2012: מלחמת הסייבר בעיצומה
בשנה החולפת עבדו אנשי אבטחת המידע שעות נוספות: החל מדליפת כרטיסי האשראי, דרך פרשת וובגייט ועד גאוס ו-Flame - נראה שהסייבר היה אחד התחומים הבולטים של השנה ● בעולם שבו אפילו מחשבי המשטרה אינם בטוחים, קשה לצפות מה תביא עימה השנה הבאה
רגע של מנוחה לא היה באבטחת מידע השנה: כבר ב-2 בינואר דלפו והועלו לרשת פרטי כרטיסי האשראי של אלפי ישראלים, על ידי חבורת האקרים סעודים שטענו שהם משתייכים לארגון אנונימוס (Anonymus). ההאקרים פרצו לאתר הספורט ONE ובמשך זמן מה, הגולשים שנכנסו אליו הופנו לקובץ שההאקרים הסעודים טענו שמצויים בו פרטיהם האישיים של 400 אלף ישראלים, בהם מספרי כרטיסי אשראי ופרטים מזהים נוספים. המפקח על הבנקים בבנק ישראל הודיע, כי "מדובר בפרטיהם של כ-15 אלף כרטיסים פעילים, בשלוש החברות יחד – כ.א.ל, ישראכרט ולאומי קארד". הפריצות נעשו בטכניקת הזרקת SQL על ידי שלושה האקרים.
מי שכונה "ההאקר הסעודי", OxOmar – והדליף את פרטי כרטיסי האשראי, הבטיח כי קבוצת האקרים פרו-פלסטינים המכנה את עצמה "סיוט", תפיל אתרים ישראליים. ואכן, כשבועיים לאחר מכן, נפלו האתרים של אל-על ושל הבורסה לניירות ערך. עוד הותקפו האתרים של קבוצת הבנק הבינלאומי – אתר האינטרנט של הבנק הבינלאומי ואתרי האינטרנט של בנק מסד ובנק אוצר החייל, שבבעלותו.
זה לא נגמר שם: בהמשך ינואר הותקפו אתרי בתי החולים שיבא ואסותא ואתר הארץ. ימים אחדים לאחר מכן הגיע תורו של אתר החדשות ynet.
ביולי השנה אמר הגנרל קית' אלכסנדר, ראש הסוכנות לביטחון לאומי של ארצות הברית (NSA) ומפקד פיקוד הסייבר שלה, כי "בסולם של 1 עד 10, המוכנות של ארצות הברית להתמודד עם מתקפת סייבר גדולה על התשתיות הקריטיות שלה עומדת על הציון העגום 3". לדברי אלכסנדר, המדבר בפומבי לעתים רחוקות, מאז שנת 2009 גדלה כמות מתקפות הסייבר שחוו ארגונים של תשתיות קריטיות בארצות הברית פי 17. "אני מודאג ביותר לגבי מערכי IT של תחנות כוח וחברות חשמל ולגבי חברות שמספקות מים", הוסיף אלכסנדר. "אני חושב שהארגונים הללו זקוקים לעזרה בהגנה ברמה הגבוהה ביותר". הוא ציטט מחקר של מק'אפי (McAfee), לפיו העלות של אובדן מידע בשל ריגול תעשייתי עומדת על טריליון דולרים.
באותו החודש אמר שון הנרי, לשעבר עוזר בכיר לראש ה-FBI וראש החטיבה לאבטחת הרשת ולמלחמה באיומים קיברנטיים, כי "מלבד נשק להשמדה המונית, איומי הסייבר הם האיומים המשמעותיים ביותר שיש לפעול נגדם".
באוגוסט נמשכה מלחמת הסייבר בין ישראל לעולם הערבי: האקרים שמקורם ככל הנראה מארצות ערב, פרצו לשרת אינטרנט ופרסמו את פרטיהם האישיים של כמה אלפי ישראלים, ובכלל זה את מספרי כרטיסי האשראי שלהם. הפרטים היו מאוחסנים בשרת של חברת אחסון השרתים וובגייט (WebGate), אליו פרצו התוקפים. ההאקרים מסרו את דבר הפריצה בהודעה שפרסמו באתר "זוכרים את עימאד", כאשר כוונתם היתה לעימאד מורנייה, קצין המבצעים של החיזבאללה, שחוסל בדמשק ב-2008 כאשר פוצצה מכוניתו ליד ביתה של המאהבת שלו. על פי פרסומים זרים, ישראל היא שביצעה את הפעולה. אתר נוסף שנפרץ הוא זה של ועידת נשיא המדינה, שמעון פרס, אלא שהוא לא כולל פרטים אישיים. כמו כן, פרצו ההאקרים לאתר רשות השידור וגנבו מידע ממנו.
