שנת תשפ"א הייתה טובה בסייבר – להאקרים

שנת תשפ"א נעטפה במגפת הקורונה, ובשפע איומי ואירועי סייבר, גם בזירה המקומית: עוד ועוד כופרות, כופרות כ-שירות, האקרים סינים ואיראנים, וגם הפלסטינים לא טמנו את ידם בצלחת האיומים והמתקפות. והיה גם תחקיר ענק נגד NSO, שגרם שוב לעיסוק בתוכנת פגסוס של החברה ובהשפעותיה – ולמבוכה דיפלומטית של ישראל מול צרפת.

ממסמך פנימי של קלירסקיי, שהגיע לידי אנשים ומחשבים, עולה כי בתשפ"א, קבוצות פשיעת הסייבר החלו להשתמש גם בישראל בתקיפות המבוססות על ניצול חולשות בשרשרת האספקה וניצול חולשות יום אפס, כשהן מחקות פעילות של קבוצות תקיפה מדינתיות. לפי החוקרים, "היו כמה תקיפות סייבר משמעותיות על חברות בישראל, ביניהן תקיפות כופרה על ידי גורמי פשיעה מזרח אירופיים למטרת רווח כספי; קמפיין סחיטה ותודעה של הקבוצה NetWorm נגד כמה חברות ישראליות, ככל הנראה כהמשך של קמפיין Pay2Key האיראני; קבוצת ארזי הלבנון (Cedar Lebanese) של החיזבאללה תקפה וחדרה לחברות רבות במזרח התיכון; תקיפות מתמשכות על בורסות הקריפטו בישראל, שנערכו על ידי מגוון גורמים, ובהם קבוצת לזרוס הצפון קוריאנית; וקמפיין OpIsrael המסורתי, שנכשל גם השנה, אך הפעילות ההאקטיביסטית (הלחם של המילים האקרים ואקטיביסטים – י"ה) הסבה נזק מסוים לחברות ישראליות".

בועז דולב, מנכ"ל קלירסקיי. צילום: ניב קנטור

אלה עיקר אירועי הסייבר על ישראל, וכאלה המיוחסים לישראל, שבוצעו ו/או פורסמו בשנה שתסתיים מחר (ב'), לפי חודשי השנה (בחודשים שלא מצוינים לא אירעו אירועים משמעותיים):

חשוון

סנז ישר, חוקרת ראשית בצוות המחקר ומודיעין האיומים של פייראיי ישראל, אמרה כי "בשנים האחרונות, מערך הסייבר האיראני צמח והתפתח למעצמת סייבר. הם תוקפים לא רק במפרץ, אלא גם בישראל ובחו"ל".

סנז ישר, חוקרת ראשית בצוות המחקר ומודיעין האיומים של פייראיי ישראל. צילום: ניב קנטור

בין הקבוצות ציינה ישר את TEMP.ZAGROS, שקרויה גם Muddy Water. "זו הקבוצה הכי מתקדמת", אמרה. "במתקפה שהם ביצעו על גוף תקשורת באפגניסטן זיהינו כלי תקיפה ובו מילים ומשפטים בעברית, עם ציטוטים של בנימין נתניהו, גולדה מאיר והרב כדורי. זאת, במטרה להסיח את דעת המותקפים וחוקרי האבטחה, ולייחס את המתקפה לישראל. הקבוצה ערכה מתקפות רבות, חשאיות ואגרסיביות נגד המדינות וסמלי השלטון של המדינות שמעורבות בתהליך השלום והנורמליזציה בין ישראל למדינות המפרץ". לדברי ישר, "הם הפיצו ציוץ מזויף מטעם מהדורת ישראל היום באנגלית, שלפיה הנשיא דונלד טראמפ הובהל לבית החולים. משעשע לקרוא פייק ניוז על מי ששכלל את הפייק ניוז לאמנות".

כסלו

יחידה להב 433 של המשטרה פתחה בחקירה של המתקפה על שירביט, שבמסגרתה דלף מידע רב של לקוחות ועובדי החברה. הפריצה בוצעה על ידי קבוצת ההאקרים BlackShadow, שאיימה שאם שירביט לא תשלם לה דמי כופר בסך ארבעה מיליון דולר בביטקוין, היא תפרסם עוד ועוד מסמכים, ותמכור אותם לצדדים שלישיים. הקבוצה איימה וקיימה – חלקית.

