האינטרנט של הדברים – הגביע הקדוש של ההאקרים

השנה החולפת התאפיינה במתקפות סייבר יוצאות דופן, כולל מתקפות ענק על מוסדות פיננסיים וניסיונות גלויים לשיבוש הליך הבחירות בארצות הברית, שנעשו על ידי קבוצות האקרים בחסות מדינה, כך על פי סימנטק (Symantec).

בדו"ח האיומים השנתי (Internet security threat report) שהנפיקה ענקית האבטחה, נכתב כי ההאקרים הפכו להיות שאפתנים יותר מאי פעם, והמימד החדש שמתפתח, האינטרנט של הדברים – הוא בבחינת הגביע הקדוש עבורם.

שנת 2016, על פי החוקרים, התאפיינה במתקפות מניעת שירות מבוזרות, DDoS – הגדולות ביותר אי פעם. אלו תופעלו ותוחזקו על ידי רשתות בוטים ש"עשו" את העבודה, בין השאר בעולם האינטרנט של הדברים.

מריגול עסקי וגניבה – לחבלה פוליטית וחתרנות

מגמה נוספת שצמחה, על פי החוקרים, היא המעבר של מתקפות ממוקדות מכאלו שהמניע שלהם ריגול עסקי וגניבה כספית – לכאלו שהמניע שלהם הוא חבלה פוליטית וחתרנות.

שינוי זה, נכתב, "מצביע על מגמה הולכת וגדלה, של פושעים המנסים להשפיע על מחלוקות פוליטיות במדינות אחרות. המגמה מעלה שאלות על תפקידה של הגנת הסייבר בעולם גיאו-פוליטי החווה דינאמיות ושינויים".

הדו"ח מצטט את ממצאי קהילת המודיעין האמריקנית, לפיה רוסיה היא שעמדה מאחורי מתקפות הסייבר על מחשבי המפלגה הדמוקרטית, וקובע: "יש להניח כי בטקטיקות הללו ייעשה שימוש חוזר במדינות אחרות ונוספות, וזאת במסגרת המאמצים להשפיע על הפוליטיקה ולזרוע מחלוקות".

מתקפות סייבר הקשורות בחבלה, כך לפי הדו"ח, "היו בדרך כלל נדירות, אולם בשנת 2016 היו שני גלים נפרדים של מתקפות נוזקה הרסניות. כך, המתקפות שהיו על תחנות כוח באוקראינה בינואר ולאחר מכן, שוב, בדצמבר – אשר גרמו להפסקות חשמל למאות אלפי בני אדם".

עוד מציין הדו"ח את הופעתה המחודשת של שאמון (Shamoon), נוזקה ה"מנקה" את הדיסק במחשבים בהם היא פוגעת – שלא נצפתה זה ארבע שנים, ובשנה החולפת הופיעה שוב בסעודיה. מתקפות משבשות אלו, נכתב, באו במקביל לירידה בפעילויות סמויות, כמו ריגול כלכלי-עסקי, וגניבות של קניין רוחני וסודות מסחריים.

עוד נכתב כי בעקבות הסכם משנת 2015 בין ארצות הברית לסין, לפיו שתי המדינות מבטיחות שלא לנהל ריגול כלכלי במרחב הקיברנטי – חלה ירידה ניכרת בהופעת נוזקות המגיעות מקבוצות האקרים המקושרות לסין.

עם זאת, צוין בדו"ח, "אין זה אומר שריגול כלכלי נעלם לחלוטין. הוא פשוט שינה לעתים את פניו, והגיע בצורות אחרות של מתקפה ממוקדת, כגון על מוסדות פיננסיים".

עוד מציינים החוקרים בדו"ח כי סימנטק חשפה ראיות המקשרות את צפון קוריאה למתקפות על בנקים בבנגלדש, בווייטנאם, באקוודור ובפולין. "אלו היו פריצות נועזות להפליא", אמר קווין האלי, מנהל מרכז התגובות של סימנטק. "הייתה זו הפעם הראשונה שראינו אינדיקציות חזקות למעורבות של מדינה בפשע פיננסי. התוקפים גנבו לפחות 94 מיליון דולר".

במסגרת זו, צוין, "צמחה המגמה של מעבר מתקיפה של לקוחות הבנקים – למתקפות על הבנקים עצמם, עם ניסיונות גניבה של מיליוני דולרים בכל פעם. כנופיות כמו Carbanak הובילו את התחום, והעלו את רף המתקפות באופן שאפתני".

ניצול חולשות

כך, מציינים בדו"ח, קבוצת Banswift הצליחה לגנוב 81 מיליון דולר מהבנק המרכזי של בנגלדש, על ידי ניצול חולשות האבטחה של הבנק וחדירה לרשת שלו.

