הגישה.

בין הנפגעים: המשרד לביטחון המולדת (DHS), המכון הלאומי לבריאות (NIH) והמינהל הלאומי לביטחון גרעיני (NNSA). האחרון הוא הגוף שאמון על ניהול ותחזוק הארסנל הגרעיני של ארצות הברית - מיחידת המחשוב של הפצצות ועד לרשתות התקשורת המבצעיות. משרד האנרגיה, שמפקח על פעילות ה-NNSA, טען כי הפגיעה הייתה "מינימלית", גם ב-DHS טוענים כי לא אותרו סימנים שההאקרים הצליחו לייצא נתונים. אבל החדירה עצמה, גם בלי זליגה של מסמכים, מאפשרת לתוקפים למפות את הרשתות הפנימיות של הסוכניות, להבין את מבני ההרשאות, ואולי גם להשאיר דלת פתוחה לתקיפה הבאה.

האצבע המאשימה מופנית לסין

החשד הופנה כלפי סין. מיקרוסופט דיווחה כי קבוצת האקרים הקשורה לממשל הסיני היא זו שניצלה את הפרצה. מיקרוסופט שחררה עדכון אבטחה (patch) שנועד לתקן את החולשה שהתוקפים ניצלו. אלא שמתברר שככל הנראה העדכון הזה עצמו, עשוי היה לספק רמזים לתוקפים על קיומה של הפרצה ועל הדרך לנצל אותה. כלומר, ייתכן שעצם פרסום העדכון חשף בפני התוקפים את הפתח למערכת. מיקרוסופט בודקת את האפשרות הזו במסגרת בדיקה פנימית. במילים אחרות, במקום שהתיקון ימנע את המתקפה, ייתכן שהוא זה שהכווין את התוקפים היכן בדיוק נמצאת החולשה. זה סיכון מוכר בעולם הסייבר, שבו פרסום פומבי של פרטי עדכון יכול "ללמד" גם את הגורמים הזדוניים איך לנצל את הבאג אם הארגונים לא ממהרים ליישם את העדכון בפועל.

• מיקרוסופט ו-OpenAI כבר לא? ה-AI של אנתרופיק יוטמע באופיס
• נביוס מזנקת 45% בעקבות הסכם עם מיקרוסופט בהיקף 17.4 מיליארד דולר
• המלצת המערכת: כל הכותרות 24/7

על פי דוח ההגנה הדיגיטלית של מייקרוסופט, בין יולי 2023 ליולי 2024 התרחשו מדי יום כ-600 מיליון ניסיונות תקיפה על מערכות לקוחות ברחבי העולם - נתון מדהים שמעיד על שינוי פרדיגמה. בעשור הקודם עסקו האקרים בעיקר בחדירות כלכליות או הפלות זמניות של אתרים. כיום, מדובר בניסיון שיטתי להחדיר סוסים טרויאניים לגופי תשתית - ממשל, בריאות, אנרגיה וביטחון.

בעוד שברוב המקרים החדירה נעצרת, מספיקים מקרים בודדים כמו זה האחרון כדי להראות לאן מכוונים מאמצי התקיפות כיום. הבחירה ב-SharePoint לא נובעת רק מחולשת המערכת עצמה אלא מעובדת היותה מוצר מדף נפוץ אצל אלפי ארגונים ברחבי העולם, כולל סוכנויות ממשל. זו בדיוק אחת הסיבות לכך שהעולם עובר בהדרגה למערכות מבוססות ענן שמציעות אמצעי הגנה יותר מעודכנים אבל עדיין המעבר הזה איטי, והתוקפים מנצלים את זה.

אי אפשר גם להתעלם מהעובדה שהמתקפה מגיעה בעיתוי של מתיחות גוברת בין סין לארה"ב - סביב בינה מלאכותית, ציוד שבבים, שליטה בנתיבי סחר וההשפעה האזורית במזרח אסיה. מתקפות סייבר הפכו לאחד הכלים היעילים בזירה הזו: הם שקטות, אפשר בקלות להכחיש אליהן קשר, והקורבן נשאר עם "הלשון בחוץ" מנסה להבין איך חדרו אל המערכות שלו, מה הצליחו לראות ומה דלף איתם החוצה שיכול לשמש כנשק נגד הארגון עצמו.

המתקפה נחשפת ימים בודדים לפני פרסום התוצאות הכפסיות של מיקרוסופט לרבעון הפיסקלי הרביעי (30 ביולי), כשהמשקיעים מחכים לראות את ההתפתחויות סביב תחומי הליבה של החברה ובראשם פעילות הענן (Azure) והמהלכים שעשתה בתחום הבינה המלאכותית. בשוק מעריכים כי סוגיות אבטחת המידע בפלטפורמות כמו SharePoint Server, ובפרט בגרסאות המקומיות (on-premise), לא צפויות להשפיע באופן מהותי על הביצועים הפיננסיים או על תחזיות החברה בטווח הקצר.

• סינופסיס צונחת ב-36% לאחר הפספוס בדוחות
• הילד היתום והעני שהפך לאיש העשיר בעולם - סיפור חייו של לארי אליסון
• תוכן שיווקי צברתם הון? מה נכון לעשות איתו?
• המניה הזאת מזנקת היום ב-2,900% - מה הסיבה?

עם זאת, סביר להניח שמיקרוסופט תידרש להתייחס לפריצה, בעיקר בגלל שמעורבים בה גופים ממשלתיים רגישים והיא זוכה לסיקור תקשורתי נרחב. ככל שמתקפות סייבר מצד מדינות הופכות לתופעה שגרתית, הנושא מתחיל לתפוס מקום גם בשיח על אחריות תאגידית וניהול סיכונים. ייתכן שמיקרוסופט תנצל את ההזדמנות כדי לחזק את המסר שהיא מקדמת כבר תקופה - המעבר לפתרונות ענן. מבחינתה, העובדה שהפרצה הייתה במערכות מקומיות ולא בשירותי הענן שלה דווקא מחזקת את הכיוון האסטרטגי שהיא מנסה להוביל מול הלקוחות והמשקיעים.