כל מה שרציתם לדעת על אנונימוס סודן

"הוא לא חבשי, הוא סודני" – זו אחת השורות המפורסמות מהמערכון הקלאסי "חידון התנ"ך" של חבורת לול המיתולוגית. במקרה של קבוצת ההאקרים אנונימוס סודן, שתקפה ביום ו' האחרון מטרות ישראליות, המומחים חלוקים, כאשר לפי חלקם ניתן לומר: "הם לא סודנים, הם רוסים".

"ההר הוליד עכבר", קבעו מומחי אבטחה ששוחחו עם אנשים ומחשבים בעקבות אותן מתקפות, שבוצעו לרגל יום ירושלים האיראני. מדובר בקמפיין בינלאומי אנטי ישראלי שנתי בשם OpIsrael#. על אף שהשנה, היקף מתקפות הסייבר היה גדול יותר מאשר בשנים האחרונות, הרי שהשפעתן הייתה כמעט רק תעמולתית, ללא נזק משמעותי.

לפני שנצלול לזהותה של קבוצת ההאקרים ולמהותה, הנה כמה פרטים על המתקפה שלה מסוף השבוע: לאחר שהיא תקפה באחרונה, והשביתה לכמה שעות, את אתרי אוניברסיטאות המחקר בישראל, ביום ו' היא שמה על הכוונת שלה בעיקר את הבנקים ודואר ישראל. המדובר בבנקים לאומי, דיסקונט, מזרחי טפחות, מרכנתיל, בנק ירושלים, וכן שלושה אתרים של קבוצת הבינלאומי: בנק אוצר החייל, בנק מסד והבנק הבינלאומי עצמו.

בצהרי אותו היום הודיע מערך הסייבר הלאומי כי "זוהו ונבלמו ניסיונות לביצוע מתקפות עומסים על אתרי אינטרנט של בנקים בישראל. הודות להגנות החזקות של הבנקים, פרט להפרעות נקודתיות, האתרים ממשיכים להיות זמינים ובאוויר. הניסיונות מסתכמים באתרים השיווקיים ולא קשורים למערכות הפנימיות של הבנקים".

רשימה (חלקית) של האתרים שחברי אנונימוס סודן התהדרו בתקיפה שלהם ביום ו' האחרון. צילום: לכידת מסך

ההודעה של מערך הסייבר אמנם התמקדה בבנקים, שהם גופים קריטיים לפעילות המשק, אולם ההאקרים לא התמקדו רק בהם: על הכוונת שלהם היו גם דואר ישראל (כאמור), חברת החשמל, סלקום, פלאפון, הוט, 012 מובייל ומקורות. רוב האתרים שבו לפעול בתוך זמן קצר. ברוב המקרים המתקפות היו מסוג מניעת שירות מבוזרת (DDoS), שאינה נתפסת כגבוהה ברמה הטכנולוגית, ולא מספקת יכולת לגנוב מידע.

חלק ניכר מהפעילות ההתקפית נגד הארגונים בישראל בוצע, כאמור, על ידי קבוצת האקרים המכנה את עצמה אנונימוס סודן. זו קיבלה על עצמה בטלגרם אחריות על התקיפות באתרי האינטרנט של הדואר והבנקים הגדולים.

רוסים או אפריקנים?

אנונימוס סודן היא קבוצת האקרים שיש ספקות לגבי זהות חבריה. הערכה מודיעינית אחת גורסת כי בסיסה של חבורת פושעי הסייבר הוא ככל הנראה בסודן, כפי שמרמז שמה. לפי הערכה זו, הקבוצה היא חלק מרשת קבוצות אנונימוס שפזורות ברחבי העולם, ושעוסקות בפעילויות האקטיביסטיות ובמתקפות שיבוש במדינות שונות. קבוצות אלה ידועות בפעילויות ה-Op# שלהן – לא רק נגד ישראל. לצד מתקפות DDoS, האנונימיים הסודנים ידועים גם בביצוע מתקפות "חירבוש" (השחתה), ובנטילת אחריות על מה שהם מעוללים בהודעות במדיה החברתית.

