5 מתקפות הסייבר הגרועות ביותר
הפריצות שזעזעו את העולם
זו הייתה שנה מעניינת בתחום אבטחת הסייבר, ללא מחסור במתקפות כופר, שכוונו נגד כל דבר, החל מחברות משכנתאות וסופרמרקטים ועד שדות תעופה וספקי שירותי בריאות. גם פעילות APT נמצאת במגמת עלייה, שכן המתיחות העולמית נותרה בשיא משמעותי.
לא סביר שזה ישתנה בקרוב, שכן אפילו חברות הסייבר המתקדמות ביותר ישמחו להתמקד בתוצאות הצפויות אם זה יקדם את מטרותיהן. אז, כדי לתת לכם מושג טוב יותר למה לצפות בשנת 2026, אני מסתכל אחורה על כמה מאירועי הסייבר החמורים ביותר של 2024.
1. פשרה בשרשרת האספקה של XZ Utils
מתקפת הסייבר המדאיגה ביותר היא זו שלמרבה המזל נתפסה ברגעים האחרונים לפני שהספיקה לגרום נזק משמעותי. עם זאת, ההרס הפוטנציאלי שהמבצע הזה היה יכול לגרום הופך אותו לבחירה מספר 1 שלי.
מתקפת הדלת האחורית XZ Utils, המסווגת כ-CVE-2024-3094, נחשפה לראשונה בפומבי ב-29 במרץ 2024. זוהי דלת אחורית שהוכנסה לגירסאות 5.6.0 ו-5.6.1 של XZ Utils, שהיא קבוצה של כלי דחיסה ללא אובדן נתונים שניתן למצוא ברוב הפצות לינוקס.
גרסאות פגועות אלו של הכלים היו מאפשרות לתוקף גישה מרחוק כמעט לכל מכונת לינוקס באמצעות SSH ללא פרטי כניסה.
אם אתם חובבי לינוקס נאמנים המחפשים VPN אמין, תרצו לעבור לסיכום שלנו של שירותי ה-VPN הטובים ביותר עבור לינוקס.
לא רק ההיקף הוא שהופך את מתקפת ה-XZ Utills לכל כך מפחידה, אלא גם האופן שבו היא בוצעה.
התוקפים מאחורי דלת אחורית זו ביצעו קמפיין הנדסה חברתית רב שנתי כדי להכניס מספר בובות גרביים לפרויקטים של XZ Utils, תוך העלאת עדכונים לא זדוניים באופן קבוע כדי לבנות אמון עם המפתחים הקיימים.
בסופו של דבר, הקבוצה האחראית הצליחה ללחוץ על המפתחים להעביר את השליטה לאחת מבובות הגרביים שלה, ובנקודה זו הוכנסה הדלת האחורית לקוד המקור.
כאילו שזה לא מספיק גרוע, זה כמעט ולא נתפס בכלל. כאשר הגרסה האחורית של ZX Utils החלה להיות מאומצת בהפצות ניסיוניות מתקדמות, מפתח PostgreSQL בשם אנדרס פרוינד שביצע בדיקות רגרסיה על דביאן שם לב לשימוש חריג במעבד מצד שירות ה-SSH והחל לחקור.
דבר זה הוביל לכך שקהילת הקוד הפתוח זיהתה את התיקונים הזדוניים שבוצעו ב-XZ Utils וחזרה במהירות לגרסאות קודמות בהפצות שנפגעו, וכן פרסמה התראות אבטחה.
בעוד שהדלת האחורית זוהתה לפני שהספיקה להתפשט להפצות נפוצות, ההשפעה הפוטנציאלית של המתקפה היוותה קריאת השכמה רצינית לקהילת הקוד הפתוח.
ההיבטים הטכניים של המתקפה מרשימים, אך הם לעולם לא היו יכולים להיות מיושמים אלמלא העובדה שחלקים חיוניים מבסיס הקוד של לינוקס מתוחזקים על ידי מתנדבים שלא מקבלים תשלום, אשר כמו כולם, מועדים לשחיקה.
זה לא מודל בר-קיימא בטווח הארוך, כאשר APTs מחפשים באופן פעיל לפגוע בשרשרת האספקה של קוד פתוח, ובעוד שערנות קהילתית תורמת רבות לזיהוי גורמים שליליים, היא לא יכולה להיות הפתרון המלא.
