בכל יום שעובר הולך וגדל החשש בקרב גורמי חקירה ואכיפה פדרליים בארה"ב, כי ההיקף האמיתי של מתקפת הסייבר שבוצעה כנגד מאות ארגונים בארה"ב, ובהם עשרות גופים פדרליים – גדול יותר מהמשוער. המשרד להגנת המולדת פרסם בסוף השבוע אזהרה, שלפיה "ההאקרים שחדרו למערכות ה-IT של הממשל השתמשו בנוזקה ובטכניקות המהוות סכנה חמורה לממשל הפדרלי". בתוך כך, מיקרוסופט (Microsoft) מצאה נוזקה במערכות שלה, כך הודיעה החברה בסוף השבוע. הנוזקה קשורה לקמפיין הסייבר הענקי שנחשף. הענקית מרדמונד הודיעה, כי בין הלקוחות שנפגעו יש גם ארגונים מישראל. מבין 40 הלקוחות שנפגעו, נמסר, כ-80% מהם בארה"ב, והשאר בקנדה, במקסיקו, בבלגיה, בספרד, בבריטניה, באיחוד האמירויות ובישראל. על פי מיקרוסופט, מספר הארגונים והמדינות שנפגעו בפועל הוא גדול יותר. כמו שאר הארגונים שנפגעו במתקפת הענק, מיקרוסופט משתמשת בתוכנת ניהול הרשת Orion, של סולאר-ווינדס (SolarWinds). את המתקפה ערכה קבוצת ההאקרים APT29 הרוסית, המקורבת לקרמלין ולגופי ביון רוסים. מיקרוסופט היא הקורבן השני הנחשף, לאחר פייראיי (FireEye) – מהמגזר הפרטי. מהממשל הפדרלי הנפגעים רבים, בהם משרדי האוצר ומינהל הטלקום והמידע הלאומי במשרד המסחר (NTIA) וסוכנויות מודיעין. משרד האנרגיה מסר, כי ההאקרים השיגו גישה לרשתות שלו. מינהל ביטחון הגרעין הלאומי, NNSA, המטפל במאגר אמצעי הלחימה הגרעיניים של ארה"ב, היווה גם הוא מטרה למתקפה. עם לקוחות סולאר-ווינדס, שהייתה המקור הראשוני להדבקה, נמנים סיסקו, AT&T, קומקאסט ומקדונלד'ס, כמו גם הענקיות הפיננסיות ויזה ומסטרקארד – כמה מהן, ובהן סיסקו (Cisco), נפגעו מהמתקפה. דובר סיסקו אמר ל-CNN Business, כי החברה זיהתה ובודדה מספר מצומצם של תוכנות בסביבות המעבדה שלה שהושעו מהמתקפה, ובמספר מצומצם של נקודות קצה של עובדים. נכון לעכשיו, אין השפעה ידועה על מוצרי סיסקו. אנו ממשיכים לחקור בעדיפות הגבוהה ביותר את כל ההיבטים של המצב המתפתח הזה". קומקאסט מסרה, כי היא "עורכת סקירה פנימית יסודית", על מנת לחקור את מערכותיה לגבי כל סימן לפריצה, אך אין לה סיבה להאמין שנתוניה נפגעו. ויזה מסרה, כי היא עורכת בדיקה פנימית וכי "האבטחה והביטחון הם חשובים ביותר עבורנו, נמשיך לעקוב מקרוב אחר המצב". AT&T, מקדונלד'ס ומסטרקארד לא הגיבו לדיווח. כמו במקרה של סולאר-ווינדס, מוצרי מיקרוסופט שימשו לקידום המתקפות על קורבנות אחרים, ומספר הקורבנות לא ברור. "כמו ללקוחות אחרים של סולאר-ווינדס, חיפשנו אחר ממצאים לכך שהיא הגורם במתקפת הסייבר", מסר דובר מיקרוסופט, "ואכן גילינו בסביבת ה-IT שלנו חלקי נוזקה בתוכנה שלה – אותם בודדנו והסרנו. לא מצאנו עדויות לגישה לשירותי ייצור או לנתוני לקוחות. החקירות לא מצאו כל סימן לכך שהמערכות שלנו שימשו על מנת לתקוף אחרים". גורם המעורב בחקירה מסר, כי ההאקרים השתמשו בשירותי הענן של מיקרוסופט, אולם לא בתשתית החברה. לפי עוד דיווח, חוקרי המשרד להגנת המולדת אינם סבורים שמיקרוסופט שימשה את ההאקרים כפלטפורמה לתקוף