מחדל: פרטיה של מנהלת מפעל הסייבר בתע''א נחשפו על ידי ההאקרים האיראנים

חשבון המשתמש של אסתי פשין, שנחשבת לאחת מהדמויות המובילות בעולם הסייבר הישראלי, נגנב ונחשף בקובץ שהעלו ההאקרים האיראנים לאינטרנט לאחר שפרצו לרשת המחשבים של מפעל אלתא

רפאל קאהאן 12:5521.12.20

תגיות:

פרטיה של אסתי פשין, מנהלת מפעל הסייבר של תע''א נחשפו בקובץ נתונים שהעלו ההאקרים האירנים שפרצו לרשת המחשבים של מפעל אלתא של תע''א. פשין נחשבת לאחת מהדמויות המובילות בעולם הסייבר הישראלי ומובילה כבר מספר שנים את פעילות החברה בתחום. בין היתר היא הובילה את היצוא של מוצרי הסייבר של תע''א ברחבי העולם, עמדה מאחורי שת''פ הפעולה של החברה עם מערך הסייבר של סינגפור וסייעה להקים את מערכי הסייבר של חברות ישראליות רבות כמו אל-על למשל.

קראו עוד בכלכליסט:

חשיפת הפרטים שלה נובעת בעיקר מההתנהלות הקלוקלת של מנהלי הרשתות בתע''א. על פי מידע שהגיע ל"כלכליסט", חשבון המשתמש של פשין נחשף במסגרת גניבת הנתונים של ההאקרים. הקובץ שנגנב כולל רישום של רשת ה-Active Directory של תע''א. במהלך ניתוח הנתונים בידי מומחי סייבר נמצא כי חשבונות המשתמשים במחשבי החברה הוקמו באופן כזה שלחלקם היתה שליטה על החלפת סיסמאות באופן עצמאי. זאת אומרת שמבחינה תיאורטית מהרגע שההאקרים קיבלו גישה לרשת הם יכלו להתחבר לחשבון של פשין או של כל עובד אחר בעל הרשאות דומות ולנעול אותו מחוץ לחשבון המשתמש שלו. כמובן שהדבר גם מהווה פרצת אבטחה חמורה מאין כמוה.

אסתי פשין, מנהלת מפעל סייבר תעשייה אווירית אלתא צילום באדיבות: התעשייה האווירית

אלתא מפתחת מכ"מים ומערכות סייבר. אם ההאקרים הצליחו לשים את ידם על אפילו חלק קטן מנתוני החברה הדבר מהווה סיכון לאומי. האיראנים ידועים ביכולתם לבצע הנדסה לאחור של ציוד שנתפס על ידם ולהפוך אותו למוצר מבצעי. כך היה למשל לאחר שמל''ט קרב אמריקאי הופל בשטחם. האיראנים בנו אותו מחדש ודגם שלו אף ניסה לחדור למרחב האווירי של ישראל לפני כשנתיים.

החדירה של ההאקרים - שעל פי הערכות גורמי סייבר שונים - אינם מתוחכמים במיוחד מביכה מאוד. ישראל נחשבת למעצמת סייבר בכל הקשור למוצרים ורשתות בטחוניות אולם נקודות התורפה לרוב נמצאות אצל ספקים שלה. כגון חברות בטחוניות או אזרחיות שמספקות מוצרים ושירותים לצבא ומשרד הביטחון.

כך היה למשל במקרה של שירביט, שלה לקוחות רבים בזרועות הביטחון. כך גם היה בתקיפה של סולארווינדס שהביאה לפריצה של שירותי הביון הרוסי לכל הרשתות של ממשלת ארה"ב, כולל כנראה סוכנויות ביון. מיותר לציין שגם סולארווינדס היא ספקית של ממשלת ישראל.

