מערך הסייבר: "התרענו בפני החברה שהותקפה כמה פעמים שהיא פגיעה"

קבוצת האקרים שלוחי המשטר האיראני תקפה ופרצה ביום ו' לחברת אירוח השרתים הישראלית סייברסרב. בעקבות הפריצה נפגעו או הושבתו עשרות אתרים ישראליים שהתארחו על השרתים שלה. לאחר האירוע, מערך הסייבר מסר כי התריע בפני החברה בעבר כמה פעמים שהיא חשופה למתקפות.

את המתקפה ביצעה קבוצת ההאקרים BlackShadow, שמזוהה עם איראן. היא התפרסמה במתקפה על שירביט. בין עשרות האתרים שנפגעו במתקפה הנוכחית: אטרף – אתר ואפליקציית היכרויות לקהילת הלהט"ב, אתרי חברות האוטובוסים דן וקווים, מוזיאון הילדים בחולון, חברת הטיולים פגסוס, בלוג של תאגיד השידור הציבורי כאן ועוד.

לגבי אתר אטרף, בקהילה הלהט"בית הביעו חשש שמא ידלפו פרטי משתמשים באתר שמצויים בארון. משתמשים רבים הביעו חשש מדליפה של פרטים שלהם – מה שעלול להביא לחשיפת הנטייה המינית שלהם באופן פומבי. באגודה למען הלהט"ב קראו למערך הסייבר "לפעול בדחיפות למניעת דליפות המידע. דליפת פרטיהם האישיים של המשתמשים היא סכנה לפגיעה נפשית". האגודה אף מציעה שירותי תמיכה למי שחושש מדליפת פרטים אישיים שלו בקו הייעוץ יש עם מי לדבר. ואמנם, לאחר שקבוצת BlackShadow דרשה מהחברות המוקתפות לפנות אליה וזה, ככל הנראה, לא קרה, אמש פרסמו ההאקרים את פרטיהם של 1,000 משתמשים באתר אטרף, שלטענתם מהווים 1% בלבד ממספר המשתמשים שהמידע עליהם נמצא ברשותם. בין היתר, הם פרסמו שמות, כינויים, כתובות מייל, כתובות מגורים, מספרי טלפון וסיסמאות שלהם. כמו כן, פורסמו 9,000 רשומות מאתר דן ופרטים על 120 אלף משתמשים באתר פגסוס.

נפרץ. אתר אטרף

סייברסרב: "השרתים יושבים בחברה חיצונית"

ממערך הסייבר הלאומי נמסר כי "בשנה האחרונה התריע מערך הסייבר הלאומי בפני החברה כמה פעמים על היותה חשופה לתקיפה". לפי המערך, "יש לנו תוכנית מיוחדת להענקת 'תו חוסן' לחברות אחסון אתרים, שיעמדו בתקני הגנה. חברות שיצטרפו לתוכנית ויעמדו בתקנים שהציב המערך יצמצמו את הסיכוי להיפגע ממתקפת סייבר".

מסייברסרב נמסר כי "החל משישי בערב אנחנו מתמודדים עם אירוע טרור סייבר. קבוצת האקרים איראניים תקפה את השרתים שבהם מאוחסנים אתרי אינטרנט שאותם פיתחנו. השרתים הללו יושבים בחברת אחסון חיצונית, ולא בחברתנו. מרגע שקיבלנו התראות על הנושא ממערך הסייבר הלאומי, עוד לפני האירוע, שיתפנו פעולה באופן מלא והדוק ומילאנו אחרי כל ההנחיות שלו. אנחנו ממשיכים לשתף איתם פעולה והכול במטרה להביא את האירוע לסיומו בצורה הטובה ביותר. כרגע, אנחנו מרכזים את כל מאמצינו בשחזור המידע והעלאה מחודשת ומוגנת של האתרים".

האם התוקפים הם באמת שלוחי איראן?

יוסי עטיה, מנהל צוות ההנדסה בטרנד מיקרו ישראל, אמר כי "בחלק ניכר מההתקפות שפורסמו באחרונה, נקודת התורפה שאותה ניצלו התוקפים הייתה מערכת מסחרית, שאו שהיא לא עודכנה בזמן או שנמצאה פגיעה מסוג יום אפס (Zero Day). צוות ההנדסה שלנו נמצא בתהליכי עבודה מול כמה ארגונים גדולים בישראל, שבהם זיהינו פערים בין מדיניות עדכוני האבטחה לבין יישומם בפועל. כך, מספיק שמערכות לא עודכנו במשך שבוע ותוקפים מצאו נקודת חדירה. יותר מתמיד, היכולת לאפשר לארגון הגנה מול אותן פגיעויות ברמה הרשתית ובמהירות הפכה להיות קריטית".

לדברי עינת מירון, יועצת חוסן סייבר לארגונים, "אנחנו לא שונים מהמגמה העולמית. יש עלייה של מאות אחוזים בהיקפי המתקפות וההצלחה שלהן. זה לא סותר את חובתן של חברות להגן על עצמן, על הנכסים הדיגיטליים החשובים שלהן ועל המידע שלנו שהן מחזיקות אצלן".

היא הוסיפה כי "משיקולי ביטוח ומוניטין, ברור שהחברות המותקפות ירצו לשייך את המתקפה לאיראן. אולם, אין צורך להקל על התוקפים בהימנעות ממימוש הגנות בסיסיות. יתרה מזאת, נדרש להוכיח מעל לכל ספק שמדובר בקבוצה איראנית. זה גם לא טריוויאלי וגם לא משמעותי, בגלל אפקט השיטוי ומאחר שייחוס איראני לא מעיד בהכרח על כך שהפריצה נעשתה בשליחות איראן. בסבירות גבוהה, קבוצה בשליחות איראן לא תבזבז אנרגיה על 'סתם' רשומות באתרים רנדומליים – אלא תכוון לפגיעה תשתיתית משמעותית, הגם שזו מורכבת ואורכת זמן ממושך יותר".

המתקפה הנוכחית באה קצת פחות משנה לאחר המתקפה הגדולה של הקבוצה על השרתים של שירביט, שבמסגרתה דלף מידע רב של לקוחות ועובדי החברה. קבוצת BlackShadow איימה אז שאם שירביט לא תשלם לה דמי כופר בסך ארבעה מיליון דולר בביטקוין, היא תפרסם עוד ועוד מסמכים, ותמכור אותם לצדדים שלישיים. הקבוצה איימה וקיימה – חלקית. מומחים לא מעטים טענו אז כי התוקפים הם שלוחי מדינה וכי הדרישה לכופר היא מסך עשן, כאשר המטרה האמיתית במתקפה היא ללעוג ולהגחיך את ההגנות הישראליות בסייבר כחלשות ולא יעילות.