חיזוק לסברה כי מדובר בהאקרים מוסלמים, מסודן או מאפריקה, מגיע משורת מתקפות שכוונו כנגד גורמים בדנמרק, בפברואר השנה. חודש לאחר מכן, במרץ, הפצחנים ביצעו מתקפות דומות נגד ישויות צרפתיות, עם פרסומים דוגמת "הקריקטורה הפוגענית של הנביא מוחמד".

ואולי המקור שלה בכלל לא מאפריקה? המניעים והמטרות של אנונימוס סודן לא ברורים במיוחד, ונראה שלרוב, הפעילויות של חבריה מכוונות להעלאת המודעות לנושאים פוליטיים וחברתיים ספציפיים. כך, מאז החלה מלחמת רוסיה-אוקראינה, הקבוצה תומכת במובהק בצד הרוסי, ואף תוקפת לעתים קרובות מטרות אוקראיניות. לכן, למרות שמה, יש חוקרי סייבר לא מעטים המעריכים שאנונימוס סודן היא כנופיית האקרים רוסית, או שלוחה של הקרמלין.

לפי אחד החוקרים, שעוקב אחרי הקבוצה, "הרוסים הקימו מעין 'פורום' שמאחד תוקפים מסוגים שונים – כאלה שהמניע שלהם הוא פלילי-כלכלי וכאלה שהמניע שלהם הוא אידיאולוגי. אמנם המטרה העיקרית שלהם היא סיוע לרוסיה במלחמתה באוקראינה, אבל 'על הדרך' הם תקפו גם ארגונים בישראל ושדות תעופה באירופה".

חיזוק לדעה הזאת נמצא בפעילותם בחודש שעבר: בין ה-16 במרץ ל-23 בו, אנונימוס סודן וקילנט – שיש הגורסים שזו אותה קבוצת האקרים – נטלו אחריות על כמה מתקפות DDoS והשחתת אתרים. היעדים שלהם בסייבר כללו את הפרויקט הממשלתי של לטביה "בית ספר 2030", נאס"א, גופים באוקראינה, בתי חולים, אוניברסיטאות, שדות תעופה וארגונים ציבוריים בצרפת, כולל המשטרה, משרד המשפטים ומשרד הפנים.

סרטון שחברי אנונימוס סודן-קילנט פרסמו ביום ו' בקבוצת הטלגרם שלהם, צילום: לכידת מסך

"בחודשים האחרונים יש טענות לפיהן אנונימוס סודן היא למעשה קבוצה רוסית", אמר לאנשים ומחשבים מומחה סייבר נוסף. "בשלב זה, אין לנו ראיות מוצקות שיכולות לקשר ישירות בין הקבוצה לישויות רשמיות רוסיות, כפי שקורה עם קבוצות תקיפה רוסיות אחרות, דוגמת APT28 ו-APT29". לעומתו, ציין מומחה אחר כי "גם אם לא הצלחנו לחשוף עד הסוף את הקשר בין אנונימוס סודן לבין רוסיה, הרי שככל הנראה, הקבוצה קשורה וממומנת על ידי אחד מגופי המודיעין הרוסי, או שהיא קשורה לסוכנות הרוסית לחקר האינטרנט (IRA), שפועלת מסנט פטרבורג".

בין אם חברי הקבוצה הם רוסים או שלוחי רוסיה, ובין אם הם סודנים או ממדינות אחרות באפריקה, הכלים שלהם, לפחות במתקפות על ישראל בסוף השבוע האחרון, לא היו מהמשוכללים ביותר ב-"שוק" והקמפיין שלהם לא היו קטלני במיוחד. אחד המומחים סיכם זאת היטב ואמר כי "המתקפות כוונו ליצור יותר שיבושים בקרב גופים בישראל מאשר מה שקרה בפועל. גורמי ההגנה הלאומיים, שניתן לכנות אותם 'אנשים טובים', סיכלו את רוב הפעילות".