2. אם כל הפרצות
התקרית הבאה שובר שיאים: דליפת הנתונים הגדולה ביותר שתועדה אי פעם, עם 26 מיליארד רשומות.
מערך הנתונים, שאוחסן במערכת חשופה וזוהה לראשונה על ידי חוקר אבטחת הסייבר בוב דיאצ'נקו וצוות Cybernews, כלל מידע רגיש מפלטפורמות כמו לינקדאין, אדובי, זינגה ו-AdultFriendFinder.
הוא כלל מעל 4000 מערכי נתונים נפרדים, מתוכם 600 הכילו מעל מיליון רשומות. המקור הגדול ביותר ב-MOAB היה Tencent QQ, שתרם 1.4 מיליארד רשומות, ואחריו Weibo, MySpace וטוויטר.
עכשיו, לפני שנמשיך הלאה, עליי לציין שאלה אינם אישורים חדשים לחלוטין. זהו מסד נתונים מצטבר, המורכב מאוספים של פרצות ודליפות נתונים קודמות רבות.
מאגרי מידע אלה משמשים האקרים כדי לבצע הפניות צולבות לאישורים בהם הם יכולים להשתמש כדי לאכלס רשימות סיסמאות ולבצע התקפות "מילוי אישורים", שבהן שמות משתמש וסיסמאות ישנים משמשים באתרים שונים כדי לנסות ולחדור.
בהתחלה, לא היה ברור למי שייך למעשה אוצר בלום זה של פרטים שנחשפו. ספקולציות מוקדמות הצביעו על קבוצת האקרים מאורגנת היטב, שסביר להניח שלא תהיה קשורה אי פעם באופן סופי לפריצה, אך בסופו של דבר מדובר במשהו הרבה יותר שפיר: שירות מחקר אבטחה שהתחבר בטעות לאינטרנט.
צוות Leak-Lookup הודה במהרה בטעותם, וציין כי הפריצה הייתה למעשה שגויה בתצורה מקרית של חומת האש, שהובילה לחשיפת אוסף פרצות הנתונים בו הם משתמשים כדי להפעיל את השירות שלהם.
למרות שאישורים אלה היו תוצאות של פרצות קודמות ולכן אינם "טריים", אין לזלזל בהשפעת הדליפה הזו.
פרצות נתונים רבות זמינות רק למספר מצומצם של האקרים וחוקרים שמוכנים לשלם עבור גישה, אך אוסף זה היה זמין בחינם ברשת הציבורית לכל אחד.
מערכות APT זוכות לתשומת לב רבה בכל הנוגע למתקפות פריצה מזיקות, אך הפקדת משאבי פריצה לידי תוקפים בעלי מימון נמוך יותר עלולה להזין גניבת זהות, פישינג והתקפות מילוי אישורים שעלולות להיות קטסטרופליות.
3. חשיפה למטא-דאטה של טייפון מלח
למרות שהמתקפה עליה אנו מדברים היא כניסה מאוחרת יחסית לאירועי הסייבר של 2024, נראה כי קבוצת האיום המתקדמת העומדת מאחוריה, Salt Typhoon, פרצה באופן פעיל לארגונים ממשלתיים ומלונות לפחות בארבע השנים האחרונות.
עם זאת, הם הגבירו מעט את משחקם, שכן השפעת קמפיין הריגול האחרון שלהם צפויה לגלוש לחלק משמעותי של 2025.
במה שחלקם מכנים אחת מפרצות המודיעין המשמעותיות ביותר בהיסטוריה של ארה"ב, קבוצת APT, הנתמכת על ידי סין, הצליחה לפגוע בלפחות שמונה חברות טלקום בארה"ב וכן בכמה חברות בחו"ל.
בעוד שהיקפו האמיתי של קמפיין זה אינו ידוע, דיווחים של הוול סטריט ג'ורנל מצביעים על כך שההאקרים הצליחו לגשת לרשתות בהן השתמשו רשויות אכיפת החוק בארה"ב כדי לפרוס האזנות סתר המחייבות על פי חוק.
רוצים ללמוד עוד על מטא-דאטה והסכנה שהיא מהווה? עיינו במדריך המפורט שלנו למטא-דאטה.
