בעולם הסייבר המודרני, המחשב שלכם במשרד הוא מזמן לא אי בודד. הוא הדלת, החלון והשער לרשת הארגונית כולה.
רבים מבעלי העסקים והמנהלים בטוחים ש”אצלנו זה לא יקרה”, או ש”המחשב שלי לא מעניין אף האקר”. הסיפור האמיתי של ענקית הספנות הדנית Maersk (מאריסק), שהתרחש ב-2017, הוא ההוכחה המוחצת, הכואבת והמתועדת ביותר לכך שזו טעות אופטית מסוכנת.
המקרה של מאריסק הוא שיעור חובה לכל מי שמנהל תשתיות IT או אחראי על אבטחת מידע. הוא מראה איך רשלנות בנקודת קצה בודדת יכולה להצית שריפה גלובלית שתחריב אימפריה עסקית.
הסיפור האמיתי: מתקפת NotPetya על Maersk
הקורבן: A.P. Møller – Mærsk, חברת הספנות הגדולה בעולם להובלת מכולות.
שלב 1: דריסת הרגל הראשונית (החוליה החלשה)
המתקפה לא החלה בפריצה מתוחכמת לשרתי הליבה המאובטחים של מאריסק בקופנהגן. היא החלה במקום הכי לא צפוי: משרד קטן ומקומי של החברה באודסה, אוקראינה.
במשרד הזה, על מחשב בודד של אחד העובדים, הותקנה תוכנת הנהלת חשבונות פופולרית מאוד באוקראינה בשם M.E.Doc. האקרים (שזוהו מאוחר יותר כקבוצת “Sandworm” המקושרת למודיעין הרוסי) הצליחו לפרוץ לשרת העדכונים של חברת M.E.Doc עצמה.
ההדבקה: ב-27 ביוני 2017, שרת העדכונים הפרוץ של M.E.Doc שלח עדכון תוכנה “לגיטימי” כביכול לכל לקוחותיו. העדכון הכיל בתוכו דלת אחורית (Backdoor) זדונית. המחשב הבודד במשרדי מאריסק באודסה הוריד והתקין את העדכון האוטומטי – ובאותו רגע, הנוזקה, שזכתה לשם NotPetya, חדרה לרשת הפנימית של החברה.
שלב 2: התפשטות רוחבית כאש בשדה קוצים
NotPetya לא הייתה סתם תוכנת כופר; היא הייתה נוזקה הרסנית (Wiper) שהתחפשה לכופר. ברגע שהיא הדביקה את המחשב הראשון באודסה, היא לא קפאה על שמריה. היא החלה לסרוק את הרשת הפנימית של מאריסק כדי למצוא קורבנות נוספים.
איך היא התפשטה? הנוזקה השתמשה בשני כלים עוצמתיים:
- EternalBlue: פרצה (Exploit) מפורסמת בפרוטוקול ה-SMB של ווינדוס, שאיפשרה לנוזקה לעבור ממחשב למחשב ברשת ללא צורך בהתערבות משתמש (תולעת סייבר).
- Mimikatz: כלי לחילוץ סיסמאות מזיכרון המחשב. הנוזקה חילצה הרשאות של מנהלי מערכת (Admin Credentials) מהמחשב הראשון, והשתמשה בהן כדי להתחבר באופן לגיטימי כביכול למחשבים ושרתים אחרים ברשת.
התוצאה: שיתוק גלובלי וערימות של ברזל
בתוך שעות ספורות, הנוזקה התפשטה מהמחשב הבודד באוקראינה לכל רשת המחשוב הגלובלית של מאריסק.
- נזק: כ-49,000 מחשבים ניידים ותחנות קצה הושמדו. כ-3,500 שרטים נפגעו.
- השבתה: כל מערכת הזמנת המכולות, ניהול הנמלים והלוגיסטיקה של החברה הושבתה לחלוטין. נמלים שבשליטת מאריסק נעצרו, ומכולות נתקעו.
- עלות כספית: החברה דיווחה על הפסדים של כ-300 מיליון דולר בגין המתקפה.
אילו כלים היו יכולים למנוע את האסון?
הסיפור של מאריסק הוא שרשרת של כשלי אבטחה בסיסיים. אם היו מיושמים הכלים והנהלים הבאים, ייתכן מאוד שהמתקפה הייתה נעצרת בשלב מוקדם בהרבה:
- מערכת EDR/MDR מודרנית (במקום אנטי-וירוס בסיסי):
- איך זה היה עוזר? אנטי-וירוס מסורתי מחפש “חתימות” של וירוסים מוכרים. NotPetya הייתה חדשה. מערכת EDR (Endpoint Detection and Response), כמו SentinelOne או CrowdStrike, מנטרת התנהגות חריגה בזמן אמת. היא הייתה מזהה שתהליך ה-M.E.Doc מנסה להריץ קוד זדוני, לחלץ סיסמאות מזיכרון המחשב (Mimikatz) או להתפשט דרך EternalBlue. ה-EDR היה מבודד את המחשב הראשון מהרשת באופן אוטומטי, ובכך עוצר את אפקט הדומינו.
- הפרדת רשתות:
- איך זה היה עוזר? במאריסק, הרשת הייתה “שטוחה” – ברגע שחדרת לנקודה אחת, יכולת לגשת לכל מקום. הפרדת רשתות קשיחה הייתה מבודדת את משרדי אוקראינה מהרשת הגלובלית. גם אם המחשב באודסה היה נדבק, הנוזקה לא הייתה יכולה לעבור לשרתים הראשיים בדנמרק.
- ניהול הרשאות:
- איך זה היה עוזר? NotPetya התפשטה הודות להרשאות מנהל מערכת שהיא חילצה. אם המשתמש במחשב באודסה לא היה עובד עם הרשאות Admin (מנהל) מקומיות, או אם הרשאות אלו לא היו תקפות לשרתים אחרים, הנוזקה לא הייתה יכולה להשתמש ב-Mimikatz כדי להתקדם ברשת.
- ניהול פאצ’ים (Patch Management):
- איך זה היה עוזר? EternalBlue השתמשה בפרצה שגוגל פאצ’ה עבורה כבר חודשים קודם לכן. אם מאריסק הייתה מתקינה את עדכוני האבטחה של ווינדוס (כמו MS17-010) בזמן, הנוזקה לא הייתה יכולה להשתמש בתולעתEternalBlue כדי להתפשט.
הלקח ברור: המחשב שלכם הוא לא סוף הדרך, הוא ההתחלה. השקיעו בהגנה פרואקטיבית בנקודות הקצה.
מקור למתקפה
התחקיר המפורט והאמין ביותר לסיפור המלא של מאריסק וNotPetya הוא של מגזין Wired:
📖 Wired: “The Untold Story of NotPetya, the Most Devastating Cyberattack in History” 🔗 קרא את הכתבה המלאה ב-Wired
כתיבת תגובה
יש להתחבר למערכת כדי לכתוב תגובה.