יום ירושלים האיראני בסייבר: יותר דיבורים, פחות מעשים

זה כמה שנים מצוין "יום ירושלים הבינלאומי" – יום שנתי המונהג באיראן ביום שישי האחרון של חודש הרמדאן. מטרתו: להביע התנגדות כללית לציונות, ובפרט לשליטת ישראל בירושלים. השנה המועד מקבל משנה תוקף ברקע המאבק מול טהרן מצד אחד, והמלחמה בדרום והעימות בצפון מנגד.

בישראל יש כוננות שיא, הכוללת היערכות לכל התרחישים. זאת, בעקבות האיומים בטהרן לאחר חיסול הבכירים האיראנים בשבוע שעבר בדמשק. בתוך שעות לאחר חיסולם של בכירים ממשמרות המהפכה האיראניים, בסוריה ובלבנון, בשבוע שעבר – בטהרן איימו בנקמה בישראל. "אין לי ספק שהאיראנים ינקמו על המתקפה בדמשק בשבוע שעבר", אמר לאנשים ומחשבים מורגן רייט, יועץ אבטחה בכיר לסנטינל וואן (SentinelOne). רייט עבד שני עשורים בממשל האמריקני – בין השאר במחלקת ההגנה וב-FBI, והוא זכה בשל כך ללא מעט עיטורים. "הנקמה מצד איראן בוא תבוא, השאלה היא מתי, כיצד ואיך. אני מעריך כי זה ייקח מעט זמן והמענה יהיה משולב, פיזי וקיברנטי – אבל אני משוכנע בכך שהמתקפה תקבל מענה מצד הרפובליקה האיסלאמית. אולי הם גם ישלבו במענה שלהם רחפנים". דברי רייט מהדהדים לאזהרת המודיעין האמריקני, שלפיה איראן תתקוף בכטב"מים.

בתוך כך, האקרים התרברבו כי פרצו בבוקר יום ו' האחרון למערכות משרד המשפטים, ובמשרד החלו להעריך את הנזק. תחילה נמסר ממשרד המשפטים כי "מאז שעות הבוקר וגם בשעות אלה, גורמי המקצוע במשרד וגורמי מקצוע נוספים בודקים את האירוע ומשמעויותיו. נכון לעכשיו היקף החומרים עדיין בבחינה ויידרש זמן לבחון את תוכן והיקף החומרים שדלפו ומקורם". אמש (ש') הנפיקו המשרד ומערך הסייבר הלאומי הודעה משותפת, שבה נאמר, כי "בתום בדיקה נשלל החשד הראשוני לאירוע סייבר ב-IT של משרד המשפטים, ולא זוהתה חדירה למערכות המשרד".

לא ניתן לפרט מעבר לכך, בשל צו איסור הפרסום שהוצא בפרשה. חקירה נפתחה בנושא.

מאוחר יותר עלה, כי אנשי אנונימוס התפארו בחשיפת "מיליוני דפי מידע ומאות ג'יגה של נתונים מהביטוח הלאומי וממשרד המשפטים". גורמים בישראל העריכו כי מדובר בחדשות כזב.

במערכת הביטחון נערכו למגוון של תרחישים: החל בירי רקטות, דרך פגיעה בגופים ישראליים בחו"ל וכלה בשיגור טילים מאיראן. למרות זאת, גורמים בישראל העריכו כי "אין חשש למלחמה אזורית".

לצד המתחולל בעולם הקינטי (הפיזי), בישראל נערכים למתקפות סייבר, שבחלקן עלולות להיות משמעותיות. זאת, בשל הערכה של גורמים רבים – מומחי סייבר בישראל ובחו"ל, שלפיה יום ירושלים האיראני יביא לגידול במתקפות – החל מהשחתת אתרים ("חירבוש"), עבור במתקפות שמטרתן ריגול ואיסוף מודיעין, דרך מתקפות שמטרתן שיבוש והרס, ועד מבצעי השפעה ותודעה, לרבות הפצת מידע כוזב.