עד כה, אנו יודעים כי בין המטרות הבולטות של קמפיין זה נמנים הקמפיינים של טראמפ והאריס. אנשים אחרים שהיו קורבנות של מעקב ישיר כללו פוליטיקאים, אנשי מודיעין ואנשי ממשל. עם זאת, נראה גם כי ההאקרים ניגשו למטא-דאטה של למעלה ממיליון אנשים, כאשר אזור וושינגטון הבירה הוא המוקד העיקרי.
איסוף המטא-דאטה המסיבי מדאיג במיוחד. בהקשר זה, מטא-דאטה הוא מידע על שיחות הטלפון שלך. זה לא התוכן, אלא דברים כמו המשתתפים, משך הזמן ומיקומי אנטנות הסלולר.
מטא-נתונים יכולים לחשוף קשרים חברתיים, תנועות ורשתות, אשר כולם יכולים לספק תובנות יקרות ערך למטרות מודיעין.
בעוד שה-FBI פונה לאנשים שהם יודעים שהיו קורבן למעקב ישיר, אין כרגע תוכניות ליידע את מיליוני האמריקאים שעשויים להיות קורבנות של מעקב ישיר אחריהם על ידי סופת הטייפון סולט.
זו גם לא הפעם הראשונה השנה שכוחות APT הנתמכים על ידי סין מבצעים מבצעים בקנה מידה נרחב ברחבי ארה"ב. בינואר 2024, משרד המשפטים האמריקאי הודיע על מבצע גדול בראשות ה-FBI שמטרתו לשבש קמפיין ריגול סייבר שנוהל על ידי Volt Typhoon, קבוצת האקרים הקשורה לממשלת סין.
הקמפיין ניצל מאות נתבים של משרדים קטנים שנפרצו והיו נגועים בתוכנה הזדונית KV Botnet. נתבים אלה, בעיקר דגמים מיושנים של סיסקו ו-NetGear, הגיעו לסוף חייהם, מה שהותיר אותם פגיעים לניצול עקב היעדר עדכוני אבטחה.
4. תוכנות כופר קיברנטיות שמכוונות שוב ושוב לפעילות של שירות הבריאות הלאומי (NHS)
מתקפות כופרה על תשתיות קריטיות אינן חדשות, אך התדירות שבה הן מתרחשות היא מגמה מדאיגה. כמו כן, ברור כי ספקי שירותי בריאות נחשבים כיום ל"מטרה לגיטימית" על ידי כנופיות כופר.
ביוני 2024, מתקפת כופר כוונה לחברת Synnovis, ספקית שירותי פתולוגיה עבור בתי חולים גדולים בלונדון, כולל קרן הנאמנות של בתי החולים גאי, סנט תומאס וקינגס קולג'.
ההתקפה שיבשה שירותים חיוניים, ועיכבה בדיקות דם, עירויי דם ואמצעי אבחון אחרים. בתי החולים הכריזו על אירועים קריטיים, תוך מתן עדיפות לטיפול חירום תוך הסטת מקרים שאינם דחופים.
שירות הבריאות הלאומי (NHS) לא התאושש לחלוטין עד אוקטובר, במהלכו בוטלו יותר מ-10,000 תורים וכ-2,000 הליכים.
קבוצת תוכנות הכופר Qilin חדרה למערכות של Synnovis, הצפינה נתונים חיוניים והפכה את תשתית ה-IT לבלתי שמישה. התוקפים גם גנבו כמעט 400 ג'יגה-בייט של נתוני מטופלים רגישים, שכללו שמות, מספרי שירות הבריאות הלאומי (NHS) ותיאורי פתולוגיה, וניצלו זאת לסחיטה.
למרות איומיהם, סינוביס סירב לשלם את הכופר, מה שהוביל את קילין לפרסם חלקים מהנתונים ברשת האפלה.
המניעים של קילין נראו כלכליים, למרות שטענו בפומבי שהמתקפה הייתה נקמה גיאופוליטית נגד בריטניה. עם זאת, גורמי אכיפת החוק ומומחי סייבר דחו טענות אלה כחסרות בסיס.
ארגוני שירותי בריאות הופכים ליעדים רווחיים יותר ויותר, כאשר המגזר מוכן לעתים קרובות לשלם סכומי כופר משמעותיים. תשלומים בולטים, כמו 22 מיליון הדולר של קבוצת יונייטד הלת' מוקדם יותר בשנת 2024, הפכו את שירותי הבריאות למוקד עבור פושעי סייבר.
זו גם לא הפעם הראשונה או האחרונה ששירות הבריאות הלאומי (NHS) נפגע השנה. קרן NHS של בית החולים האוניברסיטאי ויראל בצפון מערב אנגליה הכריזה על "תקרית משמעותית" בנובמבר 2024 עקב פרצת סייבר, שגרמה לביטול כל התורים למרפאות חוץ.
התקרית השפיעה על כל הקרן, המפקחת על בתי החולים ארו פארק, בתי החולים קלטרברידג' ובית החולים לנשים וילדים בוויראל. נכון למועד כתיבת שורות אלה, מספר פרטים מרכזיים על התקרית אינם ידועים – כגון איזו קבוצה אחראית לפיגוע והשיטה בה נעשה שימוש לביצועו.
מוקדם יותר השנה, שירות הבריאות הלאומי של דמפריס וגאלוויי היה גם מטרה של קבוצת ההאקרים INC Ransom. אמנם אירוע זה לא הפריע לפעילות השוטפת של השירות, אך התוקפים טענו כי הצליחו לפגוע ב-3TB של נתוני מטופלים.
שירות הבריאות הלאומי של דמפריס וגאלוויי סירב לשלם את הכופר, וכתוצאה מכך, מידע רגיש של מטופלים נחשף באתר דליפה ברשת האפלה. אזרחים שנפגעו מהחשיפה קיבלו ייעוץ ישיר שהזהיר אותם מפני התקפות פישינג אפשריות כתוצאה מההתקפה, וזה עדיף במעט מכלום.
5. הפרת שכר משרד הביטחון
לסיום רשימת אירועי הסייבר המשמעותיים שלנו בשנת 2024, אלו חדשות רעות נוספות עבור בריטניה.
במאי 2024, הודיע משרד ההגנה כי סבל מפריצה שהובילה לדלוף נתוני שכר של עד 272,000 אנשי צבא בריטיים, נוכחיים ובעבר, לצד שלישי זדוני.
נגישה מידע אישי, כולל שמות, פרטי בנק ובמקרים מסוימים, כתובות מגורים, אם כי על פי הדיווחים לא נפגעו נתונים צבאיים מבצעיים.
ההתקפה כוונה נגד מערכת השכר המנוהלת על ידי Shared Services Connected Ltd, חברת קבלן האחראית על אספקת שירותי שכר ומשאבי אנוש בכוחות המזוינים.
בין אם אתם גרים בבריטניה הגדולה או סתם מבקרים בחופשה, אל תיתפסו בלי אחד משירותי ה-VPN הטובים ביותר של היום לבריטניה.
SSCL, בתחילה מיזם משותף בין משרד הקבינט לספקית ה-IT הצרפתית סופרה סטריה, מנהלת שירותים עבור מיליוני עובדי ציבור במגוון מגזרי ממשלה. החוזה שלה עם משרד הביטחון, בשווי 294 מיליון ליש"ט, מטפל בשירותי משאבי אנוש עבור 230,000 אנשי צבא פעילים ושני מיליון יוצאי צבא. גישה נרחבת זו הפכה אותה ליעד בעל ערך רב.
בתגובה, משרד ההגנה הוריד במהירות את המערכת שנפגעה מהאינטרנט ופתח בבדיקה מלאה של פרוטוקולי האבטחה של SSCL. שר ההגנה גרנט שאפס הודיע על חקירה רחבה יותר של חוזי SSCL ברחבי הממשלה והתחייב ליישם תוכנית רב-נקודתית לשיפור אבטחת הסייבר.
למרות שדיווחים בתקשורת הצביעו על כך שקבוצות המקושרות לסין עמדו מאחורי המתקפה עקב דפוסי התנהגות קודמים של ארגוני APT המקושרים לסין, ממשלת בריטניה מעולם לא שמה רשמית חשוד בפריצה וממשלת סין הכחישה בפומבי כל מעורבות.