מחקר: ישראל – היעד המוביל בעולם למתקפות סייבר

ישראל הייתה היעד המוביל בעולם למתקפות סייבר ברבעון השלישי של 2020 – כך לפי דו"ח הגנת היישומים שהוציאו באחרונה מעבדות F5. המדינות המותקפות ביותר אחרי ישראל בתקופה זו, בהפרש גדול, היו ארצות הברית, רוסיה והודו.

מקור: מעבדות F5

הדו"ח מבוסס על ניתוח מפורט של נתוני מלכודות דבש, שנאספו מאמצע יולי עד אמצע אוקטובר השנה. מלכודות דבש מחקות מטרות של תוקפים ומאפשרות לחוקרי האבטחה של מעבדות F5 לנטר את ההתנהגות של התוקפים. החוקרים השתמשו ברשת מלכודות הדבש הגלובלית של אפלוקסיו, שמאפשרת לספק מדגם רחב אודות פעילות זדונית ביותר ממיליון קישורים (Logged connections), עשרות אלפי כתובות IP ייחודיות ועשרות אלפי שאילתות בעשרות מדינות שמיוצגות כמטרות וקרוב ל-200 מדינות שמוגדרות כמקורות לביצוע המתקפות.

עוד עולה מהדו"ח כי התעבורה העצומה המרוכזת בנכסים ישראליים התמקדה בפורטלים ניהוליים של וורדפרס – בעיקר למתקפות מסוג Credential stuffing או Brute force. כך, 92% מהמתקפות נגד אתרים שבנויים על וורדפרס התמקדו בישראל.

מקור: מעבדות F5

ניתוח היעדים

שני היעדים הבולטים הם בקשות שרת שמתחברות ל-Web root עצמו, או קבצי robots.txt. שאר 20 מסלולי התקיפה המובילים בדו"ח הציגו שילוב של נקודות תורפה ידועות, כגון מספר חולשות של ביצוע קוד מרחוק ב-PHP, וחולשה של Apache SOLR – או סריקות אחר פורטלים של אימות ליעדים נפוצים, כגון אתרי וורדפרס.

ב-F5 מצאו שרבות מהחולשות הידועות היו נגד התקני אינטרנט של הדברים, כגון נתבים ומצלמות אבטחה. האחרון מבין 20 היעדים המובילים היה סריקות אחר Favicons, המשקף את השימוש הגובר בו להזרקת נוזקות. אמנם, זה נפוץ ביותר נגד אתרי וורדפרס 3, אך השנה, שחקני האיום Magecart השתמשו ב-Favicons כדי להזריק סקריפטים, כחלק מהמגמה ההולכת וגוברת של מתקפות Formjacking4.

בהיבט התזמון, מציינים החוקרים כי כמה כתובות IP של תוקפים נוטות להיות "פטפטניות", ומריצות מתקפות נגד מטרות ברציפות במשך שבועות בכל פעם. אחרות נוטות לצאת לקמפיינים קצרים וממוקדים. מומחי מעבדות F5 מצאו שכתובות ה-IP שהיו בהן פרצי פעילות קצרים וממוקדים נטו למספר רב של יעדים, ואילו מקורות ההתקפה שנטו להיות הדרגתיים יותר לאורך זמן נטו למספר קטן שלהם.

מקור: מעבדות F5

האם המטרה של התוקפים היא באמת ישראל?

לדברי סנדר וינברג, מומחה מחקר איומים במעבדות F5, "ככל שהמתקפות נעשות ממוקדות יותר, התוקפים מודאגים פחות מלהתגלות באמצעות נפח התעבורה בלבד. הדיוק של התעבורה שלהם מספק להם מעט יותר מרחב מבחינת העיתוי, ומאפשר להם לחפש יעדים ומערכות ספציפיים כגון נקודות תורפה של IoT – או נקודות קצה לא מוגנות של API עבור אותו נפח תעבורה נתון".

ארן אראל, מנהל הפעילות של F5 בישראל, אמר כי "יש להמשיך לחקור על מנת לקבוע בוודאות האם התוקפים, שמחפשים לתקוף אתרי וורדפרס ישראליים, הם יריבים גיאו-פוליטיים, המעוניינים להשיג דריסת רגל בתוך המדינה, או שמדובר בשחקני איום שאין להם כל עניין בישראל והם מבקשים להפנות את תשומת הלב אליה בצורה שגויה, כמסך עשן, כאשר המטרות שלהן הן אחרות".

אראל הוסיף כי "אף על פי שישראל היא מדינה מתוחכמת, שמחזיקה בכישרונות רבים בקהילת אבטחת הסייבר, ראינו מתקפות נגד Logins של וורדפרס, שנחשבות למתקפות לא מאוד מתוחכמות – נגד יעשים בארץ. מתקפות אלה הן תזכורת לכך שבכל מקום, אפילו בישראל, יש נקודות תורפה שניתן לנצל על מנת להשיג טביעת רגל, ואנחנו חייבים לחזק קודם כל את תשתיות אבטחת המידע הבסיסיות ביותר שלנו".