שוד בגובה 10,000 רגל: מה ניתן ללמוד מהפריצה לענן של סנואופלייק
באביב האחרון הענן של חברת Snowflake נפרץ והתוקפים השתלטו על כ-165 חשבונות של לקוחותיה. "שוד ענן" אולי נשמע כמו שם מסרט מדע בדיוני, אך מדובר באחד האיומים המתוחכמים ביותר שמתפשטים בשנים האחרונות בעולם הסייבר
תמונה: socradar
מאת אליעד מועלם ואביטל הראל
הענן הפך בשנים האחרונות לעמוד השדרה של התשתיות העסקיות בעולם. חברות בכל הגדלים, מסטארטאפים ועד תאגידי ענק, עוברות במהירות לטכנולוגיות מבוססות ענן כדי לנהל את הפעילות היומיומית שלהן. על פי מחקר שנערך על ידי Gartner, עד שנת 2025 כ-85% מהארגונים יתעדפו שימוש בטכנולוגיות מבוססות ענן. מחקר נוסף מראה כי 75% מהארגונים מאחסנים יותר מ-40% מהמידע הרגיש שלהם בענן. ככל שיותר ארגונים מסתמכים על פתרונות ענן לניהול הפעילות היומיומית שלהם – כך גם התוקפים הופכים מתוחכמים יותר, ולאחרונה מסתמנת מגמה מדאיגה של השתלטות מוחלטת על חשבונות ענן. מדובר לא רק בגניבת נתונים, אלא גם על מחיקה, שיבוש וניצול משאבים לטובת מטרות זדוניות.
התוקפים מפעילים טכניקות מתקדמות כמו ניצול מפתחות API והסלמת הרשאות (Privilege Escalation), מה שמאפשר להם לחדור לעומק המערכת ולשלוט בה. בנוסף, בפעמים רבות הם משאירים "דלתות אחוריות" (Backdoors), שמאפשרות להם לחזור ולחדור לסביבה שוב ושוב, גם לאחר שהתקיפה נחשפה – לעיתים מבלי לעורר כל חשד. אחת הדוגמאות הבולטות למתקפה מסוג זה היא הפריצה לחברת Snowflake ב-2024. באופן מטריד במיוחד, התוקפים כלל לא נדרשו לחדור ישירות למערכת, אלא הם השתמשו באישורים חשופים כדי לקבל גישה מלאה והותירו אחריהם שובל של נזק אדיר.
מה בעצם קרה?
חברת Snowflake, אחת מספקיות אחסון המידע בענן המובילות בעולם, מצאה את עצמה בעין הסערה של שוד ענן (Cloud Heist) באביב האחרון. הפריצה התרחשה בין 2 במרץ ל-20 במאי 2024 והתגלתה רק כאשר קבוצת האקרים החלה להציע למכירה נתונים של לקוחות החברה בפורומים מקוונים.
התוקפים לא נזקקו לפריצה מסובכת, למעשה הם אפילו לא "דפקו בדלת". המפתחות כבר היו שם, מונחים על השולחן, בדמות אישורים לגיטימיים שנחשפו באינטרנט ושבאמצעותם התוקפים השתלטו על כ-165 חשבונות של לקוחות החברה.
תמונה: socradar
אך הנזק לא היה רק טכני – האמון בחברה נסדק. הפריצה יצרה משבר אמון חמור עבור הנפגעים והדלפת מידע רגיש דרשה טיפול יקר ומורכב מצד הארגונים.
בתגובה למתקפה, Snowflake הטמיעה אימות דו-שלבי בכל החשבונות וחיזקה את מערכות הניטור שלה. בסופו של דבר, ב-30 באוקטובר 2024, הצליחו הרשויות בקנדה לעצור את התוקף המכונה "Waifu", שנחשד כמוח שמאחורי המתקפה. האישומים נגדו כללו קשירת קשר, הונאת מחשבים, סחיטה וגניבת זהות – אך הנזק שכבר נעשה לא יימחק במהרה.
תגובה מהירה, הגנה חכמה
שקיפות (Visibility) וניטור (Monitoring) בזמן אמת הם שם המשחק. בעולם שבו מתקפות סייבר מתפתחות במהירות, התגובה חייבת להיות לא רק מהירה – אלא מיידית. כדי להקדים תוקפים כמו אלה שמתמחים ב"שוד ענן", ארגונים צריכים להשיג שליטה מלאה על כל המתרחש במערכות שלהם בכל רגע נתון. ניטור חכם מספק תמונה ברורה: מי ניגש למידע, מה משתנה ומתי מתרחשת פעילות שאינה אופיינית.
כל פעולה חריגה – כמו חיבור לא מזוהה, יצירת משאבים בלתי מתוכננת או ניסיונות גישה לא מורשים – חייבת להפעיל התראה מהירה שתאפשר טיפול מיידי. לצד זאת, אימות דו-שלבי משמש שכבת הגנה נוספת שמונעת כניסות גם אם סיסמאות נגנבות. צמצום הרשאות הוא נדבך חשוב נוסף: עובדים וגורמים חיצוניים צריכים גישה רק למידע ההכרחי לתפקידם, על מנת לצמצם את פוטנציאל הנזק במקרה של פריצה.
וכמובן, אי אפשר לוותר על חלקו של האדם: הדרכות עובדים הן קו ההגנה הראשון מול מתקפות פישינג ותחבולות זדוניות אחרות. עובד שמזהה מייל חשוד או לינק לא מוכר יכול להציל את הארגון מפני חדירה מיותרת. לצד זאת, חשוב שהארגון יעמוד בתקנים הבינלאומיים, שגם יספקו הגנה טכנולוגית וגם יחזקו את האמון אצל הלקוחות, שיודעים שהמידע שלהם מטופל בסטנדרט האבטחה הגבוה ביותר.
שורה תחתונה: המהירות שבה תוקפים מצליחים לפעול מחייבת תגובה מהירה לא פחות, אך עם הגנה נכונה, ניתן אף למנוע את הנזק הבא עוד לפני שהוא קורה.
לא רק בארגונים גדולים
גם מי שאינו מנהל תאגיד ענק עלול להיפגע משוד ענן. מידע אישי כמו כתובות מייל, מספרי טלפון ופרטי כרטיסי אשראי עלולים להיחשף ולהפוך לכלי במתקפות התחזות או גניבת זהות. כדי להגן על עצמנו, חובה להפעיל אימות דו-שלבי, להשתמש בסיסמאות ייחודיות ומורכבות ולגלות עירנות ללינקים חשודים. בעולם שבו הענן מאחסן חלקים גדולים מהחיים שלנו, האחריות להגנה מתחילה בידיים שלנו ואבטחה היא תנאי בסיסי להישרדות בעידן הדיגיטלי.
הכותבים הם חוקרים בצוות אבטחת הענן של Upwind