ד"ר הראל מנשרי, ראש תחום סייבר במכון הטכנולוגי חולון (HIT), אמר שאותה מתקפה היא לא אירוע סייבר שמטרתו כספית. לדבריו, הכסף היה מסך עשן, והתוקפים רצו להוציא מידע ולרגל בסייבר – ועשו זאת במידה מסוימת של הצלחה.

עוד בכסלו פורסמה מתקפת סייבר על בית התוכנה עמיטל דטה, שבה נפגעו כ-40 מהלקוחות, כולל חברות שמייבאות לארץ את חיסוני הקורונה, שבדיוק החלו להגיע לישראל. אוריין, שפועלת בתחום השירותים הלוגיסטיים ושהינה לקוחה של עמיטל, הודיעה על התקיפה לבורסה. עמיטל דטה היא בית תוכנה שיושב בראש העין ומתמחה בפיתוח ושיווק פתרונות מחשוב לארגונים העוסקים בסחר בינלאומי.

הרמטכ"ל, רא"ל אביב כוכבי. צילום: דובר צה"ל צילום: דובר צה"ל

הרמטכ"ל, רא"ל אביב כוכבי, התייחס בחודש זה לסייבר ואמר כי הוא "מרחב הלחימה המשמעותי ביותר שהשתנה השנה. ביצענו השנה מבצעים התקפיים רבים בסייבר". הייתה זו הפעם הראשונה שבה רא"ל כוכבי התייחס לנושא הסייבר ההתקפי – אם כי מטבע הדברים הוא לא אמר באילו מבצעים מדובר.

טבת

בחודש זה פרסמה מיקרוסופט שגם חברות וארגונים בישראל נפגעו ממתקפת סולארווינדס, שהיקפה האמיתי – והגדול – פורסם אז. עיקר הנפגעים היו בארצות הברית, כולל גופים פדרליים. את המתקפה ערכה קבוצת ההאקרים APT29 הרוסית, המקורבת לקרמלין ולגופי ביון רוסיים, והיא בוצעה על שרשרת האספקה של ארגונים שהשתמשו בתוכנת ניהול הרשת אוריון של סולארווינדס.

ניסן

ההאקרים מקבוצת Black Shadow היכו שנית בין פורים לפסח: אחרי שתקפו את שירביט הם ערכו מתקפת סייבר נגד ק.ל.ס. קפיטל, חברת מימון רכב. הפצחנים, ככל הנראה איראנים, פרצו למערכות המחשוב שלה, גנבו מסמכים בהיקף נרחב ופרסמו מאות מהם.

אייר

בחודש זה נחשפו פרטים חדשים על חיסולו של קאסם סוליאמני, מפקד כוח קודס של משמרות המהפכה האיראניים, שנהרג על ידי כוחות ארצות הברית בינואר בשנה שעברה. זאת, במסגרת תחקיר שפורסם ביאהו ניוז ושעסק, בין היתר, במעורבות ישראל באיכון הטלפונים הסלולריים של המנהיג האיראני. על פי ממצאי התחקיר, בשעות שטרם חיסולו, סולימאני החליף שלושה טלפונים סלולריים, וישראל סייעה לביון האמריקני לאתר את מיקומו על ידי איכון הטלפונים שלו. הביון הישראלי "ישב על הזנב" של אחד מהשליחים של סולימאני, שהיה אחראי לרכוש עבורו טלפונים נקיים מהאזנות ומרוגלות – וביצע את הרכישות מחוץ לאיראן. כך הצליחו להדביק את אחד ממכשירי הטלפון של סולימאני ברוגלה ולעקוב אחריו.

קאסם סולימאני. צילום: מתוך ויקיפדיה צילום: מתוך ויקיפדיה

סיוון

מבצע שומר החומות כלל כמה אירועים הקשורים להיבט הסייבר במלחמה שבין ישראל לחמאס. המרכזי שבהם הוא חיסולו של ג'ומעה טחלה, ראש מערך הסייבר ומוביל פרויקט שיפור הטילים של ארגון הטרור, שחוסל, יחד עם עוד בכירים ב-"פורום המטה הכללי" של החמאס, בפעולה משותפת של צה"ל והשב"כ. טחלה החזיק בתיק המחקר ופיתוח בחמאס והיה יד ימינו של מוחמד דף. כמו כן' מטוס קרב של צה"ל תקף במהלך המבצע אתר שאוחסן בו ציוד סייבר של המודיעין הצבאי של החמאס, בצפון רצועת עזה.

