נחשף מסע תקיפה בסייבר נגד ישראל – "מסוכן, מקצועי ומתוחכם"

נחשף מסע פריצה בסייבר נגד ארגונים בישראל, שלפי החוקרים הישראלים שגילו אותו, "הוא מהמקצועיים והמתקדמים ביותר שכוונו נגדה בשנים האחרונות". "הקמפיין", ציינו, "מעלה סימנים מטרידים של התפתחות אקטיבית, והצליח להיטמע בשקט ב-'רעש' של פעולות סייבר קבועות נגד ישראל".

את מסע המתקפות בסייבר חשפה אינטזר הישראלית. לדברי ניקול פישביין, חוקרת בחברה, "לא חסרות מתקפות סייבר בדרגות חומרה שונות שמכוונות למוסדות ישראליים, במיוחד בעקבות מתקפת החמאס ב-7 באוקטובר, אבל המקצוענות והיכולות שהקבוצה הזו מציגה הן הרבה יותר מתוחכמות".

נראה שהקבוצה המדוברת, שמכונה קלף פראי (WildCard), קשורה למתקפה שנמשכה במשך כמעט שנה נגד חברת החשמל – בין אפריל 2016 לפברואר 2017. חוקרים כינו את המתקפה הזו "אבקת חשמל".

קבוצה עם איכות פיתוח מרשימה

בינואר 2022, חוקרי אינטזר זיהו פיסת נוזקה בשם SysJoker, שהרשימה אותם באיכות הפיתוח שלה – הן ב-++C והן בערכת כלים מרובת פלטפורמות. פישביין הסבירה כי "הקבוצה חריגה מאוד בנוף שחקני האיומים שפועלים בזירת המזרח התיכון, במיוחד בקרב שחקני האיום שאנחנו רואים בדרך כלל כמי שתוקפים את ישראל". לדבריה, "הטכניקות, הטקטיקות והנהלים של קבוצת התקיפה הם מאוד בשלים, בצורה יוצאת דופן, בנוף האיומים על ישראל".

ניקול פישביין, חוקרת באינטזר. צילום: יח"צ

בניתוח שפרסמו החוקרים השבוע צוין שבמהלך 2022 ו-2023, חברי קבוצת קלף פראי פרסו נוזקה חדשה, בדומה ל-SysJoker, לאחר שהם פיתחו עבורה גרסה בשפת התכנות Rust. לדברי המומחים, פיתוח שכזה יכול לסייע לתוקפים ביעילות המתקפות, בביצועים חוצי הפלטפורמות, כמו גם בהימנעות מגילוי.

"כשגילינו את הפעולות החדשות של חברי הקבוצה", אמרה פישביין, "שחבריה קידמו משמעותית את יכולות הפיתוח הללו, אימצו את Rust כשפת התכנות החדשה שלהם והטמיעו מחדש פונקציות שדווח עליהן בעבר".

לדבריה, "נראה שחברי קלף פראי מסווים את רכיבי הפריצה שלהם כחבילות פיתוח אתרים לגיטימיות. ייתכן שהקבוצה מספקת את הרכיבים הללו למפתחים ישראלים, באמצעות יישומים טרויאניים, שמופצים בקמפיינים של הנדסה חברתית".

האם הקלפים הפראיים מקושרים לחמאס?

לאחר המתקפה של החמאס על ישראל ב-7 באוקטובר ובמהלך המלחמה, קבוצות פריצה כיוונו את ה-"נשקים" שלהן לישראל במגוון דרכים, שהמאפיין שלהן היה רמה טכנולוגית נמוכה. בעיקר היו אלה מתקפות מניעת שירות מבוזרות (DDoS), פרסום נתונים שכאילו נקצרו באותו הזמן אולם פורסמו לפני כן, וכן התפארות על השגת גישה למתקני מים ותשתיות קריטיות אחרות – מכמה קבוצות סייבר שפועלות בחסות איראן.

