בכירים בממשל האמריקני: איראן – המקור למבול המתקפות הקיברנטיות בארצות הברית

פקידים בכירים בממשל האמריקני מצביעים על איראן כמקור למבול המתקפות הקיברנטיות ולניסיונות הפריצה לבנקים בארצות הברית שבוצעו בחודשים האחרונים – כך דיווח הניו-יורק טיימס (The New York Times).

כמה בנקים, ביניהם HSBC, סיטיגרופ (Citigroup) ובנק אוף אמריקה (Bank of America), חוו בחודשים האחרונים מתקפות מניעת שירות מבוזרת (DDoS) שגרמו להפלת אתרי האינטרנט שלהם, לשיבוש פעולתם ולמניעת גישה מקוונת של הלקוחות לחשבונות הבנקאיים שלהם. עם זאת, לא נגנבו נתונים וכספי הלקוחות נותרו ללא פגע. קבוצה בשם "גדודי לוחמי הסייבר של עז א דין אל קסאם" נטלה אחריות למתקפות.

לדברי פקיד לשעבר ממחלקות המדינה והמסחר של ארצות הברית, יש להניח שטהראן היא המקור למתקפות הללו. "אין בממשל האמריקני ספק, כי איראן היא העומדת מאחורי המתקפות", אמר ג'יימס לואיס, לשעבר בכיר בממשל וכיום עמית מחקר ומומחה לאבטחת מידע במרכז ללימודים אסטרטגיים ובינלאומיים בוושינגטון.

קציני מודיעין אמריקניים אומרים, כי איראן מנהלת את המתקפות בתגובה לסנקציות כלכליות המוטלות עליה מצד מדינות מערביות ולנוזקות שפגעו בה ושמקורן, ככל הנראה, במערב – פליים (Flame), דוקו (Duqu) וסטוקסנט (Stuxnet). זו האחרונה פגעה במערכות השו"ב שמנטרות את פעילות הצנטריפוגות במתקני הגרעין של איראן, הביאה להתחממותן ולהוצאת יותר מאלף מהן מכלל שימוש.

כמות הנתונים שהציפו את הבנקים בארצות הברית במתקפות האחרונות הייתה גדולה "פי כמה וכמה פעמים" מכמות הנתונים שאסטוניה הוצפה בהם כשרוסיה תקפה אותה קיברנטית לפני יותר מחמש שנים.

המתקפות נגד הבנקים בארצות הברית בוצעו, ככל הנראה, באמצעות מחשבי זומבי שהיוו מחלק מרשתות בוטנט. האופן המדויק בו הן נעשו "הוא עדיין בגדר תעלומה", ציין הניו-יורק טיימס, אך הזהיר שההאקרים השתמשו בהתקפות DDoS מוצפנות והציפו את השרתים בבקשות לנתונים מוצפנים – ולא בבקשות לנתונים רגילים. זאת, כדי להאט את ביצועי הרשתות.

ההאקרים שתקפו הודיעו ברשת, כי אין להם כל כוונה להפסיק את המתקפות נגד בנקים בארצות הברית וטענו שמטרתם היא ליצור מצב בו "אף בנק לא יהיה בטוח".

"גם ישראל חוותה מתקפות כאלה"
לדברי אלון מנצור, מנכ"ל 2BScure מקבוצת מטריקס, "מדובר במתקפות שבמסגרתן שולחים התוקפים כמות גדולה של פניות וגם ישראל חוותה מתקפות כאלה, בתחילת 2012. במקרה זה, הפניות היו בתעבורה מוצפנת, מה שמאט עוד יותר את זמן התגובה של השרת המותקף". מנצור ציין, כי "מתקפה מסוג זה נחשבת פשוטה יחסית. היא גורמת לכך שהמחשב והמערכת המותקפים לא זמינים, אבל היא לא חודרנית ברמה של גניבת או שיבוש מידע. עם זאת, מאוד מורכב למנוע התקפות שכאלה, מכיוון שמערכות ה-IT תמיד יהיו מוגבלות ליכולת קבלת פניות".

הוא הוסיף, כי "אם, לדוגמה, בנק מסוים מספק שירות למיליון לקוחות בממוצע חודשי, הוא מקים את המערכת למתן מענה לחמישה מיליון לקוחות וגורם עוין ייצר 10 מיליון פניות לשרת – השרת יקרוס או שקו התקשורת יהיה עמוס מכדי להעביר את הפניות הלגיטימיות".

"בעבר, המתקפה הייתה באמצעות התאגדות של קבוצות גדולות בעולם, של עשרות או מאות אלפי תחנות שפנו לכתובת מסוימת", הוסיף מנצור. "לאחר מכן שוכללה המתקפה על ידי הדבקה של מיליוני מחשבים 'תמימים' ברחבי העולם, באמצעות וירוס או קובץ עוין שמנוהל על ידי מחשב Control. הקובץ הפעיל את הווירוס בעיתוי שרצה ובכך גרם להפניית מיליוני מחשבים לכתובת. כיום, המתקפה מתוחכמת יותר ומבוצעת באמצעות תוכנות שמייצרות כמויות מאוד גבוהות של פניות ממחשב חזק אחד. כמו כן, התוכנות הללו מתחכמות בכך שהפנייה היא לא סתמית, אלא מנצלת חולשות ביישומים שבצד הנתקף, כך שהיישום נכנס ל-לופ אינסופי, גם אם כמות הפניות הייתה לא גבוהה במיוחד".

הוא סיכם באמרו, כי "סוג זה של מתקפות מאוד פופולרי באחרונה. גם ישראל סבלה מתקפות דומות בשנה האחרונה. הפניות בתעבורה מוצפנת הופכות את המתקפה הנוכחית למעניינת ומורכבת יותר. יחד עם זאת, היא גורמת להשבתת השירות, מה שגורם לאי נוחות, הפסד כספי ובעיה תמידית, אולם היא לא פוגעת בחשיפת המידע או משבשת אותו".