"מתקפת הסייבר נעצרה – אבל קמפיין הריגול עלול להופיע ביתר חומרה"

אמש (ג') פורסם בערוץ 10, כי משמרות המהפכה באיראן הצליחו לחדור למחשבו האישי של רמטכ"ל צה"ל לשעבר, ובנוסף למאות מחשבים של ישראלים, בהם אנשי מערכת הביטחון, וקצינים בכירים בעבר ובהווה. פעילותה של הקבוצה, שמכונה Rocket Kitten ("החתלתול הרקטי"), נחשפה בלעדית כבר לפני יותר מחצי שנה באנשים ומחשבים – על ידי ClearSky הישראלית.

על פי הדיווח אמש, משמרות המהפכה של איראן הצליחו לחדור למחשבו הפרטי של רמטכ"ל צה"ל לשעבר. המתקפה כוונה לעשרות מחשבים של בכירי מערכת הביטחון בארץ. החדירה התגלתה לאחר שהתוקף האיראני, יאסר בלאחי, השאיר בטעות את כתובת המייל שלו ובכך גילה כי לא פעל על דעת עצמו, אלא מטעם ארגון סייבר שהזמין את העבודה.

האיראנים הבינו לפני כמה חודשים כי מבצע החדירה נחשף – ועצרו אותו. בראיון לאנשים ומחשבים אמר בועז דולב, מנכ"ל ClearSky, כי "מתקפת הסייבר האיראנית שחשפנו נעצרה, וטופלה. אבל קמפיין הריגול עלול להופיע ביתר חומרה השנה – וארגונים נדרשים להיערך לקראתו". לדברי דולב, "המתקפה שחשפנו כוללת פעילות תקיפה רב-שלבית, של יעדים ותשתיות מחשוב, ובמגוון ערוצים. מדובר בקמפיין תקיפה ממוקד, עיקש ושיטתי במיוחד, המבוסס על איסוף מודיעין ומידע מקדים וממוקד על יעדי התקיפה".

בנובמבר 2015 צ'ק פוינט (Check Point) חשפה, שוב, את אותה קבוצת ריגול סייבר איראנית שהתקיפה 1,600 מטרות בארץ ובעולם, בהם בכירים במערכת הביטחון ומדענים ישראליים. על פי ענקית אבטחת המידע הישראלית, "מאז תחילת 2014 מתרחשות תקיפות סייבר חוזרות ונשנות ממקור איראני על מטרות בעלות עניין בישראל ובעולם". ההאקרים מנסים להדביק את קורבנותיהם בנוזקות על ידי תקיפות פישינג מרובות וממוקדות (Spear phishing), שנעשות באמצעות מייל.

פעילות שנחשפה באנשים ומחשבים

כאמור, פעילותה של קבוצת ריגול הסייבר האיראנית הייחודית נחשפה באנשים ומחשבים ביוני השנה, ובדו"ח שפרסמו בספטמבר ClearSky וטרנד מיקרו (TrendMicro) עלה כי היא ממשיכה לפעול, באגרסיביות וביתר שאת, וכי אנשיה אינם מתרגשים מהפרסומים עליהם.

הדו"ח חשף את דרכי הפעולה של Rocket Kitten, שפעילה לפחות מאמצע 2014, ויש מי שסבור שהחלה לפעול כבר ב-2011.

הידיעה הבלעדית שפורסמה באנשים ומחשבים זכתה להדים רבים בתקשורת הערבית והאיראנית. בין היתר, היא פורסמה בסוכנות הידיעות האיראנית המרכזית מהר ובעיתון המצרי אלדוסתור. כמו כן, ציטטו אותה אתרי חדשות נוספים ברפובליקה האיסלאמית ובעולם הערבי, ביניהם אתר חדשות הסייבר האיראני cyberbannews.com, העיתון הבריטי בערבית אלערב (Alarab), האתר המצרי almesryoon.com, סוכנות הידיעות המצרית ONA והפורטל הערבי אלבואבה. בתקשורת הישראלית פורסם הסיפור בוואלה! וברשת ב'.

"מרחב הסייבר מספק תחושת ביטחון מזויפת"

"אנחנו עוד לא יודעים את אופי המתקפה שבעקבותיה חדרו ההאקרים האיראניים למחשבים האישיים של הבכירים במערכת הביטחון, אולם אפשר להניח כי מדובר במתקפות פישינג. מתקפות מסוג זה לא זרות למגזרי הביטחון והצבא בעולם", אמרה לאנשים ומחשבים לימור גרוסמן, מנהלת שיווק ומכירות של מערכת Q-Log, המדמה מתקפות פישינג.

לימור גרוסמן, מנהלת שיווק ומכירות, Q-Log

לדבריה, "בקיץ האחרון דווח כי עובדים בפנטגון האמריקאי נפלו בפח של מתקפת פישינג מתוחכמת אותה ביצעו האקרים רוסים, שהצליחו לשתול תוכנות זדוניות במערכת המחשבים של משרד ההגנה האמריקני. התוצאה הייתה דליפת תיבות הדואר האלקטרוני של אלפי עובדים בפנטגון – דבר שגרם להשבתה בת כמה ימים של כל מערכת הדואר האלקטרוני ורשת האינטרנט במתחם המסווג – מחשש לפריצה נוספת".

אלא, סייגה, "שהמתקפות אינן מופנות רק לעובדים מהשורה, ופעמים רבות הן מופנות לבכירים ומקבלי החלטות במערכות השונות. הניסיון בעולם מראה שדווקא הגורמים הבכירים במערכות נוטים ליפול בפח שטומנים להם התוקפים. הסיבה לכך כפולה – ראשית, קיימת לאותם בכירים תחושת ביטחון שהם ידעו להימנע ממתקפה, אלא שבתחום הסייבר תחושת הביטחון הזו היא מזויפת. שנית, אותם בכירים חשופים למתקפות ברמת תחכום גבוהה ביותר, הם נחשבים יעד מועדף למתקפה, והמשאבים המושקעים במתקפות המופנות כלפיהם הם גדולים, ובהתאמה גם ההצלחה של מתקפות אלה".

גורם נוסף שיש לקחת בחשבון, ציינה גרוסמן, "הוא שבניגוד למקובל לחשוב, פישינג כבר מזמן אינו כולל תקיפה באמצעות שימוש בדואר אלקטרוני בלבד. מדובר במתקפות משולבות, הכוללות תקיפה של האובייקט במובייל, על ידי התחזות לאפליקציות סלולר, או אפליקציות Web שהמותקף עושה בהן שימוש". היא סיכמה באומרה כי "הדרך להתמודד עם מתקפות מהסוג הזה היא בראש ובראשונה על ידי העלאת המודעות של הארגונים למתקפות, ותרגול מעשי ולאורך זמן של מתקפות פישינג נגד עובדי הארגון. מדובר בפרצה אנושית שלא ניתן יהיה לסגור בהטמעה של אמצעים טכנולוגיים נוספים, אלא על ידי התמודדות עם החולשות וחוסר הידע של הגורם האנושי".