האם איראן פרצה לאתרים ישראליים כדי לתקוף את הפרלמנט הגרמני?

אתר ג'רוזלם פוסט (Jerusalem Post) ואתרים ישראלים נוספים נפגעו ממתקפת סייבר איראנית, כך על פי חקירת Clearsky הישראלית.

בסוף השבוע הודיע המשרד הפדרלי הגרמני לאבטחת מידע, BSI, כי אתר האינטרנט של העיתון הישראלי חווה מתקפת סייבר שתוצאתה היתה הדבקת חברי פרלמנט גרמנים בנוזקה.

בשנת 2015 חווה הבונדסטאג, הפרלמנט הגרמני, מתקפה קיברנטית. בעקבותיו הוא אימץ כמה מכלי ההגנה של ה-BSI, אותם הקים המשרד לטובת הגנה על רשתות מחשבים ותקשורת של הממשל הפדרלי הגרמני.

בתחילת 2017, ה-BSI, כארגון הגנת הסייבר הגרמני הלאומי, התבקש על ידי אנשי הבונדסטאג גרמני, לבדוק את מצב ההגנה של הרשת שלו, בשל בעיות בתעבורת הרשת.

פגיעה והדבקה של חברי פרלמנט

לבקשת הבונדסטאג הגרמני, BSI ניתח את הבעיות הללו בתעבורת הרשת. "במהלך הבדיקה, שהסתיימה, לא נמצאו בעיות ברשת הבונדסטאג, אולם עלה כי אתר האינטרנט של ג'רוזלם פוסט חווה מתקפה". ההודעה, יש לציין הייתה מוזרה משהו, ובכל מקרה, תוצאת המתקפה הייתה פגיעה והדבקה של כמה חברי פרלמנט, אשר גלשו לאתר ג'רוזלם פוסט.

חוקרי Clearsky עקבו אחר פעילותם של התוקפים האיראנים מאז אוקטובר 2016 ועד סוף ינואר 2017. המעקב העלה כי הג'רוזלם פוסט, כמו גם כמה אתרי אינטרנט ישראליים נוספים – וכן אתר אינטרנט אחד ברשות הפלסטינית – הוגדרו כיעדי תקיפה על ידי אחת מקבוצות התקיפה האיראניות – בשם CopyKittens.

"בהתבסס על מסגרת הזמן ועל אופי המתקפות, אנו מעריכים בוודאות גבוהה שההודעה של BSI מתייחסת לאותן תקריות", כתבו חוקרי ClearSky.

על פי החוקרים, מדובר במתקפה שבמסגרתה, בכל אחד מהאתרים שנפגעו, התוקפים החדירו שורה אחת של קוד Javascript לספריית Javascript קיימת (ספריה מקומית, אשר נטענת מהשרת המארח את האתר שנפגע). קוד זה טען את Javascript מדומיין זדוני שהיה בבעלות התוקפים. הטענת הנוזקה נעשתה תוך שימוש בשמות הדומים לשמות של אחת הספריות הנפוצות ביותר של Javascript.

לפגוע באתרים באמצעות נוזקה

אתרים נוספים שהותקפו, בנוסף לג'רוזלם פוסט, היו של מעריב (המצוי בידי אותם בעלים), אתר ארגון נכי צה"ל, משרד הבריאות הפלסטיני, ותת-אתר, של דף מידע אישי, באתר אוניברסיטת תל-אביב.

במהלך הניטור אחר קבוצות האקרים הפורומים סגורים, חוקרי ClearSky מצאו כי באוקטובר 2016, נמכרה גישה ללוח הניהול של שרת של חברת אירוח ישראלית. שרת זה אירח, בין השאר, את ג'רוזלם פוסט ואת מעריב. "אנו מעריכים בוודאות בינונית, כי התוקפים רכשו גישה לשרת, על מנת לפגוע באתרים באמצעות הנוזקה", ציינו החוקרים.

בינואר השנה פרסמה חברת הגנת הסייבר דו"ח, שפורסם בלעדית באנשים ומחשבים, בו נכתב, בין השאר, כי "האיראנים ממשיכים לנסות ולחדור לארגונים רבים בישראל באמצעות ניסיונות למשלוח דברי דואר עם צרופה נושאת נוזקה, פריצה לחשבונות מייל ושימוש בחשבונות אלה – לצורך בניית אמון של המותקף והדבקתו בנוזקה. האיראנים שכללו בשנה החולפת את יכולות התקיפה שלהם ולהערכתנו, הפעילות שלהם תגבר ב-2017".

ניסיונות לגניבת מידע על ידי קבוצות תקיפה איראניות, סווגו על ידי החוקרים כטרור סייבר. ב-2015 הם חשפו את הקמפיין RocketKitten ("החתלתול הרקטי") האיראני, שמטרתו העיקרית גניבת מידע מיעדים בישראל. ב-2016 נמשכו מתקפות אלו.

מאות יעדים הותקפו

החוקרים עקבו במהלך 2016 אחר גורמי התקיפה השונים, וזיהו חמש קבוצות תקיפה הפועלות מול ישראל. שלוש מהן הן קבוצות תקיפה איראניות: CopyKittens – שערכה את המתקפה האחרונה, RocketKitten  ו-OilRig. שתי קבוצות תקיפה פעלו כנראה מעזה: Arid Viper ו-Molerats.

"רמתן ההתקפית הטכנולוגית של הקבוצות האיראניות גבוהה יותר מהקבוצות העזתיות" מציינים החוקרים. "במהלך 2016 זיהינו עוד כמה קמפיינים מקבוצות נוספות, שתקפו את ישראל".

מרבית התקיפות, מציינים אנשי ClearSky, "התבססו על מתקפות פישינג ממוקד, במייל נושא נוזקה, או מייל המפנה לאתר מתחזה – שדרכו ניסו התוקפים לגנוב פרטי הזדהות, או להדביק את היעד המותקף. להערכתנו, הותקפו השנה בישראל מאות יעדים על ידי קבוצות אלו".