מתקפת הסייבר הענקית: מה אומרים המומחים?

כיצד בוצעה המתקפה שהשחיתה היום (ה') מאות אתרים ישראליים? איזו פרצה הם ניצלו? והאם אלה היו האקרים איראניים או לא?

המתקפה היום (ה'). צילום מסך

מתקפת סייבר שערכו היום (ה') האקרים פגעה במאות אתרים בישראל – של עיריות, עמותות, עסקים ועוד…, לרבות באתר אנשים ומחשבים. ההאקרים, מקבוצת Hackers of savior (האקרי הישועה), תקפו אתרים הכתובים על פלטפורמת וורדפרס ומאוחסנים בחוות השרתים של יו-פרס, והעלו במקומם סרטון שבו הם כביכול תוקפים את ישראל. לסרטון נלוותה הכתובת "הספירה הפוך להרס ישראל נתחל מלפני הרבה זמן" (השגיאות במקור). בין היתר, "זכו" הגולשים לראות אילוסטרציות של תל אביב, ירושלים וחיפה עולות בלהבות.

באתר N-12 דווח בשעות הערב כי בחלק מהמקרים, ההאקרים ביצעו מתקפות כופר ודרשו מבעלי האתרים המותקפים סכומים של עשרות אלפי דולרים, ובחלקם יותר מ-100 אלף דולר. זאת, לאחר שחילקו את המידע שמצוי במערכות של כל אחת מהחברות שהותקפו לתחומים ודרשו מהבעלים תשלום כופר עבור שחרור מידע מכל אחד מהתחומים הללו. לעתים, על פי הדיווח, הם דרשו כופר כפול – עבור שחרור המידע ועבור אי פרסומו והעברתו לגורמים אחרים.

בהודעה שפרסמה יופרס במהלך היום נכתב כי "היום בשעה מוקדמת זיהינו מתקפת סייבר רחבת היקף על אתרים רבים שמאוחסנים אצלנו. מדובר במתקפה מכוונת ורחבה של גורמים אנטי ישראליים (איראניים). זיהינו חולשת אבטחה בתוסף וורדפרס שגרמה לפרצה, אנחנו עובדים בשיתוף פעולה עם רשות הסייבר הממשלתית, מבצעים חקירת אבטחה ומטפלים בכל האתרים. זה אירוע קשה מאוד ואנחנו מבטיחים שנעבור אותו". יצוין כי הפרצה תוקנה בסופו של דבר והאתרים שבו לסדרם, אולם לאחר שעות ארוכות.

גורמים איראניים או פלסטיניים?

בהתחלה, ההערכה הרווחת הייתה שהמתקפה היא המשך של מלחמת הסייבר בין ישראל לאיראן, שבמסגרתה תקפו באחרונה האקרים פרו איראניים בסייבר מתקני מים בישראל. אלא שעל פי הודעה שמערך הסייבר הלאומי פרסם במהלך היום, ההאקרים פגעו בעיקר בעסקים – ולא בגופים ממשלתיים או בתשתיות לאומיות.

מומחים תולים את מועד המתקפה ביום אל קודס – יום ירושלים האיראני, שחל היום (באופן מקרי, לצד יום ירושלים הישראלי). אולם, עדיין לא ברור אם האיראנים מהווים חלק מהמתקפה: חלק מהמומחים – ובכלל זה, כאמור, יופרס – סבורים שלאיראן אמנם יש יד במתקפה, בעוד שבצ'ק פוינט זיהו שהמתקפה היא תוצאה של התארגנות של האקרים מהעולם המוסלמי – ככל הנראה מטורקיה, צפון אפריקה ורצועת עזה.