אחרים. על פי CISA, הסוכנות לאבטחת סייבר ותשתיות, סביר להניח כי להאקרים היו וקטורי גישה ראשוניים נוספים, שטרם התגלו, כך לפי ההתראה שלה משבוע שעבר – במסמך בן 17 עמודים. הסוכנות הודיעה שהיא חוקרת אירועים שבהם היריבים מתנהלים בדומה להאקרים שעבדו עם סולאר-ווינדס, אולם הקורבנות אינם לקוחות של תוכנת Orion שלה. תוכנת ניהול רשתות של סולר-ווינדס משמשת מאות אלפי חברות וסוכנויות ממשלה. על פי רויטרס, סולאר-ווינדס שימשה כ"ספקית" הגישה הראשונית למיקרוסופט. 425  מבין ארגוני פורצ'ן 500 הם לקוחות החברה. ההאקרים עדיין לא ניצלו את כל הרשתות שאליהן השיגו גישה CISA הודיעה, כי אין לצאת מנקודת הנחה שלפיה הארגונים בטוחים מפני המתקפה – אם הם לא משתמשים בגירסאות האחרונות של Orion של סולאר-ווינדס. היא הוסיפה, כי ההאקרים לא ניצלו עדיין את כל הרשתות שאליהן הם השיגו גישה. ביום ה' האחרון דיווחנו כי מיקרוסופט הסתבכה בבדיקות סביב הפריצה בשל הקשר בין הנוזקה ל-Office 365 ול-Azure Active Directory. על פי הדיווחים, שני קורבנות מרכזיים בקמפיין הסייבר המסיבי נפרצו דרך חשבונות Microsoft Office 365. ההאקרים, כך דווח, עקבו במשך חודשים אחרי המיילים שנשלחו באמצעות Office 365 בחשבון של מינהל התקשורת והמידע הלאומי (ה-NTIA) שבמשרד המסחר האמריקני, ולאחר מכן פרצו לרשת הארגונית שלו. גורם המעורב בחקירת האירוע אמר, כי ההאקרים "מתוחכמים ביותר", והצליחו להערים על בקרות האימות של פלטפורמת מיקרוסופט. מרכז מחקר האבטחה של מיקרוסופט פרסם, שההאקרים הצליחו לייצר טוקן (אסימון), שמייצג חשבון בעל פריבילגיות גבוהות ב-Azure Active Directory. ההאקרים יכולים גם לקבל הרשאות ניהול של ה-Azure Active Directory, תוך שהם משתמשים באישורים גנובים או פגומים. מיקרוסופט ציינה, שהדבר סביר במיוחד אם החשבון המדובר לא מוגן על ידי אימות רב גורמי (MFA). "לאחר שהתוקף צבר דריסת רגל משמעותית בסביבה המקומית, הוא ביצע שינויים בהגדרות Azure Active Directory כדי להקל על גישה לטווח הארוך", ציינה מיקרוסופט, "ואז הוא יכול להשתמש בהרשאות הניהול שלו כדי להעניק הרשאות נוספות. צפינו גם בהאקרים שמוסיפים אישורי סיסמה או אישורים אחרים לתהליכים לגיטימיים – מה שמאפשר להם לקרוא תוכן דואר מ-Exchange באמצעות Microsoft Graph או Outlook REST". בשבוע שעבר מיקרוסופט השתלטה על דומיין מרכזי ששימש את ההאקרים שפרצו לסולאר-ווינדס כדי לתקשר עם מערכות שנפגעו על ידי עדכוני המוצרים של Orion. למיקרוסופט היסטוריה ארוכה של השתלטות על דומיינים שקשורים לנוזקות, במיוחד כאשר אתרים אלה משמשים לתקיפת לקוחות Windows. "כל ארגון וכל חברה צריכים להיות מודאגים, כיוון שהם חייבים להניח שהרשתות שלהם פרוצות והיריב עוקב אחר פעולותיהם ומתבונן בהם", אמרה קירסטן טוד, לשעבר בכירה בסייבר בממשל אובמה וכיום מנכ"לית מכון למוכנות בסייבר. "חברות יצטרכו לבצע ניקוי רחב היקף ועמוק, כמו אחרי הוריקן. זה יהיה יקר ונרחב – חברות יצטרכו לזהות מה נפרץ ומה, אם בכלל, נותר חסין".