דו"ח: עלייה ניכרת במתקפות הסייבר האיראניות נגד ישראל

ב-2021 חלה עלייה ניכרת בכמות התקיפות של קבוצות סייבר איראניות על חברות וארגונים בישראל – כך עולה מדו"ח של חברת הסייבר הישראלית קלירסקיי, שהגיע בלעדית לידי אנשים ומחשבים. על פי הנתונים, מאות חברות ישראליות הותקפו וחלקן חוו מגוון פגיעות, ביניהן הדלפה, נזק וחבלה. מטרותיהן העיקריות של התקיפות האיראניות היו ריגול, הרס, סחיטה כספית ותודעה.

חוקרי קלירסקיי ציינו כי "התקיפות האיראניות היו המשמעותיות והניכרות ביותר בישראל ב-2021. הן גרמו לשינוי משמעותי באופן הפעולה של חברות וארגונים רבים בישראל, שהרחיבו את מנגנוני ההגנה שלהן". לפי החברה, "הגידול בכמות המתקפות ב-2021 מתח את היכולות של מערכי ההגנה הארגוניים בישראל כמעט עד הקצה. רצף האירועים הקשה על צוותי ההגנה בסייבר והפך עבורם את 2021 לאתגרית במיוחד".

המתקפות העיקריות

האיראנים ביצעו בשנה החולפת שורה של מתקפות סייבר נגד יעדים ישראליים, לרבות בשוק הפרטי, שמרביתן לא פורסמו לציבור. מבין אלה שכן, אחת המתקפות שתפסו כותרות רבות השנה היא זו שביצעה באוקטובר האחרון קבוצת Black Shadow, המקושרת למשטר בטהרן, נגד חברת אחסון השרתים סייברסרב. הנפגעת העיקרית ממתקפה זו הייתה אפליקציית ההיכרויות לקהילה הלהט"בית אטרף, שהורדה מהאוויר ומאז לא חזרה.

בנובמבר האחרון הוגש כתב אישום נגד עובד ניקיון בביתו של שר הביטחון, בני גנץ, בטענה שניסה לרגל לטובת איראן על ידי פנייה לקבוצת Black Shadow.

חודש לאחר מכן, בדצמבר, פורסם מחקר של סימנטק, שלפיו איראן ביצעה קמפיין ריגול נגד חברות שירותי IT וחברות טלקום בישראל, כמו גם במדינות אחרות במזרח התיכון ובאסיה בכלל. כאן, הקבוצה האחראית למתקפה הייתה Temp.Zagros, שמשתמשת גם בשני כינויים אחרים: Seedworm או Muddy Water.

האיראנים ינצלו את כל מה שהם יכולים כדי לתקוף את ישראל בסייבר – גם את Log4j. צילום: BigStock

עוד באותו החודש, צ'ק פוינט פרסמה שאיראן ניצלה את החולשה החמורה Log4j, שבחודשים האחרונים מטרידה מאוד את מומחי הסייבר ואחרים בעולם, על מנת לתקוף שבע מטרות ממשלתיות ועסקיות בישראל. מערך הסייבר הלאומי אף הוציא אז התרעה דחופה, שמזהירה ארגונים מפני הפגיעות החמורה בתוכנת הקוד הפתוח החינמית.

מיקרוסופט גילתה שבין החודשים יולי לאוקטובר תקפו האקרים איראניים שורה של קבלני ביטחון, בין היתר בישראל. הם ניסו לחדור לחשבונות Office 365 של יותר מ-250 משתמשים בתוכנה של הענקית מרדמונד. אותה החברה ציינה בדו"ח שפרסמה באוקטובר כי מספר מתקפות הסייבר של איראן נגד ישראל גדל פי ארבעה בשנה שלפני כן.

חוקרי סייבריזן חשפו באותו החודש את קבוצת התקיפה האיראנית MalKamak, שתקפה יעדים שונים בישראל, כמו גם במדינות אחרות במזרח התיכון, בארצות הברית ובאירופה, וכן ברוסיה. היא ניסתה לרגל אחרי אותם יעדים ולגנוב מהם מידע.

דו"ח אחר של קלירסקיי, מחודש אוגוסט, עסק אף הוא בתקיפות האיראניות נגד ישראל – הפעם בכאלה שביצעה קבוצת החתלתולים הסיאמיים, שאותה זיהתה החברה שלושה חודשים לפני כן. הקבוצה הקימה תשתית התחזות לחברת מחשוב ותקשורת ישראלית, שכללה אתר מתחזה להגשת הצעות עבודה, כולל פרופילים בלינקדאין של עובדים ממחלקות משאבי האנוש של החברה. זאת, על מנת לפתות עובדי חברות IT בישראל, המעוניינים להחליף ולשדרג את מקום עבודתם – ולהדביק את המחשב, שממנו הם פונים לקבלת פרטים על הצעות העבודה המפתות.

בחודש מאי האחרון זיהה מערך הסייבר קמפיין תקיפה נגד ישראל של קבוצת סייבר איראנית מוכרת אחרת – Pay2Key. זאת, לאחר שקודם לכן תקפה הקבוצה חברות ישראליות כגון התעשייה האווירית והבאנה לאבס.