בשבוע שעבר מערך הסייבר הלאומי הנפיק התרעה, כמדי שנה, מפני התגברות ניסיונות למתקפות סייבר. "השנה, על רקע מלחמת חרבות ברזל, גבר השיח העוין ברשת הקורא להתארגנות לביצוע מתקפות סייבר כנגד מרחב האינטרנט הישראלי", מסרו אנשי המערך. ההתארגנויות ברשת הן תחת ההאשטאג OpJerusalem#, שתוכנן ל-5 באפריל, ו-OpIsrael#, שתוכנן להיום (א'), ה-7 באפריל, ובה קראו להאקטיביסטים מרחבי העולם לתקוף את ישראל בימים אלו.

מדי שנה בתקופה זו מזוהות מתקפות, לרוב פחות מתוחכמות ומהסוג הקל יותר לביצוע באופן רחב, כגון השחתות אתרים, השתלטות על מערכות של בתים חכמים, הפצת מסרונים המכילים הודעות דיוג, פריצה לרשתות חברתיות, חדירה למאגרי נתונים של חברות והדלפות מידע, לצד פרסומים שמתהדרים במתקפות שלא בהכרח התרחשו.

לפי אנשי מערך הסייבר, "במסגרת ימי ציון אלו, זוהתה עלייה בהתעניינות התוקפים בגישה לממשקי ניהול אתרים, מצלמות ומערכות בקרה החשופות לרשת האינטרנט, חיבור מרחוק, גישה לנתוני הזדהות בדף הארגון, חולשות בדפי אינטרנט, חולשות בספריות חיצוניות חינמיות ועוד".

המערך פרסם המלצות לארגונים לחיזוק ההגנה, תוך דגש על מתקפות מניעת שירות, שימוש שעושים תוקפים בחולשות נפוצות, וקריאה לארגונים להטמיע את עדכוני האבטחה הרלוונטיים בהקדם.

בשנים הקודמות, יום ירושליים האיראני עבר בשקט יחסי. קבוצת האקטיביסטים אנונימוס, יחד עם עוד קבוצות פרו-פלסטיניות, נהגו לערוך מדי שנה את OpIsrael – שבמסגרתו מתבצעות התקפות סייבר כנגד ארגונים ישראליים. לדברי ניר יהושע, סמנכ"ל מחקר ב-CyFox, "השנה צפויה הפעילות לצבור תאוצה לאור המתיחות בין ישראל לחמאס. צפויות התקפות רבות ומתוחכמות יותר, אשר עלולות להשבית פעילויות של ארגונים ישראליים ולגרום לנזק משמעותי". הוא הוסיף, כי "התוקפים משתמשים בעיקר בכמה שיטות פעולה הבאות: מניעת שירות מבוזרת (DDoS); השחתה, Defacement; פגיעה או השתלטות על חשבונות סושיאל".

"על מנת להתגונן מפני איומים אלו", ציין יהושע, "יש להימנע מלפתוח אימיילים חשודים, לעשות שימוש בסיסמאות חזקות ולעדכן תוכנות ומערכות אבטחה. מומלץ להטמיע פתרונות אבטחה מתקדמים, כגון EDR, IDS/IPS, WAF  ואימות דו-שלבי".

גם Experis Cyber הנפיקו בסוף השבוע דו"ח, שלפיו "היום (א') צפויה בסייבר תגובה לסכסוך הישראלי-פלסטיני, ונעשה שימוש בפשעי סייבר ליצירת הד תקשורתי ולהפחדת הציבור הישראלי. לפי אינדיקציות שיש בידינו, נראה שחברות ישראליות רבות ממגזרים שונים, כמו תחבורה, ממשלה, תשתיות ועוד, מופיעות ברשימת היעדים הפוטנציאליים של המתקפה. כידוע, ארגונים ישראליים מותקפים באופן קבוע גם בשגרה, ולא דרוש מאורע מיוחד או תאריך מסוים כדי שיתרחשו, אך כמות התקיפות הצפויה להתרחש במסגרת Op-Israel צפויה לשבור שיאים חדשים, על רקע המלחמה בעזה. עיקר ההתקפות הצפויות במסגרת הקמפיין מתאפיינות בהשחתה/השבתה של אתרי אינטרנט, חדירה למאגרי נתונים והדלפת מידע רגיש, גניבת מידע ממשתמשים באמצעות טכניקות פישינג שונות, תקיפות כופר, ניצול חולשות מוכרות חדשות וישנות, השתלטות על מערכות IoT של בתים חכמים, פריצת חשבונות בנק ועוד".