כמה ימים מאוחר יותר נפגעו עשרות אלפי מחשביה של סעודי ארמקו (Saudi Aramco) – חברת הנפט הסעודית, על ידי נוזקה. עם זאת, על פי החברה, אף שמחשביה ניזוקו מהווירוס ושחלק מהם הושבתו – הייצור שלה לא נפגע. סעודי ארמקו מסרה עוד, כי למרות שהווירוס השפיע על פעולת כמה מחשבים, הוא לא השפיע בצורה כלשהי על פעילות רשת תקשורת המחשבים בחברה. החברה הותקפה על ידי הנוזקה שאמון (Shamoon), שהייתה מסוג "מתקפת יום אפס" ותקפה ב-16 באוגוסט השנה – היום האחרון של חג הרמאדאן. הנוזקה הייתה נטולת חתימה, עירבה פישינג עם מתקפה ממוקדת והייתה בעלת יכולות להשמדת מידע והצפנה עצמית. הנוזקה פגעה במגוון הגרסאות של מערכת ההפעלה חלונות (Windows) של מיקרוסופט (Microsoft) וגרמה לשיתוקם של יותר מ-35 אלף מחשבי תאגיד הנפט הענק.
המתקפה על סעודי ארמקו התגלתה כשבוע לאחר שחוקרים של קספרסקי (Kaspersky Labs) חשפו את קיומה של גאוס – תוכנת ריגול למגזר הבנקאי, שחדרה בעיקר למחשבים של בנקים בלבנון, אולם נתגלתה גם בישראל וברשות הפלסטינית. על פי ההערכות של חוקרי קומסק, שבדקו אותה, מדובר באחת מסדרה שלמה של נוזקות שנועדו לריגול בין מדינות, בעיקר במזרח התיכון.
בגאוס, מפתח ההצפנה של המידע מוחזר מהשרת באמצעות XOR – הצפנה חלשה, שניתנת לפענוח בנקל – ומפתח במיקום 0xACDC, ציינו החוקרים. לדבריהם, "מצחיק לראות שזהו המפתח, משום שזה מזכיר את הדיווח שהיה באחרונה לגבי מחשבים במעבדות באיראן שהיו נגועים בווירוס ופתאום החלו להשמיע מוזיקה של להקת AC/DC".
חוקרי קספרסקי בטוחים שיוצרי גאוס יצרו גם את Flame, שנתגלתה בחודש מאי השנה ותקפה מחשבים במדינות שונות במזרח התיכון, ובעיקר באיראן. נטען עליה, כי מדובר ב-"אחת התוכנות הזדוניות המתוחכמות והמורכבות ביותר שנתגלו עד כה, הרבה יותר מתוחכמת ממה שראינו עד כה". היא אף כונתה על ידי החוקרים "נשק על קיברנטי", עקב "ההיבט הגיאוגרפי, הבחירה הדקדקנית של יעדי התקיפה והשימוש המתוחכם בנקודות תורפה".
בספטמבר, ימים אחדים אחרי שסעודי ארמקו דיווחה שבשל המתקפה נפגעו כ-35 אלף תחנות עבודה, דיווח תאגיד האנרגיה הקטארי RasGas שגם מחשבים בו נפגעו. RasGas מפעילה מתקני ייצור לטיפול, זיקוק ויצוא של גז טבעי נוזלי (LNG) למדינות ברחבי אסיה, אירופה ואמריקה. מתאגיד הענק נמסר, כי הייצור של הגז שלו לא נפגע בשל המתקפה. עם זאת, המתקפה אילצה את מנהלי ה-IT שלו לסגור את אתר האינטרנט ומערכות הדואר אלקטרוני של החברה.
באוקטובר הורה הפיקוד הבכיר של משטרת ישראל על ניתוק כלל המחשבים המחוברים לרשת האזרחית שלה, בשל התרעה על מתקפה שעלולה להפיל את רשת תקשורת המחשבים שלה או להשתלט עליה. כמו כן, החליטו ראשי המשטרה בעקבות אותו חשש לאסור על הכנסת דיסק-און-קי ותקליטורים למחשבי הארגון.
אנשי מינהל טכנולוגיות במשטרה בחנו קשר בין ההתרעה על הפגיעה האפשרית במחשביהם, לבין העובדה שבאותה עת מחשבים של כמה משרדי ממשלה נמצאו תחת מתקפת סייבר. מטרת המתקפה היא להחדיר נוזקה מסוג סוס טרויאני למערך ה-IT הממשלתי. הסוס הטרויאני נשלח בקבצים שצורפו להודעות מייל שלכאורה נשלחו מהרמטכ"ל, רב-אלוף בני גנץ.
