שובם של הצללים השחורים
למי שהיה ספק, חברי קבוצת ההאקרים BlackShadow הבהירו במתקפתם על ק.ל.ס קפיטל שהם לא הלכו לשום מקום ● מיהם חברי הקבוצה וכיצד מתגוננים מפניה?
קבוצת התקיפה BlackShadow, שאחראית למתקפת שירביט, חזרה בימים האחרונים לכותרות, עת פרסמה חומרים שאליהם הצליחה להגיע לאחר שתקפה את חברת מימון הרכב ק.ל.ס. קפיטל מטירת הכרמל.
תקציר האירועים הקודמים: בדצמבר האחרון עלה פרופיל חדש בטלגרם בשם BlackShadow. מפעילי הפרופיל פרסמו שהם הצליחו לפרוץ לשירביט. במשך כמה ימים פרסמו התוקפים חומרים רגישים שאותם הם הצליחו להדליף מהמערכות הפנימיות של חברת הביטוח. אירוע הפריצה לשירביט התאפיין ברעש תקשורתי גדול, שאותו קבוצת התקיפה ליבתה כל הזמן בפניות ישירות לעיתונאים ופרסום נתונים, תמונות, מסמכים פנימיים ואף פרטי המשא ומתן מול החברה.
לפני מספר ימים הקבוצה הודיעה בערוץ הטלגרם שלה כי היא הצליחה לפרוץ ל-ק.ל.ס. קפיטל, ומיד החלה להעלות קבצים המכילים מידע פנימי של החברה. בין הקבצים הללו יש צ'קים, שליפות ממסדי נתונים, צילומי תעודות זהות רבים, צילומי כרטיסי אשראי ואף רשימות של פרטי כרטיסי אשראי מלאים, כולל פרטי תוקף וספרות האימות (CVV). גם באירוע זה, הקבוצה ניהלה את האירוע בצורה ציבורית, פרסמה דרישת כופר להפסקת הדלפת הנתונים, וכן פרסמה את פרטי המשא ומתן המתנהל מול הקורבנות.
לאחר פקיעת האולטימטום הודיעו חברי BlackShadow כי המידע זמין למכירה, ואף שחבילת מידע ראשונה כבר נמכרה.
מיהם חברי BlackShadow ומה עומד מאחורי הקבוצה?
לשאלה זו אין תשובה אחת ברורה. רבים טוענים כי מדובר בקבוצת תקיפה איראנית, אולם מנגד, תצורת ההתנהלות שלה שונה מזו שאנחנו רגילים לראות בקבוצות תקיפה מדינתיות אחרות.
חשוב לציין שארגון פרטי לא מצופה לעמוד מול מתקפה ממומנת מדינה מאורגנת וממוקדת, ולכן הזנת הנרטיב שמדובר בתוקפים איראנים יכולה לשרת את החברות המותקפות ולהפחית מהאשמה הציבורית וייתכן אף מהאחריות המשפטית לאירוע. קיימים כמה טיעונים התומכים בכך שמקור הקבוצה הוא איראני: מורכבות הפריצה – הן בפריצה ל-ק.ל.ס והן בפריצה לשירביט מדובר בפריצה ממוקדת, שנמשכה לאורך זמן רב; מטרת התקיפה – בשונה ממתקפות למטרות רווח כלכלי, כאן נראה כאילו הדרישה לכופר באה כמחשבה אחרת, בעקבות שאלות עיתונאים; והמשחק הציבורי – אמנם זה לא משהו שמאפיין קבוצות מדינתיות בהכרח, אבל ניכר כאן שהתוקפים מעוניינים ביצירת רעש ציבורי, וארחיב על כך מיד.
מהם הטיעונים השוללים את ההערכה שמדובר בקבוצה שמקורה באיראן? המשחק הציבורי – כאשר קבוצות מדינתיות פועלות מול התקשורת, הן נוטלות אחריות ברורה. אם האיראנים רוצים לשלוח מסר לגבי יכולות הסייבר שלהם, הם לא יסתירו את זהותם – מה שקרה בשתי המתקפות; וסוגי המסמכים שדלפו – בשני האירועים ניכר שההדלפות נעשו בצורה מתוכננת, לאחר שבוצעה סריקה של המסמכים ובחירת אלה שיודלפו. כמו כן, ניתן להניח שיש בקבוצה אנשים שמבינים עברית.
האופי הפומבי שבו הקבוצה פועלת מחזק את הטענות שלא משנה מי עומד מאחורי התקיפות, כסף הוא לא המניע שלהן. גם איסוף מודיעין ירד מהפרק מאותה הסיבה. ניכר שיש פה תוקפים עם רצון ליצירת רעש תקשורתי-ציבורי – השפלת חברות ישראליות והלחצת הציבור. יהיה מעניין להמשיך ולראות לאן הקבוצה תיקח את זה ואילו עוד ארגונים יהיו על הכוונת שלה. מה שבטוח – מדובר בקבוצת תקיפה שלא בוחלת במטרות קטנות, כך שארגונים צריכים להיערך בהתאם.
איך מתגוננים מפני מתקפות?
שתי המתקפות – על שירביט ועל ק.ל.ס. – מחזקות את התפיסה שלפיה כל חברה, קטנה או גדולה, נדרשת להשקיע משאבים בניהול אבטחת המידע שיש ברשותה. בעוד שפתרונות טכנולוגיים יכולים להפחית את הסיכונים בצורה משמעותית, הם יקרים ולאו דווקא מותאמים לחברות קטנות. עם זאת, הקפדה על כללי פעילות כמו עדכון תחנות ושרתים, ניהול הרשאות משתמשים, ניהול סיסמאות ובעיקר הגברת מודעות לסימני זיהוי למתקפות יכולה לחזק משמעותית את רמת העמידות של הארגון נגד מתקפות סייבר, בזמן קצר ובעלות נמוכה.
זיהוי מתקפות מתחיל מערנות והיכרות עם סימני אזהרה: שולח לא מוכר, הנעה לפעולה, ניסיונות מניפולציה באמצעות הנדסה חברתית ועוד. הכשרת העובדים לזיהוי סימנים אלה מסייעת לארגון בהגנה מפני מתקפות, כמו גם לעובדים עצמם בהגנה על עצמם ועל היקרים להם. מתן הכלים ברמה האישית והפרקטית משנה את התפיסה של העובדים על מהי אבטחת מידע ומגייסת אותם להפוך לחלק ממערך ההגנה הארגוני. כל אלה הם צעדים שכדאי לארגונים לבצע, כדי שיהיו מוכנים מפני מתקפת הסייבר הבאה, שבסבירות גבוהה בוא תבוא.
הכותבת היא מומחית סייבר, מנכ"לית הלנה – חברה שמתמחה בבניית תוכניות מודעות אבטחת מידע לארגונים, מייסדת קהילת Think Safe Cyber בפייסבוק ומחברת הספר בטוחים אונליין – המדריך המלא להגנה עצמית ברשת.
תגובות
(0)