עקב המצב: כיצד להתגונן ממתקפות סייבר איראניות?

המערכה החדשה בין ישראל לאיראן, שנפתחה אתמול (א'), עלולה, בסבירות גבוהה, לכלול גם מתקפות סייבר – ו-ודאי ניסיונות איראניים לבצע מתקפות קיברנטיות נגד ישראל. זאת, על סמך הניסיון מהסבבים הקודמים בינינו לבין הרפובליקה האסלאמית.

בהודעה שפרסם היום (ב') קרא מערך הסייבר הלאומי לציבור ולארגונים להגביר ערנות ולנקוט בפעולות להגנה בסייבר "לאור המשך מצב החירום".

"במקביל להתפתחויות הביטחוניות, מערך הסייבר הלאומי פועל בכוננות מוגברת וממשיך לעקוב אחר מרחב הסייבר, במטרה לזהות, לסכל ולבלום פעילות סייבר עוינת נגד מדינת ישראל", צוין בהודעה.

מה הניסיון מלמד?

על פי אנשי המערך, "הניסיון מהמערכות האחרונות מראה כי גורמים עוינים פועלים בתקופה זו גם במרחב הסייבר בניסיון לפגוע בארגונים, לאסוף מידע, ליצור לחץ פסיכולוגי ולערער את תחושת הביטחון של הציבור".

במערך הסייבר מציינים את "המגמות המרכזיות שזוהו בתקופות האחרונות, ועלולות להתעצם במערכה הנוכחית: ניסיונות פריצה למצלמות אבטחה פרטיות וציבוריות לצורך איסוף מידע ותצפית; שימוש במידע שדלף בעבר לצורך קמפיינים של השפעה, הפחדה ויצירת מצג שווא של אירועים חדשים; ניסיונות לשבש ולהשבית פעילות של ארגונים באמצעות מתקפות מחיקה (מגב, Wiper) והצפנה; ניצול חולשות אבטחה ידועות במערכות שלא עודכנו; והפצת מסרוני פישינג, הודעות התחזות לגורמים רשמיים, מסרי הפחדה ושיחות טלפון שמטרתן לייצר לחץ, בלבול והטעיה".

במהלך המלחמה האחרונה, שאגת הארי, איראן תקפה בסייבר יעדים במדינות שונות, ובמרכזן ישראל, ארצות הברית ומדינות המפרץ. היא ביצעה זאת על ידי מערך שלם של קבוצות תקיפה בסייבר, כשהמוכרת וה-"רועשת" מביניהן היא קבוצת חנדלה. אחת המתקפות הגדולות שחנדלה ביצעה במלחמה הייתה על סטרייקר. זו הייתה המתקפה הראשונה שהקבוצה ביצעה נגד חברה אמריקנית.

סטרייקר נפגעה ממנה. קבוצת חנדלה האיראנית. צילום: אילוסטרציה. מקור: Shutterstock

בישראל, האיראנים ביצעו כמה קמפייני סייבר, בהם מתקפת פישינג של הודעות SMS שמתחזות לפיקוד העורף ומתקפת השפעה באמצעות פריצה למערכות של רכבת ישראל. במסיבת עיתונאים שכינס במהלך המלחמה אמר תא"ל (מיל') יוסי כראדי, ראש מערך הסייבר הלאומי, כי חל זינוק של 1,700% בתקיפות הסייבר האיראניות על ישראל, וכי 50 חברות נפגעו משמעותית. עם זאת, מחקר של קלירסקיי, שפורסם בלעדית באנשים ומחשבים, הראה שהאיראנים נכשלו בפעילות הסייבר שלהם במהלך המלחמה בחודש מרץ, ושאלה לא גרמו נזק רב.

האם חברי חנדלה שוב מתרברבים?

יצוין כי חנדלה הודיעה הלילה, סמוך לחצות – לאחר הירי האיראני לעבר ישראל, כי היא פצחה במתקפת סייבר על ישראל. חברי הקבוצה, שידועה בפריצות שלה, אך גם, לעתים, בהתרברבות ובפרסום פרטים לא מדויקים או נכונים, לא פרסמו פרטים לגבי היקף הקמפיין ולא דיווחו על נזקים ממנו. הם כתבו כי "המתקפות בזירת הסייבר הן חלק ממאמץ מתואם, שנערך במקביל למתקפות הטילים, המכוונים לתשתיות ולמתקנים בישראל. נדגיש כי המבצע מהווה חלק מקמפיין מתואם, רחב יותר, נגד מטרות ישראליות". עם זאת, אין כל אישוש לטענות של ההאקרים האיראניים.

כך או כך, ההמלצות של מערך הסייבר לארגונים, להתגוננות בפני מתקפות סייבר בכלל וכאלה איראניות בפרט, הן "לבצע באופן מיידי עדכוני אבטחה לכלל המערכות, השרתים, תחנות הקצה, ציוד התקשורת ומערכות ההגנה; לוודא הפעלת אימות רב שלבי בכלל המערכות והחשבונות; לבחון מחדש הרשאות גישה ולצמצם הרשאות שאינן נדרשות; לוודא את קיומם ותקינותם של גיבויים מנותקים מהרשת; להגביר ניטור של מערכות גישה מרחוק, מצלמות אבטחה ומערכות חשופות לאינטרנט; לרענן נהלי חירום, דיווח והמשכיות עסקית; ולגלות ערנות מיוחדת להודעות מייל, מסרונים ופניות חריגות לעובדים, ספקים ומנהלים".