לוטם פינקלשטיין, מנהל מחלקת מודיעין סייבר, צ'ק פוינט. צילום: יח"צ

לוטם פינקלשטיין, מנהל מחלקת מודיעין סייבר, צ'ק פוינט. צילום: יח"צ

לוטם פינקלשטיין, מנהל מחלקת מודיעין סייבר בצ׳ק פוינט, אמר כי "ההאקרים תקפו אתרים ישראליים, והחליפו את עמוד הבית בתמונות ובכיתוב אנטי ישראלי. מדובר באתרים המאוחסנים על אותו שירות ענן וככל הנראה, זה יצר נקודת כשל יחידה, שהביאה לפגיעה במספר אתרים המאוחסנים בשירות הזה. על אף שמדובר במספר רב של אתרים בשירות הזה, באופן כללי מדובר בהיקף קטן".

גם בועז דולב, מנכ"ל קלירסקיי, אמר שמדובר בהאקרים פלסטינים, והוא אף זיהה אותם עם החמאס. הוא אמר ל-ynet ש-"ייתכן שסייעו להם עוד האקרים מטורקיה וממקומות אחרים. להערכתנו, הנזק קטן יחסית, כי מדובר באתרים של עסקים קטנים ובינוניים. לא מדובר במתקפת סייבר כמו, נגיד, המערכה שבין ישראל לאיראן, אלא תקיפה של אתרי אינטרנט קטנים ובינוניים".

דולב ציין שהאקרים שמשחיתים אתרים כמו אלה שהושחתו הפעם אוספים בזמן המתקפה נתונים על הגולשים שנכנסים אליהם ומנסים לצלם אותם.

בועז דולב, מנכ"ל קלירסקיי. צילום: ניב קנטור

בועז דולב, מנכ"ל קלירסקיי. צילום: ניב קנטור

"לא ייתכן שבעלי אתרים לא ישאלו: כיצד אתם מגנים על האתר שלי?"

לדברי עינת מירון, מומחית לחוסן בסייבר, "ההאקר הצליח לחדור באמצעות שימוש בסיסמה נפוצה. כללית, לא ייתכן שחברות הוסטינג ימשיכו לעבוד עם סיסמאות ברירת מחדל וללא WAF – הגנה ייעודית לאתר האינטרנט, ועוד יותר לא ייתכן שמי שהשקיעו זמן יקר בבניית אתר ובכתיבת תכנים לא ישקיעו חמש דקות לשאול: כיצד אתם מגנים על האתר שלי? זה לא מחייב ידע מוקדם, אלא אחריות בסיסית".

"חשוב להבין", הוסיפה מירון, "התוקף לא ביצע מתקפה על כל אתר ואתר, אלא נהנה מכמות גדולה של אתרים במיקום אחד שאליו הצליח לחדור, כאמור בזכות שימוש בסיסמה נפוצה, העדר הגנה טכנולוגית נוספת ופרצה מוכרת שלא יושם טלאי האבטחה שלה".

"בכל מקרה, אם אתר האינטרנט שלכם מאוחסן כרגע אצל ספק חיצוני, תתקשרו עכשיו לוודא שהוא עושה לכל הפחות את המינימום הנדרש, להגן על הנכס שלכם", המליצה.

עינת מירון, מומחית לחוסן בסייבר. צילום: עזרא לוי

עינת מירון, מומחית לחוסן בסייבר. צילום: עזרא לוי

"תוספת ארסית"

בקבוצת ווטסאפ של מומחי סייבר נכתב כי "התוקפים השתמשו בקובץ שנטען בכל כניסה לוורדפרס בשם wp-includes/version.php. הקובץ הזה מכיל הגדרה של גרסאות שונות, לא משהו רציני. התוקפים הוסיפו לו תוספת, שמזריקה את התוכן שלהם, אבל לפני זה היא עושה משהו ממש ארסי – מוחקת את מסד הנתונים של האתר. לא נחמד בכלל". לדבריהם, תיקון התקלה כולל כמה שלבים: "למצוא מאיפה התוקפים נכנסו, לשחזר את כל ה-wp-includes/version.php ולשחזר את כל מסדי הנתונים".

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים