בלעדי לכלכליסט
ישראל נמצאת בראש רשימת המטרות של האקרים בעולם
חברת מעבדות F5 חושפת כי ישראל היא המדינה המותקפת ביותר ברבעון השלישי של 2020 - על בסיס ניטור התוקפים. מומחי אבטחה: מדובר ביריבים גיאו פוליטיים וגם בארגוני פשיעה שמשבר הקורונה אילץ אותם לפנות לעולמות הסייבר
מחקר של חברת אבטחת המידע האמריקאית Labs F5 שתוכנו הגיע לידי "כלכליסט", מצביע על כך שישראל הפכה ברבעון האחרון ליעד הסייבר מספר אחת עבור האקרים ועברייני סייבר ברחבי העולם. עפ"י המחקר, ישראל עקפה בכך את הודו, ארה"ב, רוסיה, טורקיה וערב הסעודית - מדינות שנמצאות בצמתים של אינטרסים בינלאומיים מתנגשים. מדובר בשינוי מגמה מהותי.
עד השנה ישראל לא נתפסה כיעד מועדף לניסיונות תקיפה. היא אמנם כיכבה בחמישייה הפותחת של יעדי התקיפה השנה, אך זו הפעם הראשונה שהיא תופסת את המקום הראשון בטבלה, עם כ־180 אלף ניסיונות תקיפה שזוהו.
- מחדל: פרטיה של מנהלת מפעל הסייבר בתע''א נחשפו על ידי ההאקרים האיראנים
- הפריצה לשירביט: ההאקרים פרסמו מידע חדש - כולל צילום של דרכון המנכ"ל
- האקרים מאיראן: "פרצנו למחשבי התעשייה האווירית"
הדו"ח מבוסס על ניתוח מפורט של נתוני מלכודות דבש (honeypots) שנאספו מאמצע יולי עד אמצע אוקטובר השנה. מלכודות דבש הן כלי שמחקה מטרות של תוקפים ומאפשר לחוקרי אבטחה לנטר את ההתנהגות של התוקפים. ארן אראל, מנהל הפעילות של F5 בישראל, אומר ל"כלכליסט" כי "יש להמשיך לחקור על מנת לקבוע בוודאות האם התוקפים הם יריבים גיאו־פוליטיים המעוניינים להשיג דריסת רגל במדינה, או שמדובר בשחקנים ללא כל עניין בישראל, אך מבקשים להפנות את תשומת הלב אליה בצורה שגויה, כמסך עשן, ולמעשה מטרותיהם אחרות".
לדבריו, "למרות שישראל היא מדינה מתוחכמת המחזיקה בכישרונות רבים בקהילת אבטחת הסייבר, ראינו התקפות לא מאד מתוחכמות. זו תזכורת לכך שבכל מקום, אפילו בישראל, יש נקודות תורפה שניתן לנצל על מנת להשיג טביעת רגל, ואנו חייבים לחזק קודם כל את תשתיות אבטחת המידע הבסיסיות ביותר שלנו".
הדו"ח מציין כי כתובת ה־IP שנצפתה במידה הגבוהה ביותר כמקור לתקיפות, קשורה לרשתות רוסיות. עם זאת, ב־F5 נזהרים מלייחס מתקפות אלו לרוסים. ואולם, הכניסה של שחקנים רוסים כתוקפים של יעדים ישראלים אינו מופרך. מתקפת הסייבר נגד שירביט יוחסה בין היתר להאקרים רוסים או דוברי רוסית, למרות טענת החברה כי מקור התקיפה עשוי להיות איראן.
הקורונה הביאה את ארגוני הפשיעה לעולמות הסייבר
"המתיחות עם אירן, החלפת השלטון בארה"ב והשלום עם מדינות מוסלמיות, שלא מוצא חן בעיני כולם, כל אלו מעלים את המוטיבציה למתקפות סייבר בעת הזו", מסביר ל"כלכליסט", ליאור פרנקל, מנכ"ל ומייסד ווטרפול סקיוריטי. "למרות זאת, הפעם יש סיבה נוספת שנראה שהיא בבסיס חלק משמעותי מהתקיפות האחרונות - כסף. עולם הפשע עובר לסייבר. תקיפות כופר הן התחום החדש והנוצץ שגופי פשע וארגונים קרימינליים נוהרים אליו בהמוניהם".
פרנקל מעריך עוד שמדובר במגמה שקשורה גם למשבר העולמי. "הקורונה יצרה 'בעיית פרנסה' גם בעולם הפשע, והם מחפשים מקורות הכנסה אלטרנטיביים". לדבריו, כלי תקיפה מקצועיים, שיטות וטכנולוגיות מדינתיות, קיימים וזמינים לקנייה ברשת האפלה ("דארקנט") כולל שירותי הדרכה והפעלה.
"לא צריך להיות האקר מומחה, כל מה שצריך זה לשכור שירותי תקיפה מגוף כזה או אחר, והם יבצעו את הכל עבורך. ישראל היא מדינה מתקדמת מאוד, מדינה עם רמת שימוש גבוהה במיוחד בטכנולוגיות מידע, וככזו היא יעד ברור לתקיפות כופר. יש כר נרחב של יעדים, מחברות הייטק מכל הסוגים, למפעלי יצור, חברות פיננסיות ועד למשרדי הממשלה המקושרים בשירותי 'ממשל זמין'. השילוב של יעד פוליטי עם יעד פיננסי, מסביר את הקפיצה הנוכחית בכמות התקיפות, וכן בריכוז שלהן על ישראל. המגזר העסקי צריך להתכונן לתקופה ארוכה שבה הוא יהווה יעד משמעותי לתקיפות סייבר, מסיבות של טרור, סחיטה והשילוב ביניהן".
הניתוח של פרנקל מצטרף להערכות של מומחי סייבר נוספים. הערכות שונות גורסות כי המתקפה ששיתקה לא מעט מרשתות המחשבים של הממשל האמריקאי, ושמקורה בתקיפת פלטפורמת תשתיות ה־IT של חברת סולארווינדס, מקורה ברוסיה. אך על פי דו"ח של חברת הסייבר הישראלית Prevasio, נראה שגם ישראל נמצאת בין יעדי התקיפה של ההאקרים הרוסים. כך למשל ברשימת מטרות שפורסמה באופן פומבי באתר PasteBin, ככל הנראה על ידי ההאקרים או גורם מטעמם, מופיעים אוניברסיטאות ישראליות, ערוץ טלוויזיה ישראלי מסחרי ואפילו חברת אבטחת מידע מהגדולות בישראל.
חשש ש"הנשק" יגיע לידי שחקנים שעוינים את ישראל
בנוסף, אחד המתארים המדאיגים הוא שכלי פריצה מתוחכמים - נשק סייבר - ששימש למשל את תוקפי סולארווינדס, ימצא את עצמו בידיים של שחקנים מדינתיים עוינים לישראל. כך למשל היה במהלך מתקפת NotPetya ששיתקה דרך נוזקות כופר חלק מהפעילות הכלכלית של חברות מערביות לאחר ששימשה במתקפה אסטרטגית נגד אוקראינה לפני כשלוש שנים. הנוזקה התגלגלה לידיים של האקרים צפון־קוריאנים שהינדסו אותה מחדש לצרכיהם כנוזקת WannaCry, ושימשה אותם לסדרה ארוכה של מתקפות כופר על יעדים מערביים. העלויות המצטברות הגיעו למיליארדי דולרים - לא כולל תשלום הכופר לשחרור המחשבים.
כשמסתכלים על היקף תקיפות הסייבר המוצלחות על המשק בחודשים האחרונים, נוזקת הכופר ששיתקה את חברת השבבים טאואר, התקיפה נגד שירביט, חברת עמיטל, הפריצה להבאנה לאבס של אינטל ועשרות מקרים נוספים שברובם לא פורסמו, אפשר לראות שישנה מגמה עקבית להפוך את ישראל ליעד מועדף לתקיפות סייבר.
"אין ספק שהסיפור הזה רק בתחילתו ושמדובר במתקפה הגדולה ביותר שהעולם ידע מזה זמן רב", מוסיף אסף אמיר, ראש מחלקת המחקר של סנטינל וואן. "ממעקב שלנו אחרי קבוצות תקיפה מדינתיות ואחרי קבוצות סייבר פליליות, זיהינו עלייה בשני העולמות בתקיפות על ישראל. מצד אחד שחקנים מדינתיים ובעיקר איראן, חמאס וחיזבאללה, מרחיבים את התקיפות שלהם בישראל, ומימד הסייבר מאפשר להם לייצר תגובה בלי להתדרדר לעימות עם ישראל.
מנגד, פושעי סייבר הגבירו את תקיפות הכופר. בנוסף ניתן לזהות מגמות משולבות בהם עברייני סייבר מבצעים תקיפות עבור מדינות ושמדינות "מתחפשות" לפושעי סייבר - כמו מה שככל הנראה קרה באירוע שירביט".