"האיראנים יגבירו את פעילות טרור הסייבר שלהם נגד ישראל ב-2017"

"האיראנים ממשיכים לנסות ולחדור לארגונים רבים בישראל באמצעות ניסיונות למשלוח דברי דואר עם צרופה נושאת נוזקה, פריצה לחשבונות מייל ושימוש בחשבונות אלה – לצורך בניית אמון של המותקף והדבקתו בנוזקה. האיראנים שכללו בשנה החולפת את יכולות התקיפה שלהם ולהערכתנו, הפעילות שלהם תגבר ב-2017", כך על פי חוקרי ClearSky הישראלית.

בדו"ח שפרסמה חברת הגנת הסייבר, לסיכום תקיפות הסייבר המשמעותיות בעולם ובישראל בשנת 2016, נכתב כי "אחת המגמות שחוותה גידול משמעותי בעולם הייתה כופרה (Ransomware), שהיא ניסיון סחיטה ופשיעת סייבר. להערכתנו, גם ישראל סבלה השנה ממספר רב של תקיפות סחיטה שכאלו. בין הנפגעים היו מוסדות, ארגונים וחברות מכל הסוגים".

תקיפות ספריי

אולם ציינו החוקרים, "מרבית התקיפות המתרחשות בישראל הן תקיפות 'ספריי', כלומר לא ממוקדות בישראל – והן חלק מקמפיין עולמי".

מגמה נוספת של פשיעת סייבר שעלתה השנה, נכתב בדו"ח, "היא גניבת כסף באמצעות התחזות לבכירים – BEC (ר"ת Business Email Compromise). להערכתנו נפגעו השנה כמה עשרות גופים בישראל בתקיפות מסוג זה".

הניסיונות לגניבת מידע על ידי קבוצות תקיפה איראניות, מסווגות על ידי החוקרים כטרור סייבר. ב-2015 הם חשפו את הקמפיין RocketKitten ("החתלתול הרקטי") האיראני, שמטרתו העיקרית גניבת מידע מיעדים בישראל. ב-2016 נמשכו מתקפות אלו.

עוד חשפו אנשי ClearSky בשנה החולפת מתקפות מסוג טרור סייבר לטובת גניבת מידע של החמאס, ובכלל זה מתקפה נרחבת העונה לשם DustySky2. זו הגרסה הבאה של נוזקת DustySky (שמיים מאובקים), המשמשת קבוצת תקיפת סייבר וריגול, לתקיפה מתמשכת של חברות וארגונים בישראל ובמזרח התיכון.

זהו קמפיין תקיפת סייבר מתמשך, שאותר על ידי חוקרי ClearSky בסוף 2015. אז פורסם כי חברי הקבוצה שלחו את הנוזקה העונה לאותו השם לגופים בתעשיית הביטחון בישראל, בנקים וארגונים פיננסיים, ארגונים ציבוריים ויעדים נוספים. הקבוצה העזתית שלחה אי-מיילים ליעדי התקיפה שלה וצירפה אליהם קבצים, ובהם תמונות וידיעות שונות.

החוקרים ציינו כי DustySky היא נוזקה רב-שלבית. ב-2016, כותבים החוקרים, "זיהינו מספר רב של תקיפות המגיעות מעזה ומטרתם גניבת מידע ממספר רב של גורמים ישראליים".

גניבת כסף ומידע

בשנה החולפת התבצעו מתקפות פישינג על ידי תוקפים בודדים ישראלים, רובם ערבים ישראליים, מול מוסדות פיננסיים: מתקפות הדיוג היו מול מוסדות פיננסיים, ומטרתם הייתה גניבת פרטי הזדהות ופרטי אשראי של ישראלים. "מדובר בכמה תקיפות – להערכתנו בין 10-20 קמפיינים – שתוצאתן היתה גניבת פרטים של בין עשרות למאות לקוחות, ונזקים כספיים של עשרות עד מאות אלפי שקלים", נכתב.

על פי החוקרים, "גורם התקיפה המשמעותי ביותר בתחום פשיעת הסייבר בעולם – קבוצות הפשיעה הרוסיות הגדולות, כמו Carbanak, לא פעלו באופן ממוקד נגד חברות בישראל ב-2016. להערכתנו, מגמה זו תימשך גם השנה".

היקף הנזק הכולל מתקיפות סייבר בישראל – הן פגיעה בתפעול והן גניבת מידע – כתוצאה מתקיפות אלו, מעריכים חוקרי ClearSky, היה מצומצם יחסית ב-2016. "מנגנוני ההגנה והניטור אחר תקיפות סייבר של חברות וארגונים עוברים בשנתיים האחרונות תהליך מואץ של הרחבה, שדרוג, הגברת רגולציה והתאמה למתאר האיומים המשתנה".

מאות יעדים הותקפו

החוקרים עקבו במהלך השנה החולפת אחר גורמי התקיפה השונים, וזיהו חמש קבוצות תקיפה הפועלות מול ישראל. שלוש מהן הן קבוצות תקיפה איראניות: RocketKitten ,CopyKittens ו-OilRig. שתי קבוצות תקיפה פעלו כנראה מעזה: Arid Viper ו-Molerats.

"רמתן ההתקפית הטכנולוגית של הקבוצות האיראניות גבוהה יותר מהקבוצות העזתיות" מציינים החוקרים. "במהלך השנה שעברה זיהינו עוד כמה קמפיינים מקבוצות נוספות, שתקפו את ישראל".

מרבית התקיפות, מציינים אנשי ClearSky, "התבססו על מתקפות פישינג ממוקד, במייל נושא נוזקה, או מייל המפנה לאתר מתחזה – שדרכו ניסו התוקפים לגנוב פרטי הזדהות, או להדביק את היעד המותקף. להערכתנו, הותקפו השנה בישראל מאות יעדים על ידי קבוצות אלו".

להערכתנו, סיכמו החוקרים, "מערך הגנת הסייבר הישראלי בשנת 2017 יהיה מספיק חזק, כדי לאתר ולסכל את מרבית מתקפות הסייבר שמטרתן חבלה ושיבוש. אולם, מיתאר התקיפות וכלי התקיפה – משתנים, ועל כן נדרשת גמישות של מערכי ההגנה לצורך היערכות אל מול מתארים אלה".