באותו החודש אמר מרקו ריבולי, סגן נשיא אזורי בסימנטק (Symantec), כי "במיפוי כמות האיומים בהיבט הגיאוגרפי, המזרח התיכון הוא האיזור המותקף ביותר. בתוכו, ישראל היא המדינה השניה בהיבט כמות המתקפות, לאחר לבנון".
כמה ימים קודם לכן הודה בהתבטאות נדירה בנושא ראש הממשלה, בנימין נתניהו, כי "במקביל למאמצים של הג'יהאד העולמי נגדנו, מתגברים הניסיונות לבצע מתקפות סייבר על תשתיות המחשבים במדינת ישראל. מדי יום נעשים ניסיונות, אפילו ניסיונות רבים, לחדור למערכות המחשב של ישראל".
דברי נתניהו נאמרו בהקשר לדברי בכיר אמריקני, שאמר לוול סטריט ז'ורנל (Wall Street Journal) כי "האקרים איראניים פועלים זה חודשים במתקפות חסרות תקדים נגד אתרים אמריקניים. היעדים אליהם מכוונים ההאקרים האיראניים הם ארגונים עסקיים ומטרות בעלות חשיבות אסטרטגית במפרץ הפרסי. מקור התוקפים הקיברנטיים, ללא ספק, במשטר באיראן". שר ההגנה האמריקני, ליאון פאנטה, אמר כי "פעילויות הסייבר במפרץ הפרסי הן ההרסניות ביותר במגזר העסקי מאז ומתמיד. חברות פרטיות שפועלות באזור נתונות למתקפות סייבר בהיקף חסר תקדים".
בנובמבר אמרה כרמלה אבנר, ראש מטה התיקשוב הממשלתי, כי "במהלך מבצע 'עמוד ענן' הדפנו יותר ממאה מיליון מתקפות סייבר. רוב המתקפות הן מסוג מניעת שירות, DoS. למעט מקרים בודדים לפרקי זמן קצרים, מערכות המיחשוב הממשלתיות עמדו בגבורה במתקפות".
ארז קריינר, ראש חטיבת ההגנה מפני סייבר במשרד ראש הממשלה, אמר בהופעה פומבית ראשונה ונדירה שביצע במהלך אוקטובר, כי "מה היה קורה אם מישהו היה אומר ב-10 בספטמבר 2001 ששני מטוסים יפילו את מגדלי התאומים עם אלפי הרוגים ומטוס שלישי יפגע בפנטגון, ולכן – יש לסגור את נמלי התעופה בארצות הברית ולהחשיך אותה? הוא היה מאושפז מיד בכפייה בבית חולים לחולי נפש. אני מאמין שבהיבט הקיברנטי, אנחנו מצויים כיום ב-10 בספטמבר 2001".
בתחילת דצמבר הזהיר ג'ון "מייק" מק'קונל, שכיהן כמנהל הסוכנות האמריקנית לביטחון לאומי (NSA) ולאחר מכן כמנהל המודיעין הלאומי, כי "ארצות הברית ניצבת בפני מתקפה קיברנטית ששווה בחומרתה לפיגועי ה-11 בספטמבר ומפגעי הרשת יבצעו אותה, אלא אם כן תבוצע פעולת מניעה דחופה". בראיון לפייננשל טיימס (The Financial Times) אמר מק'קונל, כי "מתקפה שכזו תגרום לאומה האמריקנית להיות נכה בשלל היבטים: מערכת הבנקאות, רשת החשמל ותשתיות לאומיות חיוניות אחרות".
החודש גם הסתיימה בקול ענות חלושה פרשת הפריצה של גארי מק'קינון, ההאקר הבריטי שפרץ למחשבי הממשל האמריקני: אחרי 10 שנים של חקירה החליטה התביעה בבריטניה לסגור את התיק ולא להגיש נגדו כתב אישום. בתחילת העשור הקודם מק'קינון חדר למחשבים של סוכנות החלל האמריקנית נאס"א (NASA), הצי האמריקני וסוכנויות ביון בארצות הברית. הוא פרץ ל-97 מחשבים, תוך שהשתמש בכינוי "סולו", והסב נזק בעלות של 700-800 אלף דולרים. מק'קינון נעצר על ידי הרשויות הבריטיות ב-2002. הוא הודה במעשי הפריצה וטען, כי ביצע אותם כדי למצוא הוכחות ועדויות לקיומם של חוצנים.
בסיכום השנה שפרסמה החודש, צפתה ענקית האבטחה סימנטק, כי "סכסוכים בין מדינות, ארגונים ואנשים פרטיים ישחקו תפקיד מרכזי בעולם הסייבר החל מ-2013, ומלחמות הסייבר יהפכו לנורמה".
תגובות
(0)