הסלמה במתקפות הסייבר על ישראל; הבריאות, הטלקום והאקדמיה – במוקד

הסלמה במתקפות הסייבר על ישראל: מערך הסייבר הלאומי הודיע היום (א') כי איתר קבוצת תקיפה איראנית. כמו כן, בימים האחרונים בוצעו תקיפות על אתרים של גופים שונים, בהם על האתר של קבוצת הכדורסל של מכבי תל אביב ועל וואלה. ככלל, לאנשים ומחשבים נודע כי היקף מתקפות הסייבר על ישראל צמח מאז תחילת המלחמה בעשרות אחוזים.

בהודעה שהוציא מערך הסייבר צוין כי בידיו "מידע לגבי קבוצת תקיפה איראנית שפועלת באמצעות Wipers (מגבים, פוגענים למחיקת שרתים ותחנות עבודה) במרחב האינטרנט הישראלי". ההודעה לא מפרטת אודות זהות הקבוצה, אילו מתקפות היא ביצעה והאם הן היו מוצלחות.

עלייה של 20% במתקפות לעומת התקופה שלפני המלחמה

מנתונים שהגיעו לידי אנשים ומחשבים עולה כי יותר מ-12 קבוצות תקיפה בסייבר – רוסיות, איראניות ושל החיזבאללה – הגדילו את היקף המתקפות שלהן בחודש האחרון על ארגונים ישראליים בעשרות אחוזים. שלושת המגזרים הארגוניים שחווים את מרב המתקפות הם מגזרי הבריאות, הטלקום והאקדמיה. קבוצות אלה בולטות ברמת הפעילות שלהן מתוך כ-100 קבוצות שתוקפות את ישראל במקביל, שחלק גדול מהן אלה קבוצות תקיפה של האקרים פרו-פלסטינים והאקרים של החמאס, שרמתה הטכנולוגית בעולם הסייבר ההתקפי נמוכה יותר.

לפי נתונים של צ'ק פוינט, היקף המתקפות הכולל עלה בשיעור של כ-20% ביחס לתקופה שלפני המלחמה. במגזרי הביטחון והממשלה, מדובר בזינוק של יותר מ-50%. כמו כן, חלה עלייה מובהקת, בשיעור של 16%, בהיקף מתקפות הכופרה על גופים ישראליים. עוד הובחנה עלייה של 7% במתקפות על מוצרי IoT – מצלמות אבטחה, בתים חכמים ועוד. גם המתקפות על טלפונים ניידים גדלו, במקרה זה בשיעור של 4%, בעוד שבעולם חלה ירידה בהיקפי התקיפות הללו באותה תקופת זמן.

בחודש האחרון: אחד מכל 19 ארגונים בישראל הותקף לפחות פעם בשבוע

מצ'ק פוינט נמסר כי אחד מכל 19 ארגונים בישראל הותקף בחודש הנוכחי בכופרה לפחות פעם בשבוע. הנתון משקף שיעור יותר מכפול לעומת אוקטובר 2022.

עוד נתון שעולה הוא שבעוד שחלק ניכר מהמתקפות הן מסוג מניעת שירות מבוזרת (DDoS), הרי שהמתקפות הללו הן מתוחכמות יותר מבחינה טכנולוגית.

רבות מהמתקפות – DDoS. צילום: BigStock

יצוין כי לא נמצא קשר בין סוגי קבוצות התקיפה, אולם דפוס הפעילות שלהן זהה: דפוס אחד הוא חדירה למערכות ה-IT של הארגונים שנפלו קורבנות, קצירת מידע אישי או מסחרי רגיש, ואז פרסומו ברשת האפלה. הדפוס השני הוא חדירה למערכות המחשוב הארגוניות, לטובת השבתה שלהן.

Scarred Manticore

אחת הקבוצות שהגבירו את פעילותן בחודש האחרון היא Scarred Manticore – קבוצת איומי סייבר איראנית, שמקושרת למשרד למודיעין ולביטחון לאומי (MOIS) של ממשלת טהרן. זו מנהלת בחשאי מבצעי ריגול מתוחכם בסייבר בקרב ארגונים במזרח התיכון, תוך שימוש בכלי תקיפה בשם LIONTAIL. "ערכת תקיפה מותאמת זו, LIONTAIL, מנצלת בחוכמה פונקציות לא מתועדות של מנהל ההתקן של HTTP.sys, ומאפשרת ל-Scarred Manticore למזג פעילויות זדוניות בצורה חלקה – לתוך תעבורת רשת לגיטימית", נמסר מענקית האבטחה והסייבר הישראלית.

