40 ימים למלחמה: יותר מ-1,200 אירועי סייבר נגד ישראל

מלחמת הסייבר – המתנהלת במקביל למלחמת ישראל-חמאס – שונה במאפיינים שלה ממערכות קודמות בזירת הסייבר הישראלית: מאז פרוץ המלחמה התרחשו יותר מ-1,200 אירועים של תקיפות סייבר מסוגים שונים, מתוכם, כ-40 היוו מתקפות משמעותיות. את התקיפות ביצעו יותר ממאה קבוצות של האקרים אשר מנסות לפעול נגד גופים בישראל, כך עולה מסיכום ממד הסייבר במלחמה, אותו ערכו חוקרי קלירסקיי (ClearSky) הישראלית.

מהמסמך שהגיע לידי אנשים ומחשבים עולה כי "כמות התוקפים הגדולה, שיתוף הפעולה – הייחודי בחלקו בין התוקפים, היקף הפעילות ומשך הזמן – שונים מאירועי סייבר אחרים שהתרחשו בשנים האחרונות בזירה הישראלית".

"מאז פרוץ המלחמה", ציינה גליה מושינסקי, סמנכ"לית תפעול בקלירסקיי, "ראינו הסלמה מהירה בפעילות מול ישראל. בפרק זמן קצר, האקרים בודדים, רבים מאוד, או קבוצות האקרים בעלות אג'נדה אנטי-ישראלית ופרו-איסלאמית, החלו לפעול בסייבר מול ישראל. הם תוקפים ארגונים ישראליים, בעיקר קטנים ובינוניים, ומתגאים בביצוע התקיפה ותוצאותיה ברשתות החברתיות – לרוב בטלגרם וב-X (טוויטר)".

מימין לשמאל: דיוויד סלע, ראש צוות אנליסטים ומחקר Osint בקלירסקיי; וגליה מושינסקי, סמנכ"לית תפעול בקלירסקיי. צילום: עיבוד ממוחשב. מקור: יח"צ

"אין הפרעות מהותיות להתנהלות המשק"

לפי הדו"ח, מרבית המתקפות, 90% מהן, הן מסוג מתקפות מניעת שירות מבוזרות, ,DDoS שהן "לא ערכיות ולא אפקטיביות".

"למרות העלייה המעריכית (אקספוננציאלית) בכמות התוקפים ובהיקף המתקפות, אין הפרעות מהותיות להתנהלות המשק בהיבטי מחשוב ומערכות מקוונות", נכתב בסיכום של קלירסקיי. "הנזק הישיר והעקיף שנגרם לארגונים בישראל בשל מתקפות סייבר, הוא קטן והשפעתו טקטית בלבד".

"ישנן כמה סיבות אפשריות להיקף הפעילות הגדול של הקמפיין", הסביר דיוויד סלע, ראש צוות אנליסטים ומחקר Osint בקלירסקיי. "הסיבה המרכזית היא החשיפה הגדולה של האירועים ברשתות חברתיות וקמפיין תודעה שאותו מובילים חמאס, איראן וקבוצות אידאולוגים תומכי חמאס ואיראן במדינות הערביות והמוסלמיות המקיפות אותנו. השערה נוספת קשורה למספר גדול של אוניברסיטאות באירופה ובארה"ב".

אירוע שמהווה את קו פרשת המים. הפריצה לשירביט.

"סיבות נוספות", ציינו חוקרי קלירסקיי, "הן השמחה לאיד על הכישלון הראשוני של ישראל. מעין 'הצלחנו בראשונה להתמודד עם מדינת ישראל שדיכאה כל ניסיון התקוממות מולה בשנים האחרונות'". לדבריהם, "איראן וחיזבאללה הוסיפו את מתווה תקיפות התודעה בסייבר: עד 2020 מרבית המתקפות של הקבוצות האיראניות היו לשם ריגול ומודיעין והן היו שקטות. המתקפה האיראנית על שירביט היוותה קדימון, 'ירית הפתיחה' למתווה חדש ומתמשך של מתקפות תודעה – שמטרתן יצירת הרתעה והסבת נזק מירבי למותקפות ולחברה הישראלית".