איראן לא לבד: גם קבוצות ממזרח אירופה תוקפות את ישראל

חוקרי קלירסקיי בחרו במתקפת הסייבר על בית חולים הלל יפה בחדרה, שאירעה באוקטובר האחרון, כ-"תקיפה המפורסמת המשמעותית ביותר בישראל ב-2021". עם זאת, לא פורסם מהו מקור המתקפה, שהשביתה את מערכות המחשוב של בית החולים לכמה ימים.

"מתקפת הסייבר המשמעותית ביותר נגד ישראל בשנה האחרונה". בית החולים הלל יפה. צילום: דוברות בית החולים, מתוך ויקיפדיה

"פרט לאיראן", ציינו החוקרים, "היו ב-2021 מאות מתקפות כופרה על חברות ישראליות, רובן על ידי קבוצות פשיעת סייבר ממזרח אירופה – Conti ,REvil ו-Defray777. בנוסף, מאות מתקפות פישינג נערכו נגד לקוחות של בנקים וחברות אשראי, עם נזק כולל של עשרות מיליוני שקלים. המתקפות התבצעו על ידי האקרים בודדים או קבוצות קטנות מישראל, הרשות הפלסטינית, עזה וטורקיה".

אלא שלדבריהם, "מרבית התקיפות המוצלחות ב-2021 בישראל היו על חברות קטנות ובינוניות, שסובלות משלל בעיות, ביניהן מחסור בכוח אדם ומערכות אבטחה שלא מנוטרות בקביעות".

"התקיפות הסיניות – המתוחכמות ביותר נגד ארגונים בישראל"

עוד ציינו החוקרים כי "הממשל הסיני זיהה בישראל כמה מגזרים שיכולים להועיל למחקר ולפיתוח של טכנולוגיות סיניות חדשות, בעיקר בתחומי הבריאות והבטחון. הסינים הפעילו מתקפות ריגול, חלקן מתוחכמות וייחודיות, כדי לגנוב מידע. אנחנו מסמנים את התקיפות סיניות כמתוחכמות ביותר שהתבצעו ב-2021 נגד ארגונים בישראל".

סין רחוקה פיזית מישראל – אבל קרובה אליה בסייבר. צילום: BigStock

גם הרוסים לא טומנים את ידם בצלחת: באחרונה נראה שהם מתמקדים באויבת החשה-ישנה של המדינה – אוקראינה, אולם הקבוצות שלוחות הקרמלין לא זנחו את ישראל. "קבוצות התקיפה הרוסיות עובדות בעיקר נגד ארגונים ביטחוניים בארץ", ציינו בקלירסקיי. "לצידן פעלו קבוצות האקרים צפון קוריאניות, בעיקר קבוצת לזרוס, שתקפה חברות קריפטו בישראל. כמו כן, היה מספר מצומצם של תקיפות מהאקרים של החמאס על חברות ישראליות: הארגון טרם התאושש מהתקיפות הפיזיות שחווה במבצע שומר חומות".

מה ב-2022?

בחזרה לדו"ח הנוכחי של קלירסקיי, הם חוזים כי ב-2022 יתגברו מתקפות הסייבר של מדינות נגד מדינות אחרות, והן "יפעילו את נשק הסייבר שלהן באופן חופשי יותר, כאמצעי הרתעתי ותודעתי, וכדי להסב נזק לתשתיות קריטיות שלהן. עימותי סייבר כמו זה שבין ישראל לאיראן יתפשטו לאזורים אחרים בעולם".
הם זיהו כאיומים משמעותיים מצדם של האקרים שלוחי מדינות גם בשנה הקרובה את מתקפות יום האפס, המתקפות על שרשראות האספקה, הדלפות המידע והכופרות. כולן, על פי החוקרים, יתבצעו בתדירות גבוהה יותר – ובמקרה של הכופרות, ההאקרים ידרשו מהקורבנות שלהם כסף רב יותר. עוד צופים החוקרים כי השנה תחול עלייה במתקפות נגד מכשירי סלולר, בין השאר בשל השימוש בהם לטובת תשלומים בדיגיטל, ותירשם עלייה בניסיונות הגניבה של ארנקים ופלטפורמות תשלום דיגיטליות, כולל ארנקי קריפטו. כמו כן, לפי הדו"ח, "המשך העבודה ההיברידית והשימוש בציוד אישי של העובדים שאינו תחת פיקוח ה-IT – ימשיכו לספק הזדמנויות רבות לתקיפת רשתות ארגוניות".

בועז דולב, מייסד ומנכ"ל קלירסקיי. צילום: יח"צ

בועז דולב, מייסד ומנכ"ל קלירסקיי, אמר כי "התובנה העיקרית שלנו שעולה מחקירת המתקפות על ישראל היא שיכולת התאוששות מהירה של חברה מאירוע סייבר תלויה בגורם קריטי אחד: קיום מערך גיבוי עדכני ועמיד לתקיפות סייבר".