מנכ”ל אלתא, יואב תורג’מן

אוהד זיידנברג, חוקר מודיעין סייבר ראשי בחברת קלירסקיי, הסביר ל"כלכליסט" כי "נמצא קשר חזק בין קבוצת ההאקרים Pay2Key לבין קבוצת האקרים איראנית נוספת בשם Fox Kitten". לפי הערכת קלירסקיי קבוצה זו לא נחשבת לפלילית ויתכן כי היא תשתמש בפריצה על מנת להביך את מדינת ישראל בעתיד.

לא מעט תגובות הופיעו בחשבון ההאקרים בטוויטר בו הם מתרברבים בתקיפה המוצלחת שלהם הן של איראנים, סורים או פלסטינים המעודדים אותם על הפעולה המוצלחת שלהם.

ליאור פרנקל, מייסד ומנכ''ל חברת הסייבר ווטרפול, אינו מסכים עם ההערכה של קלירסקיי, לדעתו מדובר כנראה בקבוצת עברייני סייבר שפשוט ניצלו את החולשה של מערכות הסייבר הישראליות.

במקביל, חשבון טוויטר נוסף בשם 0x972DC מתהדר בכך שהצליח בתגובה לפרוץ למערכות של ההאקרים האיראנים ולחשוף את פרטיהם ברבים. בחשבון הועלו מספר תמונות של דמויות שלדבריו שייכים למפעילי Pay2Key. לפי מה שנכתב בו אכן מדובר בקבוצת האקרים חובבנית יחסית שהצליחה לנצל פרצת אבטחה ידועה במערכות ווינדוס. ככל הנראה שהמערכת של תע''א לא עודכנה בהתאם כדי לחסום את הפרצה וההאקרים ניצלו זאת.

The clock is also ticking for those who's helped #pay2key. pic.twitter.com/jR2EVIG4Wo
— 0x972DC (@EmbeddedOle) December 20, 2020

מספר מומחי מחשבים איתם שוחחנו העלו תהיות בקשר לאופן בו מנוהלת הרשת הפנימית של תע''א. בין היתר העובדה שהרשת הארגונית מקיפה את כל החטיבות וחברות הבת של החברה חושפת את כולה לפריצה במקרה של חדירה לאחת הרשתות הפנימיות. פיצול של הרשת היה יכול למנוע חדירה למערכות נוספות. עם זאת, בשלב הנוכחי לא ברור אם ההאקרים היו מספיק מתוחכמים כדי לבצע תנועה רוחבית בתוך הרשת ולהגיע למיקומים בהם ישנו מידע חסוי או רגיש בטחונית, מדינית או עסקית. אך במקרה הזה מדובר ביותר מזל משכל.

אירוע החדירה בינתיים לא הסתיים וכרגע קשה להעריך מה היקף המידע שבידי ההאקרים. מה שבטוח שמדובר במהלך שגם שלטונות איראן יכולים לעשות בו שימוש. הסכנות שנובעות מכך שפעמים רבות צוותי ה-IT התפעוליים, שמנהלים בפועל את רשתות המחשבים של ארגונים, אינם מתורגלים ומיומנים מספיק באבטחת מידע מתורגם פעם אחר פעם לאירועי חדירה שלא דורשים יותר מדי תחכום מצד התוקפים.

אם בעבר ישראל יכלה ליהנות מכך שהיא אינה בראש רשימת המטרות של ההאקרים בעולם, לפחות אלה הפליליים, כעת המצב משתנה לחלוטין וככל שהמדינה תתהדר בכך שהיא מעצמת סייבר כך היא תמשוך כל מיני גורמים שינסו לעמוד באתגר.

כרגע נראה שההאקרים מצליחים להביך לא מעט חברות שנתפסות לא ערוכות לתקיפות סייבר, ועם הנטייה של ההנהלות בימי משבר כלכלי לקצץ בתקציבי הגנת הסייבר שלהם באופן רוחבי וללא הבנה לסכנה שעלולה להיגרם מכך, נראה שצפויות שלנו תקיפות נוספות.

תע"א מסרו בתגובה כי הנושא נמצא בבדיקה.