ארה"ב: האקרים פרצו למערכות התרעה לאומיות

במהלך חודש נובמבר 2025 סבלה ארה"ב משני אירועי סייבר חמורים ונפרדים, שפגעו קשות בתשתיות התרעות החירום הציבוריות במדינה. האירועים הללו מדגישים את הפגיעוּת הרחבה של מערכות בטיחות ציבוריות קריטיות.

אירוע הסייבר החמור במיוחד, והמוקדם יותר מבין השניים, כוון נגד מערכת ההתרעה CodeRED של חברת OnSolve (כיום Crisis24), המשרתת מאות רשויות מקומיות ברחבי ארה"ב בהוצאת התרעות בזמן אמת. המתקפה, שסווגה כ"כופרה בסחיטה כפולה" (Double-Extortion), בוצעה על ידי קבוצת Inc Ransom.

🚨 Ransomware attack by 'Inc Ransom' cripples the CodeRED emergency alert system across the U.S. The attack has disrupted a critical public safety tool & compromised user data, forcing the vendor to decommission the legacy platform. #Ransomware #Cyb…

🔗 https://t.co/SuGKHRnW3x

— Cyber Netsec IO (@NetSecIO) November 26, 2025

דרישת הכופר לשחרור CodeRED וניהול המשא ומתן

באירוע הכופר – Inc Ransom טענה כי השיגה גישה לרשת של OnSolve ב-1 בנובמבר 2025, והצפינה את המערכות ב-10 בנובמבר. הקבוצה פרסמה את OnSolve ברשימת ההדלפות שלה ב-22 בנובמבר, לאחר שהמשא ומתן על תשלום הכופר נכשל.

דרישת הכופר ההתחלתית עמדה על 950,000 דולרים, והופחתה לאחר מכן ל-450,000 דולר. Crisis24 הציעה בתגובה תשלום של $100,000, ולאחר מכן העלתה את הצעתה ל-$150,000, אך הצעה זו סורבה על ידי קבוצת הכופרה.

בעקבות כישלון המשא ומתן, הקבוצה איימה למכור את הנתונים שנגנבו ואף פרסמה לכאורה קטעים מהם.

המתקפה הזו הביאה להשבתה של פלטפורמת CodeRED הישנה (Legacy platform) והושפעו ממנה רשויות מקומיות במדינות כמו מסצ'וסטס, קולורדו, טקסס ופלורידה. לדוגמה, משרד השריף של מחוז דאגלס, קולורדו, הודיע על סיום חוזהו עם CodeRED ועל חיפוש פעיל מצידו אחרי מערכת חלופית.

בנוסף להשבתה, נחשפו נתונים אישיים מזהים רגישים (PII) של אלפי משתמשים רשומים, כולל שמות, כתובות פיזיות, כתובות דוא"ל, מספרי טלפון וסיסמאות מוצפנות. Crisis24 הדגישה כי לא נשמרו במערכת פרטי חשבונות בנק או כרטיסי אשראי.

כעת החברה מאיצה את המעבר לדור הבא של הפלטפורמה (CodeRED by Crisis24), הממוקמת בסביבה נפרדת ומאובטחת שלא נפגעה. רשויות מקומיות, כמו העיר או'פאלון, מסרו כי הן עובדות על העברת המידע הקיים לפלטפורמה החדשה.

In a public notice, the FCC said a “recent string of cyber intrusions” targeted multiple radio broadcasters, triggering the Emergency Alert System’s “Attention Signal” — the sound typically used to precede official warnings about tornadoes, earthquakes, and other major threats. pic.twitter.com/LKG64jszo4

— The Edge (@thenexusnp) November 27, 2025

הפריצה למערכת ההתרעה הלאומית – EAS

לאחר אירוע הכופרה הזה, ה-FCC – נציבות התקשורת הפדרלית של ארה"ב – הודיעה במהלך סוף השבוע שהאקרים פרצו גם למערכות התרעה לאומיות נוספות. במקרה זה ההאקרים הצליחו לחדור לציוד תקשורת, ושידרו צלילי חירום מזויפים וחומרים פוגעניים ברדיו.

הפריצה השנייה וה"טרייה" יותר כרוכה גם היא במערכות התרעה בחירום – פריצה זו הביאה ל"סדרת שימושים לא מורשים" באות הייחודי של מערכת ההתרעה בחירום  (EAS – ר"ת Emergency Alert System), אשר שמורה בדרך כלל להודעות על הגעת סופות טורנדו, הוריקנים, רעידות אדמה ואיומי חירום נוספים.

מומחים העריכו כי המתקפה כוונה כנגד מכשירי השמע של חברת Barix השוויצרית, שם התוקפים הגדירו את המכשירים מחדש כדי לשלוט בתעבורת החירום. 

תחנות שידור בטקסס ובווירג'יניה הושפעו. שידוריהן הרגילים נקטעו על ידי צלילי התרעה מדומים, אותות שנועדו למשוך את תשומת לב המאזינים, וזאת בצד תכנים בשפה גסה או תכנים גזעניים.

ה-FCC ציינה כי "מקרים אלה – שסווגו כ-DA 25-996 – אירעו בשל ציוד לא מאובטח". ציוד זה איפשר למשתמשים לא מורשים לגשת לנתיבי שידור בין אולפנים למגדלי שידור מרוחקים (STL). יצוין כי חלק מתחנות השידור כלל לא ידעו על הפריצה, והן גילו זאת רק לאחר שהמאזינים דיווחו על צלילי חירום בלתי צפויים המשולבים עם תוכן גזעני או בלתי הולם שהושמעו באוזניהם.

ה-FCC קראה לתחנות השידור לחזק את אמצעי ההגנה הבסיסיים שלהן. הנציבות הנחתה את התחנות, במיוחד אלו שמפעילות חומרה של Barix, לבצע כמה פעולות: הטמעה של תיקוני אבטחה שהונפקו על ידי היצרן ושדרוג של הקושחה; החלפת סיסמאות ברירת מחדל בחלופות חזקות, ושינוי שלהן באופן קבוע; הגנה על רכיבי הציוד בעזרת פיירוולים ומערכות VPN, המוגבלות למערכות מורשות; מעקב אחרי יומני ציוד, כדי לזהות גישה לא מורשית; וגם עבודה על בסיס שיטות מומלצות, שפורסמו בעבר על ידי מועצת אבטחת התקשורת, האמינות והתאימות, ה-CSRIC.

מומחים ציינו כי משדרים רבים נפרצו מכיוון שכתובות ה-IP שלהם הופיעו במסד הנתונים של שודאן (Shodan). בעקבות זאת, ההאקרים יכלו לסרוק את האינטרנט אחר מכשירים נגישים. חברת Barix אמרה בעבר, ב-2016, שהמכשירים שלה מאובטחים "כאשר הם מוגדרים נכון ומוגנים עם סיסמה חזקה".

הנציבות הוסיפה כי "תצורה נכונה ותחזוקה שגרתית הן פעולות חיוניות, ככל שהתוקפים ממשיכים לבחון את העמידות של תשתיות השידור ברחבי המדינה". ה-FCC הדגישה כי "לתחנות השידור ולשדרנים יש אחריות לוודא ולהבטיח את אבטחת רשתות ומערכות השידור שלהם".

במקרה של חשד לפעילות לא תקינה או פריצה, קראה הנציבות לתחנות השידור ליצור קשר עם יצרני הציוד, להתריע למרכז המבצעים שלה, ולהתלונן במרכז התלונות לפשיעה באינטרנט של ה-FBI.

בכתיבת הידיעה השתתפה גלי פיאלקוב