ג'ומעה טחלה, ראש מערך הסייבר המחוסל של החמאס. מקור: דובר צה"ל

על פי קלירסקיי, "החמאס מנסים לתקוף, אבל ברמה שלהם – השבתת אתרים, חדירה לטלפונים, גניבת מידע מחיילים ופגיעה בספקי אירוח ישראלים – ועושים זאת, אבל ברמה בינונית. ההאקרים של החמאס מנסים לייצר שיתופי פעולה בסייבר עם גופים בטורקיה, טוניסיה ואלג'יריה, כדי להגביר את היכולות שלהם". לדברי החוקרים, "חלה ירידה חדה בתקיפות החמאס, בעקבות חיסול מרבית תשתית הסייבר שלו בשומר החומות. זאת, לצד עלייה חדה בכמות התקיפות שערכו האקטיביסטים אסלאמיים תומכי המאבק בישראל".

אב

בחודש זה פורסם התחקיר הבולט ביותר שבוצע עד כה על חברת הסייבר ההתקפי הישראלית NSO.

בתחקיר עלו ממצאים נוספים על כאלה שעלו בעבר, שלפיהם התוכנה שלה, פגסוס, משמשת למעקב אחרי פעילי זכויות אדם, עיתונאים, אנשי עסקים ופוליטיקאים. לפי התחקיר הבינלאומי, שמשותף ל-17 ארגוני חדשות מכובדים בעולם, פגסוס שימשה לפריצה לטלפונים חכמים רבים של קורבנותיה, ואף הייתה מעורבת בחיסולו של העיתונאי מתנגד המשטר הסעודי ג'מאל חאשוקג'י. בין היתר, פורסמה רשימה של אישים שנטען שאחריהם עקבה התוכנה, שבין הנכללים בה נמצאים נשיא צרפת, עמנואל מקרון, מלך מרוקו, מוחמד השישי, וראש הממשלה לשעבר של לבנון, סעד אל חרירי. את התחקיר הבינלאומי הוביל ארגון אמנסטי אינטרנשיונל, בשיתוף ארגון פורבידן סטוריז, והיו שותפים לו יותר מ-80 עיתונאים מ-10 מדינות.

עמנואל מקרון, נשיא צרפת. צילום: BigStock צילום: BigStock

משרד הביטחון החל בחקירת הפרשה ושר הביטחון, בני גנץ, אף טס לארמון האליזה בפריז כדי "להרגיע" את מקרון.

NSO הכחישה את ממצאי התחקיר וטענה שהוא מלא בנתונים לא נכונים. כמו כן, הם חזרו על הטענה שלפיה התוכנה שלה משמשת למניעת פשע ופיגועי טרור.

בחזרה למלחמת הסייבר ישראל-איראן: באב פורסם שלא ברור האם ישראל עומדת מאחורי מתקפת הסייבר על מערכת הרכבות האיראנית, שבוצעה באותו החודש. המתקפה הביכה מאוד את השלטון באיראן, משום שהיא הביאה לכך שעל שלטי הרכבות בתחנות בטהרן הופיעו הכתובות: "עיכובים בשל מתקפת סייבר" ו-"לפרטים נא להתקשר לטלפון שמספרו 64411" – המספר של המנהיג העליון של איראן, עלי חמינאי.

אלול

בחודש האחרון של השנה העברית פרסמה פייראיי שסין הובילה מתקפת סייבר רחבת היקף נגד עשרות ארגונים ישראליים, כולל גופי ממשל. מדובר במתקפת הסייבר הסינית הנרחבת הראשונה שנצפתה נגד ישראל, והיא מהווה חלק מקמפיין תקיפת סייבר רחב שכוון כלפי שלל מדינות. שחקן האיום הסיני תקף גופים ממשלתיים בישראל, חברות IT והיי-טק, וכן ספקיות טלקום. החוקרים העריכו שהקבוצה קשורה למשרד לביטחון פנים הסיני.

רגע לפני סוף תשפ"א, קלירסקיי חשפה שקבוצת התקיפה האיראנית החתלתולים הסיאמיים, המכונה גם Hexane או Lyceum, תקפה חברות ישראליות רבות, כולל חברות IT. במאי השנה הקימה הקבוצה תשתית התחזות לחברת מחשוב ותקשורת ישראלית, על מנת לפתות עובדי חברות IT בישראל, שמעוניינים להחליף ולשדרג את מקום עבודתם – וכך הודבקו המחשבים שמהם הם פנו לקבלת פרטים על הצעות העבודה המפתות. ביולי 2021 החוקרים זיהו גל נוסף של תקיפות, שהתבצע על חברות ישראליות.