האם ה"זהב" של פורטנוקס הישראלית נגנב?

פייראיי לא לבד: האקרים איראנים פרצו לפורטנוקס הישראלית.

ההאקרים, חברי קבוצת Pay2key, פרסמו ביום ה' בערב מסמכים רבים, שאותם הצליחו, לכאורה, לגנוב מהרשת הארגונית של חברת אבטחת הסייבר הישראלית.

ההאקרים פרסמו באתר שלהם ברשת האפילה קובץ שכלל את רשימת לקוחות פורטנוקס ואת הסיסמאות שלהם, כמו גם רשימת מסמכים של לקוחות החברה, שנמנים עמם פולקסוואגן, מק'לארן, בנק דיסקונט, רפאל, אמדוקס, בזק, אלביט, אל על, שירותי בריאות כללית, מטריקס ולייב פרסון. הודעה דומה פורסמה בטוויטר, ולאחר זמן החשבון שלהם הושעה.

בשבוע שעבר קבוצת ההאקרים האיראנית פרצה למחשבי התעשייה האווירית. היא פרסמה מידע, שלטענתה נגנב ממחשבי חטיבת אלתא. כמה ימים קודם לכן הקבוצה הצליחה לפרוץ למחשבי הבאנה לאבס הישראלית, שנרכשה על ידי אינטל.

בחודש שעבר חשפה צ'ק פוינט כופרה חדשה מסוגה' בשם Pay2Key, שמקורה באיראן ושתקפה מטרות בישראל. על פי החוקרים, מעבר לעובדה שמדובר בסוג חדש של כופרה – מהירה ושקטה במיוחד, בחינה אחר נתיב הכסף הובילה אותם להאקרים ממוצא איראני, שפועלים בזירת מסחר ביטקוין איראנית, המחייבת את משתמשיה להחזיק במספר טלפון איראני בתוקף ובתעודת זהות איראנית, עם תמונה לצורך הזדהות. החדירה לחברות בוצעה באמצעות מנגנון החיבור מרחוק של עובדים לרשת הארגונית – RDP. לדבריהם, "זהו זן נוזקת כופר מתוחכם ומהיר. הכופרה מצפינה רשתות ארגוניות שלמות בתוך כשעה, כשההאקרים מאיימים להדליף מידע ארגוני רב ברשת האפילה אם דמי הכופר לא ישולמו". מבין לפחות תריסר חברות ישראליות שהותקפו, ארבעה קורבנות החליטו לשלם את דמי הכופר, מה שאפשר לחוקרים לעקוב אחר העברות הכספים בין ארנקי הביטקוין.

על פי חוקרי קלירסקיי הישראלית, את הכופרה מפעילה קבוצת התקיפה האיראנית FoxKitten, חתלתול-שועל. לדבריהם, "בחודשיים האחרונים בוצעו תקיפות סחיטה וכופרה מול עשרות חברות בישראל באמצעות קמפיין Pay2Key. התוקפים חדרו, שיבשו והצפינו מערכות מחשב, גנבו מידע, הדליפו מידע וניסו לסחוט חברות. חלקן של החברות שילמו מאות אלפי דולרים לקבוצה". דו"ח קודם של קלירסקיי, מפברואר השנה, חשף את התקיפות שבוצעו מול חברות ביטחוניות בישראל. "להערכתנו, מדובר באחת מקבוצות התקיפה הפעילות ביותר מול חברות בישראל", כתבו החוקרים, "מטרת הקמפיין אינה רק גניבת מידע, אלא גם שיבוש, סחיטה, גניבת כסף וייתכן שאף קמפיין תודעה איראני נגד ישראל". החוקרים עקבו אחר חתלתול-שועל יותר משנה וחצי, כשעיקר פעילותה היה בתחילה נגד חברות במגזר הביטחוני, ובמהלך השנה היא החלה הקבוצה לתקוף מגזרים נוספים רבים.

ניתוח המתקפות, כתבו, "מעלה, שהקבוצה ניצלה חולשות באתרי החברות הישראליות כדי לחדור למערכות המחשב שלהן. קמפיין Pay2Key שונה באופיו, כיוון שעד לאחרונה האיראנים תקפו בעיקר לצורך ריגול ומודיעין, ואולם החל מאוגוסט הם פועלים גם במטרה למחוק ולשבש מערכות מחשב ולגנוב ולסחוט חברות". לדבריהם, "דרך הפעולה של הקבוצה שונה מפושעים המתמחים בתקיפות כופרה. במקרים מסוימים, למרות תשלום כופר, החברות הנסחטות לא קיבלו מפתחות לפתיחת ההצפנה. מטרתם העיקרית היא לגרום למבוכה, לבלבול ולנזק לחברות בישראל. כחלק מתהליך התקיפה, הקבוצה ביצעה איסוף מודיעיני ראשוני על החברות שאותן תקפה, כולל בדיקת חולשות באתרי החברה או ניצול הרשאות שהודלפו. לעיתים המתינו התוקפים בסבלנות להזדמנות מתאימה והדליפו מידע מהחברות במשך שבועות וחודשים עד שפעלו להצפנה ולסחיטת החברה שאליה חדרו". חוקרי קלירסקיי זיהו כמה מאפיינים חוזרים בטכניקת התקיפה של הקבוצה, שיכולים לשמש כתמרור אזהרה לזיהוי תקיפות עתידיות: שימוש בחולשות במערכי המחשוב המקוון של חברות; שימוש בהדלפות מהדארקנט של הרשאות כניסה לחברות ישראליות; שימוש בכלים מבוססי קוד פתוח וכלים מפיתוחים ייעודיים של קבוצת התקיפה.

מפורטנוקס נמסר בתגובה כי "פורסם כי בוצעה פריצה לשרתים פנימיים של החברה על ידי קבוצת האקרים המזהה עצמה כ-Pay2Key. החברה נמצאת במהלכה של חקירה אינטנסיבית על מנת לברר לעומק את פרטי האירוע".