קרבות הסייבר: פרופילים פיקטיביים, אווטארים והאקרים
קרבות הסייבר: פרופילים פיקטיביים, אווטארים והאקרים
קבוצות תקיפה של האקרים הקשורות לאיראן, חיזבאללה וחמאס מגבירות את מאמציהן לפגוע במטרות ישראליות בכל העולם. מערך ביטחון המידע של צה"ל סיכל תשתית אווטארים שפעלה כדי להוציא מידע על פעילות הצבא
בזמן הפסקת האש הזמנית במלחמה בין ישראל וחמאס, פעילות הסייבר לא נעצרה. בימים האחרונים גורמים משני הצדדים חושפים את פעילותם. קבוצות האקרים שמזוהות עם משמרות המהפכה האיראניות מפיצות נתונים אישיים שהשיגו מאתרים ישראליים ומנסים להשתלט על מערכות מים אמריקאיות, בזמן שבישראל חושפים רשת פיקטיבית של אווטארים באינסטגרם שנועדה לחלץ מידע ביטחוני מחיילי צה"ל בסדיר ובמילואים.
בסוף השבוע מערך הסייבר הלאומי של ישראל ושורת גופי אכיפה אמריקאים לרבות ה־FBI, ה־NSA וה־CISA יצאו בהודעה משותפת שמזהירה מפני פעילות נגד בקרים תעשייתיים במגזר המים מתוצרת ישראל. "הדו"ח מציין כי משמרות המהפכה האיראניות (IRGC) שהוגדרו מאז 2019 ארגון טרור, מפעילות קבוצת תקיפה המכנה עצמה סייבר אוונג'רס (CyberAv3ngers) שנצפו באחרונה מנסות לפגוע בבקרים תעשייתיים תוצרת ישראל של חברת יוניטרוניקס", נכתב בהודעה. יוניטרוניקס מפתחת ומייצרת בקרים מתכנתים (PLC) שמשמשים לשליטה ובקרה של מכונות המבצעות פעולות אוטומטיות כגון מערכות ייצור.
ההודעה הגיעה על רקע ספקולציות כי סייבר אוונג'רס פרצה למתקן מים של רשות המים המקומית של אליקיפה פנסילבניה. האקרים השאירו הודעה על מסך משאבת המים כי הם תקפו את המתקן משום שחלק ממרכיביו יוצרו בישראל. לדברי מתיו מוטס, יו"ר מועצת רשות המים של אליקיפה, האקרים השתלטו באופן חלקי על מערכת המווסתת את לחץ המים דרך הטכנולוגיה של יוניטרוניקס. עם זאת, המערכת הושבתה במהירות לאחר שהתגלה האיום ונשמר לחץ מים תקין לאורך כל קו המים. לפי ההודעה המשותפת הישראלית־אמריקאית, סייבר אוונג'רס אחראית לכמה התקפות מ־22 בנובמבר, כולן כנגד רשויות ברחבי ארצות הברית ודרך הבקרים של יוניטרוניקס. סוכנויות האכיפה השונות ציינו שאף על פי שלא נראה כי המתקפות יצרו שיבוש, הן עדיין "דוחקות בכל הארגונים, במיוחד ארגוני תשתית קריטיים", ליישם שורת המלצות "כדי להפחית את הסיכון לפגיעות מצד גורמים אלה הקשורים למשמרות המהפכה".
1 צפייה בגלריה
פרופילים פיקטיביים באינסטגרם. "יצירת קשר עם חיילים כדי לספק מידע לארגון הטרור חמאס", נמסר מצה"ל
(צילום מסך idf.il)
מאז מתקפת חמאס על ישראל ב־7 באוקטובר החלו קבוצות האקרים שונות, חלקן קשורות לאיראן, חיזבאללה או חמאס, להגביר את מאמציהן ההתקפיים אל עבר ישראל. אנונימוס סודן, קבוצה של האקרים מסודאן שפועלת מתחילת 2023, פתחה בהתקפות DDoS נגד אפליקציית צבע אדום, וקבוצת AnonGhost שלחה דואר זבל של התרעות שווא על טילים. קבוצה שמזוהה עם אינטרסים רוסיים בשם קילנט לקחה אחריות על מתקפה שלכאורה הפילה את האתרים של ממשלת ישראל ובנק דיסקונט. לא כל טענות ההאקרים נכונות. כך, למשל, מציינים כי ב־18 באוקטובר 2023, קבוצת "חיילי שלמה" שמקושרת לסייבר אוונג'רס קיבלה אחריות על מתקפות סייבר של למעלה מ־50 שרתים, מצלמות אבטחה ומערכות ניהול ערים חכמות בישראל. אך "רוב הטענות הללו הוכחו כשגויות", נכתב בהצהרה המשותפת.
רשויות, חברות וגורמים הקשורים לישראל, שהם תמיד יעדים פופולריים למתקפות סייבר, סבלו בשבועות האחרונים ממתקפות מרובות מבעבר. אלו לרוב כללו מניעת שירות, פרסום מאגרי מידע ובשילוב טענות מוגזמות של גישה לתשתיות קריטיות. אף על פי שנראה כי גם טענות סייבר אוונג'רס לפגיעות שיצרו היו מוגזמות, גופי האכיפה לוקחים הסלמה זו ברצינות. "לא ידוע אם נועדו או הושגו פעילויות סייבר נוספות עמוק יותר לתוך בקרים אלה או רשתות בקרה ורכיבים קשורים", נמסר ממערך הסייבר הלאומי.