בהתחשב ברמת התחכום הגבוהה של הנוזקה שפיתחו חברי קבוצת קלף פראי, נראה שהיא פועלת בחסות או קשורה למדינת לאום, אך החוקרים לא זיהו את זהות המדינה. על פי הניתוח של החוקרים של אינטזר, הקבוצה מכוונת את פעילותה נגד גופים בישראל מזה לפחות שמונה שנים. המשמעות, הסבירו, היא ש-"פעולותיה לא קשורות ישירות לסבב הלחימה הנוכחי, על אף שחברי הקבוצה המשיכו להתמקד בישראל גם לאחר ה-7 באוקטובר".

שפע של קבוצות פריצה, חלקן בעלות קשרים לאיראן, חיזבאללה או חמאס, פעלו באזור משך שנים – בשמות כמו Arid Viper ,Gaza Cyber Gang (Molerats) ו-Plaid Rain. צ'ק פוינט, שגם היא עוקבת אחרי הגרסאות המעודכנות של SysJoker, ציינה כי הנוזקה "נוצלה על ידי קבוצת איום מתמשך ומתקדם (APT) שמזוהה עם חמאס ושממקדת את פעילותה נגד ישראל".

אולם, פישביין נזהרת מלהסיק שקלף פראי קשורה לחמאס או לחיזבאללה. "יכולות הפיתוח שלה הרבה יותר טובות ממה שראינו עד כה אצל גורמי איום המזוהים עם ארגוני טרור אלה", ציינה.

רמת האיום של WildCard – גבוהה יותר מ-Molerats

חוקרים שיערו כי מתקפת אבקת החשמל, שאליה קושרה קבוצת WildCard, הייתה פרי עבודתה של Molerats – קבוצת פריצה מנוסה ויעילה של הפלסטינים, אך פישביין רואה ב-WildCard איום ברמה גבוהה יותר. "מה שאנחנו רואים עכשיו עם WildCard זה איום מתמשך ומתקדם של שחקן איום שיכולות הפיתוח של הנוזקות שלו עולות בהרבה על מה שהיה במתקפת אבקת חשמל", אמרה. "במהלך אותה מתקפה, ההאקרים הפיצו נוזקות באמצעות פרופילים ודפים מזויפים של פייסבוק, אתרי אינטרנט שנפרצו, אתרים מתארחים בעצמם וארגונים מבוססי ענן", כתבו חוקרי קלירסקיי הישראלית במרץ 2017.

"שחקני סייבר מדאיגים יותר מהאיום הממוצע על ישראל"

פישביין אמרה לסיכום כי "WildCard בהחלט פועלת ברמה מתקדמת יותר מאשר גורמי האיום הרגילים שמתמקדים בישראל. יש לשים יותר לב לפעילות הקבוצה: מזה שמונה שנים חבריה מתעקשים לנסות ו-'לרוץ' בסייבר לארגונים במגזרים אסטרטגיים, בלי זיקה ברורה למדינת לאום ומבלי להכריז על הצלחותיהם, כמו שקבוצות האקטיביסטים היו עושות. המקצועיות והכוונה שלהם הופכים אותם למדאיגים יותר מהאיום הממוצע בסייבר על ישראל".

אינטזר הוקמה ב-2015 על ידי איתי טבת, המשמש מנכ"ל החברה ומי שהיה ראש צוות התגובה של צה"ל לאירועי סייבר (IDF CERT); רועי הלוי, סמנכ"ל הטכנולוגיות; ואלון כהן, מייסד משקיע, ומי שהיה בין מייסדי ומנכ"ל סייברארק ואקס פיילז, שנמכרה ליבמ. אינטזר פיתחה טכנולוגיית אבטחת מידע שמשכפלת את דרך הפעולה של המערכת החיסונית הביולוגית לעולם הסייבר, באמצעות "מיפוי גנטי" של הנוזקות. כלומר, כמו שמפתחי תוכנות לגיטימיות מתבססים פעמים רבות על תוכנות קיימות, כך גם מפתחי הנוזקות.