קבוצה נוספת, Odinaff נחשפה כמי שהפעילה מתקפות מתוחכמות על בנקים ומוסדות פיננסיים אחרים, באמצעות נוזקה שחוללה הונאות. לצד שתי קבוצות מתוחכמות אלו, פעלו קבוצות רבות שהן פחות מתקדמות, וגם הן גנבו סכומי כסף גדולים.

אחד מכל 131 מיילים – מכיל נוזקה

הונאות של פניות דוא"ל עסקיות, BEC (ר"ת Business email compromise), המתבססות על התחזות, המשיכו להסב הפסדים גדולים, כך על פי הדו"ח, כשיותר משלושה מיליארד דולרים נגנבו בטכניקה זו בשלוש השנים האחרונות.

"בעוד מתקפות הסייבר הצליחו לגרום לשיבושים חסרי תקדים בשנת 2016, הרי שהתוקפים השתמשו לעתים קרובות מאוד בכלי פריצה פשוטים ובטקטיקות בעל השפעה רבה".

על פי הדו"ח, נעשה שימוש מועט במתקפות יום אפס, בפגימויות בלתי ידועות ובנוזקות מתוחכמות, כאשר ההאקרים עשו יותר מאמצים מבעבר שלא להיחשף. "התוקפים מתבססים על גישות פשוטות", נכתב, "כגון פישינג, או שימוש בכלים קלים להשגה, כגון תוכנות ניהול רשת לגיטימיות כמו Microsoft PowerShell, או רכיבים במערכת ההפעלה".

כך, הם מציינים את המתקפה שבוצעה על תיבת הדואר של ג'ון פודסטה, ראש מטה הבחירות של המועמדת הילרי קלינטון – ב-Gmail, בה לא נעשה שימוש בנוזקה כלשהי, "גישה זו מספקת יתרונות רבים לתוקפים, ביניהן הגדלת היקף הנזק בשקט, והיכולת להסתתר".

באופן דומה, הודעות דוא"ל זדוניות היו הנשק המועדף על מגוון רחב של קבוצות האקרים בשנה החולפת – החל מקבוצות ריגול בסייבר הפועלות בחסות מדינה ועד לכנופיות המפיצות כופרה, ופועלות באופן המוני. כך, על פי הדו"ח, מייל אחד מכל 131 מיילים כלל בתוכו נוזקה – נתון בעל השיעור הגבוה ביותר מזה חמש שנים.

הפופולריות המחודשת של מתקפות בדואר האלקטרוני, אמרו החוקרים, מונעת על ידי כמה גורמים: זהו ערוץ התקפה מוכח; היא אינה מסתמכת על נקודות תורפה; המתקפה נעשית על בסיס הונאה פשוטה, שמטרתה לפתות קורבנות לפתוח קבצים מצורפים, או ללחוץ על קישורים; הפצת כופרות בדרך זו הייתה האמצעי המועדף על ההאקרים ב-2016.

"כופרות ממשיכות להיות איום הולך וגדל, עם דרישות מסלימות משמעותית לתשלום גדול יותר", נכתב. כך, ממוצע הדרישה לכופר עמד ב-2016 על 1,077 דולרים, לעומת 294 בשנה שלפניה. מספר המשפחות החדשות של כופרות גדל ב-2016 פי שלושה ויותר ועמד על 101, ועימו חל גידול של 36% במתקפות כופרה.

שטח עיוור בהיבט האבטחה

"האינטרנט של הדברים הופך להיות 'הגביע הקדוש' עבור ההאקרים", מציינים החוקרים, "Mirai, הבוטנט שעמד מאחורי גל מתקפות מניעת שירות מבוזרות, היה מורכב בעיקר מנתבים נגועים וממצלמות אבטחה, מכשירים המתאפיינים ברמת אבטחה נמוכה. מדובר במתקפות בעלות פוטנציאל הרסני". כך, על פי המחקר, חל גידול של פי שניים במספר ניסיונות ההתקפה נגד רכיבי אינטרנט של הדברים במהלך 2016, ובממוצע רכיב אינטרנט של הדברים הותקף אחת לשתי דקות.

עוד מציינים החוקרים כי כמה מתקפות של Mirai היו קשורות לשירותי ענן, כגון זו שבוצעה על דיין (Dyn). עוד גם חלה הכפלה בכמות הפריצות למיליוני מסדי נתונים MongoDB המתארחים בענן, "התקפות בענן הפכו למציאות, והן צפויות לגדול השנה. ההסתמכות הגוברת על שירותי הענן צריכה להדאיג ארגונים, שכן נוצר 'שטח עיוור' בהיבט האבטחה".

עוד עלה במחקר כי ארגון משתמש בממוצע ב-928 אפליקציות ענן, נתון שגדל לעומת 841 ב2015. עם זאת, רוב המנמ"רים סבורים שהארגונים שלהם משתמשים רק ב-30 או 40 אפליקציות ענן, "מה שאומר שרמת הסיכון לוקה בהערכת חסר, והארגונים עלולים להיות חשופים למתקפות ולאיומים חדשים".