אלה החיים? – ארכיון המדינה נפרץ בסייבר

רבותי ההיסטוריה חוזרת: ארכיון המדינה הותקף בסייבר לפני כשלושה שבועות, ולא עדכן על כך. הפריצה בוצעה, ככל הנראה, בידי קבוצת האקרים פרו-פלסטיניים.

בהודעה, שהתפרסמה בלילה שבין יום ה' ל-ו', נכתב כי "החברה שמארחת את אתר האינטרנט של ארכיון המדינה עברה מתקפת סייבר".

"התקיפה משבשת את שירותי החיפוש והעיון בחומר הארכיוני", נמסר, "ואנו עושים מאמצים לחדש את השירות המלא לציבור. אנו מזמינים אתכם לעיין בתכנים הזמינים באתר וליצור עמנו קשר כדי שננסה לסייע".

מתקפת הסייבר הסבה שתי פגיעות: האחת, בסיס הנתונים הכולל את פרטי פניות הציבור אל ארכיון המדינה – שנפרץ. מידע זה כולל כמה פרטים מזהים אודות הפונים לארכיון: שם, כתובת מייל, מספר טלפון, ומהות פרטי הבקשה לחומר הארכיוני. הפגיעה השנייה נוגעת לכך שמידע רב נמחק מאתר האינטרנט. בשלב זה, ככל הנראה, המידע שנפרץ הוא מ-2020 ואילך.

לפי אנשי הארכיון, מידע מסווג לא נפגע ולא דלף החוצה. אנשי ה-IT של הארכיון, בשילוב עובדי החברה המארחת, עמלים זה כמה ימים על השבת החומרים מהגיבוי – לאחר שחזור שלהם.

מומחי אבטחה אמרו לאנשים ומחשבים כי "מדובר בעוד נפגע מאירוע המתקפה שבוצע

על Signature-IT, זהו אירוע שנחשף לפני שלושה שבועות. למארח ולמתארח לא נבנו מערכות הגנה ראויות. לא ברור למה אתר של המדינה לא מתארח במערכי ה-IT של ממשל זמין–תהיל"ה, אלא מעדיף להתארח בחברה חיצונית". מומחים נוספים העריכו כי כל גיבויי האתר נמחקו במסגרת המתקפה.

מומחה אחר הביע תמיהה מה לקח לאנשי הארכיון עד לפרסום הפריצה. "עצם הפרסום באיחור מעיד על כך שאנשי הארכיון לא מבינים באיזו שנה הם חיים. זו 2023, דברים מתפרסמים ברשת במיידי. זהו עוד מקרה, לצערי, בו המדינה כשלה להגן על הנתונים שלה, אבל אלה החיים…".

בשבוע שעבר פרסמנו כי נחשף מסע פריצה בסייבר נגד ארגונים בישראל, שלפי החוקרים הישראלים שגילו אותו, "הוא מהמקצועיים והמתקדמים ביותר שכוונו נגדנו בשנים האחרונות". "הקמפיין", ציינו, "מעלה סימנים מטרידים של התפתחות אקטיבית, והצליח להיטמע בשקט ב-'רעש' של פעולות סייבר קבועות נגד ישראל".

מייצרת גם מלחמת סייבר נלוות. מלחמת ישראל-חמאס. צילום: אילוסטרציה. שאטרסטוק

המקצוענות והיכולות של קבוצת ההאקרים – מתוחכמות במיוחד

את מסע המתקפות בסייבר חשפה אינטזר הישראלית. לדברי ניקול פישביין, חוקרת בחברה, "לא חסרות מתקפות סייבר, בדרגות חומרה שונות, שמכוונות למוסדות ישראליים, במיוחד בעקבות מתקפת החמאס ב-7 באוקטובר. אבל המקצוענות והיכולות שהקבוצה הזו מציגה הן הרבה יותר מתוחכמות".

נראה שהקבוצה המדוברת, שמכונה קלף פראי (WildCard), קשורה למתקפה שנמשכה במשך כמעט שנה נגד חברת החשמל – בין אפריל 2016 לפברואר 2017. חוקרים כינו את המתקפה הזו "אבקת חשמל". פישביין הסבירה כי "הקבוצה חריגה מאוד בנוף שחקני האיומים שפועלים בזירת המזרח התיכון, במיוחד בקרב שחקני האיום שאנחנו רואים בדרך כלל כמי שתוקפים את ישראל". לדבריה, "הטכניקות, הטקטיקות והנהלים של קבוצת התקיפה הם מאוד בשלים, בצורה יוצאת דופן, בנוף האיומים על ישראל".

לאחר המתקפה של החמאס על ישראל ב-7 באוקטובר ובמהלך המלחמה, קבוצות פריצה כיוונו את ה-"נשקים" שלהן לישראל במגוון דרכים, שהמאפיין שלהן היה רמה טכנולוגית נמוכה. בעיקר היו אלה מתקפות מניעת שירות מבוזרות (DDoS), פרסום נתונים שכאילו נקצרו באותו הזמן אולם פורסמו לפני כן, וכן התפארות על השגת גישה למתקני מים ותשתיות קריטיות אחרות – מכמה קבוצות סייבר שפועלות בחסות איראן.

שפע של קבוצות פריצה, חלקן בעלות קשרים לאיראן, חיזבאללה או חמאס, פעלו באזור משך שנים – בשמות כמו Arid Viper ,Gaza Cyber Gang (שנקראה גם Molerats) ו-Plaid Rain. צ'ק פוינט, שגם היא עוקבת אחרי הגרסאות המעודכנות של SysJoker, ציינה כי הנוזקה "נוצלה על ידי קבוצת איום מתמשך ומתקדם (APT) שמזוהה עם חמאס ושממקדת את פעילותה נגד ישראל".