סייבר על המטוס: האקרים תוקפים ארגוני תחבורה וחברות תעופה

לכל הנוסעים והנוסעות בטיסות, שימו לב: ה-FBI וחברות הגנת סייבר מזהירים כי קבוצת האקרים פעלתנית, המכונה עכביש מפוזר (Scattered Spider) מכוונת בימים אלה מתקפות כנגד חברות תעופה וארגונים במגזר התחבורה.

בהודעה קצרה שנמסרה בסוף השבוע (ו'), הבולשת הודיעה כי היא "צפתה באחרונה" במתקפות סייבר, שדפוס פעולתן דומה לזו של 'עכביש מפוזר, אשר כוונו לעבר ארגונים ממגזר התעופה.

ALERT—The FBI has recently observed the cybercriminal group Scattered Spider expanding its targeting to include the airline sector. These actors rely on social engineering techniques, often impersonating employees or contractors to deceive IT help desks into granting access.… pic.twitter.com/gowmbsAbBY

— FBI (@FBI) June 27, 2025

הבולשת לא לבד: גם מנדיאנט ופאלו אלטו התריעו

בסמיכות זמנים להודעת הבולשת, חוקרים ממנדיאנט (Mandiant), יחידת אבטחת הסייבר של גוגל, כמו גם חוקרי יחידה 42 – יחידת מחקר האיומים של פאלו אלטו (Palo Alto), דיווחו כי גם הם היו עדים למתקפות סייבר שכאלו.

'עכביש מפוזר' הוא למעשה קהילת האקרים, רובם דוברי אנגלית, ובדרך כלל מדובר בבני נוער או בצעירים. המניע שלהם הוא כלכלי: לגנוב נתונים רגישים מרשתות הקורבן ולסחוט אותו. הם ידועים גם בטקטיקות ההונאה שלהם – לרוב אלו מתבססות על הנדסה חברתית, פישינג ולפעמים איומים באלימות כלפי מוקדי תמיכה ומוקדים טלפוניים של הקורבן – כדי לקבל גישה לרשתות שלהם, ולפעמים לפרוס כופרות.

לפי הודעת ה-FBI, "ההאקרים עלולים לפגוע בתאגידים גדולים ובספקי ה-IT של צד שלישי שלהם, כלומר "כל אחד במערכת הסובבת של חברות התעופה, כולל ספקים וקבלנים – עלול להיות בסיכון".

האזהרה מגיעה ברקע שתי פריצות – לכל הפחות – של חברות תעופה שדיווחו כי נפרצו החודש.

Hawaiian Airlines is addressing a cybersecurity event that has affected some of our IT systems. Our highest priority is the safety and security of our guests and employees. Flights are operating safely. We will share updates as available.

— Hawaiian Airlines (@HawaiianAir) June 26, 2025

🇨🇦✈️ #WestJet (@WestJet), an airline based in #Calgary, #Canada 🇨🇦, has been the target of a new cyber attack. The threat actor behind this #hack has not yet been identified.

Stay informed, monitor cyber threats, and sign up for free on #VenariX 👉 https://t.co/MIrVcC7CSq… pic.twitter.com/8HcyC0vaSf

— VenariX (@_venarix_) June 18, 2025

הוואיאן (Hawaiian Airlines) הודיעה ביום ה' האחרון כי היא התוקפה בסייבר וכי היא "פועלת לאבטח את מערכותיה בעקבות המתקפה". חברת התעופה השנייה בגודלה בקנדה, WestJet, דיווחה על מתקפת סייבר ב-13 ביוני. המתקפה הייתה מתמשכת והתקלה טרם תוקנה. דיווחים בתקשורת קישרו את האירוע לחברי 'עכביש מפוזר'.

עוד ציינו המומחים כי גל חדש זה של מתקפות, מגיע זמן קצר לאחר שכנופיית פושעי הסייבר התמקדה במגזר הקמעונאי בבריטניה ובתעשיית הביטוח. ההאקרים פרצו בעבר לרשתות מלונות, בתי קזינו וענקיות טכנולוגיה.

האם העכבישים הם שפרצו למארקס אנד ספנסר?

בתחילת החודש פרסמנו כי ההאקרים שפרצו למערך המחשוב של מרקס אנד ספנסר (Marks & Spencer), שלחו מייל לעגני לסטיוארט מאצ'ין, מנכ"ל ענקית הקמעונאות, הביעו את שמחתם על מעשיהם ודרשו תשלום. המייל נשלח באפריל מקבוצת ההאקרים דראגון פורס (DragonForce) – באמצעות חשבון דוא"ל של עובד. משלוח המייל אישר – בראשונה, כי מרקס אנד ספנסר נפרצה על ידי קבוצת כופרות, נתון שענקית הקמעונאות סירבה לאשר עד אז.

מתקפת הסייבר גרמה נזק עצום לרשת הקמעונאות בת 141 השנים, והסבה נזקים של יותר מ-400 מיליון דולרים. שבועות רבים לאחר המתקפה, ענקית הקמעונאות עדיין לא מסוגלת לקבל הזמנות מקוונות.

זהות דרגון פורס איננה ודאית: יש חוקרים הטוענים שהם יושבים במלזיה, בעוד חלקם אומרים שהם מרוסיה, ואחרים ציינו כי המייל שלהם מרמז שהם מסין. מאידך, גרסה אחרת טוענת כי הם-הם הקולקטיב המבוזר של האקרים מערביים צעירים – חלקם בני נוער בארה"ב ובבריטניה, בשם 'עכביש מפוזר', ושהם העומדים מאחורי הפריצות – למרקס אנד ספנסר, לקו-אופ (Co-op) ולהרודס (Harrods).

העכביש המפוזר, המכונה גם UNC3944, זכתה לפרסום בזכות מעורבותה בפריצה ובסחיטה של שתי חברות הימורים וקזינו ענקיות – ​​Caesars Entertainment ו-MGM Resorts International ב-2023. באחרונה, חבריה פרצו ללקוחות סנואופלייק (Snowflake).