"האינטרנט של הדברים והמובייל מגבירים את הפגיעות"

"המגמות הטכנולוגיות החדשות, ובראשן האינטרנט של הדברים והמובייל מגדילות את פוטנציאל ההיפגעות מהנוזקות, שלעצמן הולכות ומתרבות". כך אמר קוסטין ריאו, מנהל צוות המחקר והניתוח הבינלאומי של מעבדת קספרסקי (Kaspersky Lab).

ראיו התראיין לאנשים ומחשבים בסופו של כנס סייבר שענקית האבטחה הרוסית ערכה, בשיתוף עיריית ירושלים. הכנס נערך אתמול (ב') בבניין העירייה בבירה והשתתפו בו אנליסטים בכירים מתחום אבטחת המידע.

לדבריו, "במגמת האינטרנט של הדברים, כבר כיום ניתן לפרוץ מכוניות. היעד הבא יהיה מכשירים רפואיים". ראיו אמר כי "אנו מבחינים בכמה 'יצרני' נוזקות. מרביתם הם פושעים רגילים, מסורתיים, שהמניע שלהם הוא כספי. לצידם, מעטים הם האקרים הפועלים בחסות ובשליחות מדינות".

"החדשות הטובות", ציין ראיו, "הוא שיש לנו יכולת לזהות את רוב הנוזקות".

נטישה של ההאקרים את המתקפות המבוזרות

לדבריו, אחת המגמות המרכזיות שהחוקרים בראשותו מבחינים, "היא נטישה של ההאקרים את המתקפות המבוזרות ומעבר למתקפות ממוקדות, מהן ניתן לשאוב 'ים' של כסף". מגמה נוספת ציין ראיו, "היא שובן של הכופרות. הסיבה לשיבה שלהן ולכן שהן הפכו לנפוצות, היא כי מפתחי הכופרות למדו משגיאותיהם בעבר, היכולת לפרוץ את מנגנוני הנעילה שלהם פחתה, ובנוסף, הם משתמשים בשיטות תשלום המונעות את הזיהוי שלהם ומאפשרות להם לקבל את כספי הכופר בלא מעקב אחריהם".

כך, תיאר ראיו כיצד קספרסקי ומשטרת הולנד לכדו מבצעי הונאת רשת. לדבריו, "כלים לסחיטת דמי כופר הופכים לאחת מהסכנות הגדולות והמתרחבות של פשיעת הסייבר. סוג זה של קוד זדוני נועל את מחשב הקורבן ומצפין את הקבצים שלו, ודורש כסף בתמורה לשחרור המחשב החטוף. זהו אחד מהאיומים הגדולים כיום למשתמשי הקצה".

הוא תיאר כיצד חוקרי קספרסקי סייעו למשטרת הולנד להתחקות אחר מפתחי כופרה בשם CoinVault. הנוזקה הייתה פעילה ביותר מ-20 מדינות ופגעה ביותר מ-1,500 מערכות הפעלה של Windows. החוטפים דרשו סכום ראשוני של 0.7 ביטקוין (Bitcoin) כדי לשחרר את הקבצים, שווה ערך לכ-1,400 שקלים לפני שנתיים. לאחר ההופעה הראשונית של הנוזקה, מעבדת קסרפסקי החלה לנתח אותו. הוא נעלם במהירות, עד שעלה שוב לפני השטח באפריל 2015. בשל טעויות של המפתחים של הכופרה, חלקם נלכדו.

ככלל, אמר ראיו, "היקף הנוזקות יגדל והן צפויות להיות מתחוכמות יותר מבעבר, עם פוטנציאל נזק חמור יותר. עלויות התקיפה קטנו, והניסיון של ההאקרים השתפר".

מי תוקף את ישראל?

ראיו ציין בדבריו שתי קבוצות האקרים ששמו לעצמן את ישראל כיעד תקיפה מועדף. האחת, Desert Falcon, חבורת האקרים דוברי ערבית מהמזרח התיכון, אשר פזורים על פני כמה ארצות, ועובדים יחד. בשנים האחרונות, אמר, הם תקפו אלפי מערכות IT של ארגונים בישראל, כאשר החוקרים זיהו אותם מבצעים מתקפות פישינג, בשל שגיאות שהיו להם בשפה העברית.

"ההצלחה שלהם מרשימה בהיקפה", אמר ראיו. קבוצת האקרים נוספת שתקפה מטרות בישראל, ציין ראיו, היא Newscaster APT. אלה, אמר, "אינם ערבים והם פועלים בשליחות ובמימון מדינה". אף שראיו סירב לומר כי זהותם של ההאקרים היא איראנית, הרי שהחוקרים חשפו כי אחד מהפעילים המרכזיים בקבוצה היה בעל חשבון דואר בטהרן. פעילות הקבוצה הזו הייתה יותר בתחום שיתוף פעולה מחשבתי ואיסוף מודיעין על יעדים.

ראיו סיים באומרו כי "מדינות נדרשות לשים דגש על אבטחת מידע של תשתיות לאומיות קריטיות. מדובר על מערכות IT בנות שלושה ולעתים ארבעה עשורים. כאשר הן פותחו, איש לא חשב על וירוס, ולכן פעמים רבות יש קושי להתקין על מערכות אלו אנטי-וירוס".