- אנשים ומחשבים – פורטל חדשות היי-טק, מיחשוב, טלקום, טכנולוגיות - https://www.pc.co.il -

"האירנים השתפרו מאוד ביכולות הסייבר ההתקפי שלהם"

"לאירנים יש ספר הוראות הפעלה מאוד מעניין לתקיפה בסייבר. בעבר אמרנו, וטעינו, שהם לא מתוחכמים בסייבר. אנחנו צופים ועוקבים אחרי הפעילות של האירנים באופן רציף, סביב השעון, ורואים איך הם משתפרים ביכולות הסייבר שלהם, עם ריבוי טכניקות תקיפה", כך אמרה סנדרה ג'ויס, סגנית נשיא בכירה וראשת מערך מודיעין האיומים בפייראיי.

ג'ויס הייתה דוברת המפתח בכנס סייבר דפנס לייב ישראל שערכה ענקית אבטחת המידע היום (ה') במלון דן אכדיה בהרצליה. האירוע נערך בהפקת אנשים ומחשבים, והשתתפו בה מאות נציגים של לקוחות החברה ושותפיה העסקיים. לדבריה, מערך מודיעין האיומים של פייראיי הוא הגדול בעולם בקרב חברות מסחריות.

קצת על הפעילות הסייברית של ה-"רעים" השונים

באשר למדינות, ג'ויס אמרה כי הן "מנצלות את מרחב הסייבר להשיק מתקפות, לרגל, לגנוב קניין רוחני ולהשפיע על דעת הקהל. האירנים עושים זאת תחת מסך חשאיות, לא פעם בהצלחה. מודיעין נאסף לטובת הלוחמים שבשטח, שאין להם די מודיעין, ואוספים אותו כדי להחליט באופן איכותי ולחזות את המצבים מראש".

[1]

"אני מטיילת רבות בעולם ואומרת לכולם את אותו הדבר: עליכם לחשוב כמו התוקף, לחבוש את הכובע של האיש הרע – כדי לנצחו. רק אם תיכנסו לראש שלהם, תוכלו לצמצם את היקף האיומים", אמרה. ג'ויס ציינה ש-"מנכ"ל חברת היי-טק שאומר שלא מעניין אותו מה קורה במגזר הלואו-טק – טועה. עובד זוטר שחושב שאיש לא ירצה לתקוף אותו – גם הוא טועה. התוקף יחפש תמיד לתקוף את החלש בשרשרת, כדי להשיג נגישות לרמות הגבוהות. עובד אחר חושב שיש הפרדה בין המייל הפרטי והארגוני ולכן אין סיכון, מבלי להבין שזה בעצם הצוהר להגיע למחשב שלו. התוקף רואה בכל עובד, כל תחנת קצה וכל ארגון פתח ונתיב לפריצה. התוקפים מתאחדים, מדברים ביניהם, מחליפים ומשתפים מידע. הם רואים בכל אחד פוטנציאל להסבת נזק. אילולא הם היו רשעים – היינו שוכרים אותם".

"כך", הוסיפה, "ראינו קבוצות האקרים מצפון קוריאה, שישבו במערך ה-IT של ארגון בשקט משך שנתיים. קבוצת האיום APT38 ממוקדת כסף, שאחרי שהרעים גונבים אותו, הם שולחים פוגענים בדמות כופרה, שמוחקים את כל העקבות ופוגעים בקבצי נתונים. ככה לא ירדפו אחריהם, כי הקורבן יהיה עסוק בשחזור הנתונים. יש רק נקודת אור אחת: ההאקרים בצפון קוריאה טובים בגניבת כסף וגרועים בהלבנה שלו".

"סין", אמרה ג'ויס, "היא ארץ מעניינת בכל הנוגע לסייבר. הסינים בנו ושלחו בעבר נוזקות עם חתימות, בלי יכולות לזהותן. כשהם הבינו שאנחנו מצליחים לקשר אותם לנוזקות, הם החלו להשתמש בנוזקות מסחריות, כדי להיכנס לארגונים או להדביק בדלתות אחוריות. עוד ראינו האקרים סיניים מחלטרים אחרי שעות העבודה: ביום פורצים בשליחות הממשלה, בערב חוברים לארגוני פשע".

היא הסבירה כי "האירנים פועלים במגוון שיטות חדשות. קבוצת האיום APT34 הייתה מאוד פעילה השנה, חבריה הזדהו כמישהו מאוניברסיטת קיימברידג' ושלחו את הנוזקה דרך לינקדאין. לעתים הם לא שולחים נוזקות, אלא מתחזים לפעילים פוליטיים בארצות הברית, או לאזרחים אמריקניים מהשורה, לטובת השפעה על דעת הקהל. זה היה אמין עד כדי כך שעיתונות אמריקנית הוציאה לדפוס את המכתבים שנשלחו מהתוקף. כך האויב האירני זורע הרס ויוצר חוסר אמון בראשם של אנשי המערב".

בנוגע לרוסים, ג'ויס ציינה שהם נעזרים בקבוצות פשיעה רוסיות גדולות, דוגמת קרבנאק, ובשמה השני – FIN7. "החיבור בין הפושעים להאקרים 'כלכליים' הניב להם מיליוני דולרים. בסוף 2018, חלק מהם נעצרו – אבל הפעילות שלהם נמשכה במשנה מרץ. הם יודעים שעוקבים אחריהם, אז הם מסבכים את החיים לחוקרים בשלל טכניקות". עוד היא דיברה על ההתערבות הרוסית הסייברית בבחירות לבית הלבן ב-2016. "חשפנו אינספור קמפייני השפעה של רוסיה ואירן. הם מזריקים לרשת תכנים, חלקם שקריים", אמרה. "עוד מגמה היא השבתת מערכות חשמל. תוקף רוסי החשיך חלקים מאוקראינה בראש השנה האזרחית לפני כמה שנים והאקרים החשיכו חלקים מיוהנסבורג".

"הכי מדאיג אותי – תקיפת תשתיות קריטיות"

לדברי ג'ויס, "מה שהכי מדאיג אותי הוא פוטנציאל התקיפה של מערכות קריטיות. עקבנו אחרי עובד מחקר במכון לכימיה ומכניקה במוסקבה, שהצליח לפגוע בתשתית קריטית – עד לרמת ההשבתה שלה באופן לא מתוכנן. מקרה מסוג זה, בידיים הלא נכונות, עלול לעלות בחיי אדם".

לסיכום, היא אמרה כי "המענה לכלל האיומים הוא שותפות במודיעין. זו הדרך היעילה ביותר לחשוף את הרעים. שחקני האיום הכי רוצים שניתפס כשהמכנסיים למטה. רק שיתופי פעולה בין מגזרי האקדמיה, הממשלה והמסחרי יביא מענה הולם לאיומים, מודיעין עם תגובה מהירה".