עוד מסבירים בצ'ק פוינט שחברי Scarred Manticore עוסקים באיתור ואיסוף שיטתי של נתונים, עם מיקוד בארגונים גדולים או יעדים בעלי ערך גבוה. הטקטיקות של חברי הקבוצה התפתחו בחלוך הזמן, ומה שהחל במתקפות "בסיסיות" על שרתי Windows היה ל-"מסגרת תקיפה מתקדמת עם ערכת כלים מגוונת ועוצמתית, שמשתמשת ברכיבים שנכתבו בהתאמה אישית, כמו גם ברכיבי קוד פתוח. כל אלה משקפים את הגידול ביכולת התקיפה בסייבר של איראן. LIONTAIL משמשת כנשק הסודי של Scarred Manticore. הוא כמו גאדג'ט ריגול היי-טק בערכת הכלים שלהם. הכלי הזה ערמומי וקשה לזיהוי".

האויבים משתמשים בנוזקה שהם קוראים אותה על שמו. ראש הממשלה, בנימין נתניהו. צילום: ShutterStock

כלי תקיפה נוסף שבו משתמשות הקבוצות שזוהו הוא Wiper שעונה לאחד מהשמות – BiBi-Linux Wiper ו-BiBi-Windows Wiper. עם נוזקה זו חברי הקבוצות פרצו, או ניסו לפרוץ, לחברות ישראליות ברחבי הארץ, בניסיון לפגוע בתשתית של חברות הקורבן. ביבי, הכינוי הנפוץ של ראש הממשלה, בנימין נתניהו, היה מקודד בקוד בתוך הנוזקה, כמו גם בכל קובץ שנהרס.

"המתקפות הללו הן חלק מהלוחמה"

לדברי עידן וינר, מנהל הפעילות העסקית של צ'ק פוינט בישראל, "המתקפות הללו הן חלק מהלוחמה, שאינה רק פיזית. אף שגוף המחקר שלנו לא מצא קשר בין סוגי קבוצות התקיפה, הרי שיש קשר בינן ובין המתקפות שלהן – למצב".

וינר ציין כי "בסופו של יום, מקבלי ההחלטות בכל ארגון וארגון נדרשים להבין שהם מותקפים מדי יום, בין אם הם יודעים זאת או לא. עליהם להפנים שבעזרת כמה פעולות חיוניות ולא קשות הם יכולים לצמצם את היקף המתקפות, את שיעור ההצלחה שלהן ובוודאי שלמנוע את חלקן".

עידן וינר, מנהל הפעילות העסקית של צ'ק פוינט בישראל. צילום: יח"צ

"מערך המחקר שלנו, שמונה כ-150 חוקרים, רואה עלייה מסיבית, בשיעור של עשרות אחוזים, בהיקף המתקפות ובעצימותן", אמר. "עשרות ארגונים בישראל הותקפו בעצימות גבוהה יותר בחודש האחרון. מזה יותר משבועיים אנחנו פועלים לביצוע התאמות והקשחות של מערכי ההגנה בארגונים, כדי לצמצם את יכולת החדירה של הקבוצות. כך, למשל, אנטי בוט – מנוע זה, שמצוי בתוך פיירוולים, חוסם באופן מוחלט מאות כתובות IP המקושרות לאותן תשתיות תקיפה שפועלות נגד ישראל. במנוע Threat Emulation שלנו הטמענו מעל 50 חתימות ייעודיות לטובת זיהוי של נוזקות איראניות. כמו כן, ערכנו כבר שלושה וובינרים בנושא, בהשתתפות מאות מנהלי אבטחה והגנת סייבר, ויש להם ביקוש גבוה".

"אנחנו ממליצים בחום להטמיע מוצרי הגנה מתקדמים, דוגמת XDR, לנצל באופן מלא את כלי ההגנה הקיימים ברשות הארגון, ולעדכן את כל מה שדורש עדכון והטלאה. יש להימצא בקשר עם אנשי מקצוע ולערוך התאמות מדויקות לכל סוגי המתקפות. ארגונים שהקשיבו להמלצות שלנו מנעו כמחצית מהמתקפות עליהם", סיכם וינר.