חלק מקבוצות ההאקרים הן איום מתמשך ומוכר לישראל, אך חלקן קבוצות חדשות. אחת מהן, שביקשה לעצמה תשומת לב במהלך סוף השבוע רווי הדיווחים, היא CyberToufan שהחלה את פעילותה עם פרוץ המלחמה. בימים האחרונים היא הפיצה דרך ערוצי הטלגרם מאגרי מידע של רשות הטבע והגנים והמכללה האקדמית תל אביב, בהם שמות, מספרי טלפון וכתובות מייל. את המידע השיגה בתקיפה מלפני כשבועיים על חברת האחסון signature-it הישראלית, שבה נפרצו ארכיון המדינה ועוד כ־40 אתרים ישראליים, בעיקר מתחום הקמעונאות.
בנוסף, אתמול איימו ב־CyberToufan כי הם ידליפו את מסד הנתונים של חברת המכשור הרפואי הישראלית לומניס מיקנעם עם מעל ל־80 אלף רשומות של לקוחותיה. "נתניהו וכוחותיו הצבאיים הפציצו בית חולים אחר בית חולים שלנו", כתבו בטלגרם בהתייחס לסיבה שבחרו להתקפה, "האם הוא חושב שההתנגדות והאומה המוסלמית לא יגרמו לישראל לשלם את המחיר בזמן הקרוב? כל ציוד תוצרת ישראל הוא יעד חוקי של CyberAv3ngers". מלומניס נמסר כי "לא זוהתה פריצה למערכות המידע של החברה".
לא כל ההודעות וטענות הקבוצות בטלגרם אוששו כנכונות, ולעתים הקבוצות נוהגות להגזים בהיקף ואיכות פעילותן. בכל מקרה, ברור כי מטרתן של ההתקפות, המתוחכמות יותר והמתוחכמות פחות, היא לא רק לפגוע בתשתיות קריטיות ישראליות, אלא גם להרתיע לקוחות של חברות ישראליות מלעשות איתן עסקים.
במקביל הודיע אתמול מערך ביטחון המידע של צה"ל כי חשף עשרות פרופילים פיקטיביים, או אווטארים שתכליתם לנסות לנהל קשר רומנטי עם פרטים מכוחות צה"ל באמצעות שיחות כתובות, הקלטות קוליות ושיחות וידיאו. "מדובר בתשתית שהפעילה עשרות פרופילים... במטרה לספק מידע לארגון הטרור חמאס", נכתב בהודעה. החקירה התבצעה על ידי מערך ביטחון המידע בצה"ל, על בסיס ניטור רשתות, והיא מצטרפת לפעילות דומה שעליה הודיעו במערך בתחילת נובמבר ובה נחשפו "עשרות פרופילים ברשתות החברתיות". במערך הבהירו כי את רשת האווטארים הזו גיבו באווטארים "תומכים" לפרופילים הפיקטיביים כדי לבסס את האמינות שלהם ברשת, ובין היתר יצרו פרופילים של "הורים", "אחים" ו"חברים" פיקטיביים. לטענת צה"ל, מדובר על היקף נתקפים פוטנציאליים של "מאות עד אלפי חיילי צה"ל בסדיר ובמילואים".
במהלך הנוכחי נמצאו עוד 40 דמויות פיקטיביות באינסטגרם, חלקן עם מאות עוקבים ונעקבים. כך, למשל, מציינים בהודעה את "ליה כהן", לכאורה מהנדסת תוכנה, בוגרת תואר ראשון באוניברסיטת בן־גוריון שמתגוררת באילת. "אדם", מקיבוץ אילות, אך במקור מצפון אירלנד מתנדב למען איכות הסביבה, "אוהב כלבים, אוכל וספורט" ול"שרה" שמתגוררת בדנמרק, אך רוצה לעשות עלייה, יש מעל ל־700 עוקבים והיא "אוהבת טבע ולטייל עם חברות".
בשבוע שעבר ועל רקע מתקפות הסייבר הרבות אושרו תקנות לשעת חירום שמאפשרות למערך הסייבר הלאומי למסור הנחיות ישירות לגופים עסקיים במקרה של מתקפות סייבר. הוראות השעה אף מחייבות את אותו גוף שזוהה חשש אצלו למתקפת סייבר לפעול במהירות בעניין. "למרות רגישותן וחשיבותן המשקית של חברות אלו, אין כיום גורם ממשלתי האמון על הסדרת פעילותן ככל שהדבר נוגע להגנת הסייבר", כותבים בתקנות לשעת החירום. את הוראות השעה החלו לנסח ולדון על היקפם בתחילת החודש והן מגדירות רשימת ספקים לא פומבית של ספקי שירותי אחסון וספקי שירותים דיגיטליים. הבחירה בשירותים אלו נובעת מהחיבוריות הגבוהה בין ספקים אלו למשרדים ממשלתיים וגופים ציבוריים, אל יתר חלקי המשק.
