המתקפה על נמלי תעופה באירופה – כופרה; נעצר חשוד

גבר בשנות ה-40 לחייו נעצר בדרום אנגליה בחשד שהוא קשור למתקפת הסייבר הרחבה, שגרמה לשיבושים בכמה שדות תעופה באירופה – כך מסרו אתמול (ד') גורמי אכיפת החוק.

ביום ו' לפני כשבוע, שדות התעופה הית'רו בלונדון, וכן בברלין ובבריסל, נפגעו משיבושים במערכות הצ'ק אין והעלייה למטוס שלהם – מה שאילץ את צוות הקרקע לטפל בנוסעים ובכבודה באופן ידני, ובמקביל להשתמש במחשבים אישיים ניידים, לשם גיבוי. מאות טיסות עוכבו והמתקפה השפיעה על מאות אלפי נוסעים. השיבושים נמשכו גם היום, אם כי בהיקפים נמוכים יותר. זהות התוקפים לא נמסרה, אבל היו מי שהפנו אצבע מאשימה לכיוונה של רוסיה.

המתקפה כוונה לעבר מערכות IT שהטמיעו את תוכנת Muse של קולינס איירוספייס, שמשמשת שדות וחברות תעופה. התוכנה, שמוטמעת ב-170 נמלי תעופה ומאפשרת לחברות תעופה שונות להשתמש באותם דלפקי צ'ק אין ושערי עלייה למטוס עבור מטוסים וטיסות שונות – נפגעה כתוצאה מהמתקפה.

סוכנות הפשיעה הלאומית של בריטניה, ה-NCA, מסרה כי החשוד נעצר במערב סאסקס שלשום, בחשד לעבירות הקשורות לשימוש לרעה במחשבים. הוא שוחרר על תנאי ובערבות.

"אף על פי שהמעצר המדובר הוא צעד חיובי, חקירת התקרית נמצאת בשלביה המוקדמים ועדיין נמשכת", אמר פול פוסטר, ראש יחידת פשעי הסייבר בסוכנות. "פשעי סייבר הם איום גלובלי מתמשך, שממשיך לגרום לשיבוש משמעותי בבריטניה".

לפי חברת אבטחת הענן האמריקנית נטסקאוט, יותר משמונה מיליון מתקפות סייבר דווחו במחצית הראשונה של השנה, כאשר אירופה היא אחת היבשות שנפגעו בצורה הקשה ביותר. עוד ציינו חוקרי החברה כי בינה מלאכותית מניעה מתקפות סייבר, ומשמשת מדינות והאקטיביסטים (האקרים אקטיביסטים) כדי לפרוץ בחזיתות שונות, ולהפיץ מתקפות בקרב כמה ספקיות אינטרנט – במטרה להימנע מזיהוי.

מתקפת הסייבר – כופרה

חוקרי אבטחת סייבר מאמינים שהמתקפה על קולינס כללה כופרה המכונה HardBit. זו הופיעה בראשונה באוקטובר 2022 ועלתה לאור הזרקורים כמה חודשים לאחר מכן, כשהתברר שפושעי הסייבר מוכנים לנהל משא ומתן על גובה תשלום דמי הכופר – על סמך פוליסת ביטוח הסייבר של הקורבנות.

ההאקרים משתמשים ב-HardBit כדי להצפין קבצים במערכות שנפגעו. הם גם טוענים שהם גונבים נתונים מקורבנות, אך בניגוד לפעולות של קבוצות סייבר אחרות שתוקפות עם כופרות – לא נראה שיש להם אתר שבו הם מפרסמים את הנתונים הגנובים.

ENISA, סוכנות אבטחת הסייבר של האיחוד האירופי, אישרה בערב החג שהשיבושים בשדות התעופה היו תוצאה של מתקפת כופרה, אך לא שיתפה פרטים נוספים.

מומחה אבטחת סייבר ציין כי המתקפה "בסיסית להפליא". לפי חוקרים אחרים, קולינס נתקלה בקשיים בהסרת הנוזקה, שכן מכשירים נדבקו מחדש בעקבות ניסיונות ניקוי שלהם. ה-BBC דיווח השבוע כי ייתכן שיותר מ-1,000 מחשבים הושפעו מהאירוע וכי אנשי ה-IT של קולינס מצאו את ההאקרים בתוך הרשת שלהם – גם לאחר שהם בנו מחדש את המערכות.

מתקפות על קולינס – עוד ב-2023

קבוצת הכופרה הידועה לשמצה BianLian התמקדה בביצוע מתקפות על קולינס עוד ב-2023. אז טענו חבריה שהם גנבו מידע אישי של עובדים, מידע תפעולי וקבצים ארגוניים. BianLian לא הייתה פעילה מאז מרץ 2025, אך קיימת אפשרות שהיא השאירה דלת אחורית על מערכות קולינס במהלך הפריצה ב-2023.

אפשרות אחרת שעלתה היא שההאקרים הידועים לשמצה של ShinyHunters מעורבים בתקיפה. Scattered Spider, המקושרת ל-ShinyHunters, היא קבוצה שהתמקדה בעבר בתעשיית התעופה.

המומחים חלוקים בדעותיהם לגבי זהות התוקפים. חלקם העריכו כי מתקפת הסייבר בוצעה על ידי האקרים בחסות הקרמלין, ואחרים הזכירו שכל הפריצות הגדולות בשנים האחרונות בוצעו על ידי כנופיות פשע, שהמניע שלהן היה כספי.

מתקפות סייבר והשבתות שיבשו את הפעילות בשדות תעופה ברחבי העולם בשנים האחרונות. מגזר התעופה חווה זינוק של 600% בהיקף מתקפות הסייבר בין 2024 ל-2025. לפי ענקית האבטחה הצרפתית ת'אלס, "המגזר, החשוב מבחינה אסטרטגית וכלכלית, הפך למטרה עיקרית למתקפות סייבר".