"עוד סיבה", ציינו החוקרים, "היא אובדן חלקי של ההרתעה בסייבר. ההרתעה הישראלית במרחב הסייבר הייתה אפקטיבית מאוד עד 2020 ולמעט מספר מצומצם יחסית של תקיפות תודעה במסגרת OpIsrael – חברות ישראליות כמעט ולא הותקפו על ידי האקטיביסטים. מאז 2020, ובמיוחד לאחר מתקפת שירביט, השתנה אופי הפעילות בזירת הסייבר. הפריצה לשירביט היא 'קו פרשת מים' להבנת כלל התוקפים: ניתן לתקוף ולפגוע במערכות מחשוב 'רכות' ולהשיג הישגים תודעתיים ניכרים במאמץ לא גדול".

מה הם יעדי התקיפה?

"נראה שהאקרים אנטי ישראליים, בהובלת גורמים איסלאמיים וייתכן גם קבוצות תקיפה איראניות, איתרו סוג של 'בטן רכה' לביצוע מתקפות", ציינו החוקרים. "זו כוללת תקיפות של: חברות קטנות ובינוניות; ספקיות אירוח של שרתים שמארחים אתרים לא מוגנים; אוניברסיטאות; בתי חולים; חברות תעשייתיות לא מוגנות; מצלמות רשת הפתוחות לאינטרנט; מערכות ניהול מערכות מחשוב תעשייתיות עם ממשקים פתוחים לאינטרנט".

"מתקפות התודעה", הסבירה מושינסקי, "נועדו להשיג כמה מטרות: העמקת השסע והקיטוב בין קבוצות בחברה הישראלית; הסטת הקשב המדינתי גם למתרחש בארגוני העורף; ניסיון לשבש התנהלות סדירה של העורף; הפחדת הציבור הישראלי; הצגת הישגים למדינות מהם התוקפים פועלים".

לפי החוקרים, "בחודש החולף נחשפו שיתופי פעולה משמעותיים בין קבוצות תקיפה רוסיות לקבוצות איסאלמיות ואיראניות. להערכתנו המעורבות הרוסית בביצוע תקיפות בסייבר מול ארגונים ישראלים – תגבר".

"מרבית התקיפות האפקטיביות", ציין סלע, "שבהן הצליחו תוקפים לחדור למערכי IT של חברות, התבצעו על ידי ניצול חולשות ידועות במערכות מחשב החשופות לאינטרנט והכוללות חולשות בפיירוולים, בדואר אלקטרוני, במערכות הפעלה של שרתים ובסיסי נתונים ומערכות גישה מרחוק. כמה מהמתקפות התאפשרו באמצעות שימוש בהרשאות של עובדים שדלפו לאינטרנט. אי שימוש בהגנת הזדהות רב-שלבית, 2FA – חושף בוודאות את הארגון לתקיפות סייבר".

לפי הדו"ח, "קבוצות התקיפה המדינתיות האיראניות הן הגוף המסוכן ביותר בסייבר. הן מפעילות מאז פרוץ המלחמה כמה קמפיינים במקביל וביצעו עשרות מתקפות – תקיפות שרשרת אספקה, מסעות הרס והצפנה, ניסיונות להשתלט על מערכות SCADA בתשתיות קריטיות, משלוח פישינג לאלפי ישראלים ממערכות מייל ישראליות שהשתלטו עליהם, וכן – משלוח מאות אלפי מסרוני סמס לאזרחים, לשם השפעה או גניבת מידע". לצידם, ציינו, פועלים גם האקרים רוסים, שערכו עשרות מתקפות, והאקטיביסטים איסלאמיים שביצעו מאות תקיפות, רובן חסרות משמעות".

בהיבט האפקטיביות, ציינו החוקרים, "קיים פער גדול בין ההצהרות והאיומים הנשמעים – לבין העשייה בפועל, הנמוכה ברמתה המקצועית-טכנולוגית. למרות זאת, נראה כי רמת ההרתעה הישראלית נמוכה, כי קבוצות רבות מנסות לתקוף את ישראל".

החוקרים ערכו מיפוי של השחקנים המרכזיים הפועלים בזירת הסייבר מול ישראל, לפי גובה הסיכון: קבוצות תקיפה איראניות מדינתיות, קבוצות של החיזבאללה ורמזים לתקיפות של החות'ים, קבוצות פרוקסי/פשיעה רוסיות, קבוצות של החמאס/הפלסטינים, וכן – קבוצות האקטיביסטים רבות ושונות מכל העולם הערבי, בעיקר ממלזיה ואינדונזיה".