"תופעה חדשה במלחמה: האקרים המשלבים פשע עם ניחוח תקיפה מדינתית"

"החלוקה הקלאסית של קבוצות התקיפה היא של האקרים שפועלים ממניע כלכלי, אלה שפועלים בחסות מדינה וכן ה-האקטיביסטים (האקרים אקטיביסטים – י"ה). פושעי הסייבר פועלים ממניעים אופורטוניסטיים ולא אכפת להם מי הקורבן – אלא מה וכמה הרווח. לעומתם, מדינות פועלות באופן ממוקד, עם אג'נדה – לפגוע בסייבר ביעד ספציפי. מדינות רוצות חשאיות, כי חשיפה משמעה כישלון. הן מעוניינות לפעול בחשאי ולאורך זמן. בישראל אנחנו פוגשים בחודשים האחרונים בתופעה חדשה: קבוצות תקיפה שיש להן מאפיינים של פשע, אבל באות עם 'ניחוח' של תקיפה מדינתית", כך אמר עמיר בקר, סמנכ"ל בכיר לשירותי סייבר בסיגניה.

בקר, אל"מ (מיל'), הצטרף לחברה הישראלית, שפועלת בתחום התגובה לאירועי סייבר, ב-2022. הוא היה ראש חטיבת הסייבר ב-8200 ושימש כנספח הראשון בשגרירות ישראל בוושינגטון מטעם מערך הסייבר הלאומי. בשירותו קיבל בקר את פרס ביטחון ישראל על חלקו "בפעילות סייבר טכנולוגית-מבצעית", שלא פורטה.

עמיר בקר, סמנכ"ל בכיר לשירותי סייבר בסיגניה. צילום: גיא להב

לדברי בקר, "בקצה של מלחמות מודרניות יש טכנולוגיות. זו הנוכחית היא סייבר, וכלי הסייבר משתלבים במלחמה".

"ההאקרים בקבוצות הפשיעה", אמר, "פועלים ככל ארגון עסקי, עם חלוקה לתחומי 'אחריות': קביעת היעדים, נגישות, הדלפה והצפנה, קשר עם ה-'זכיינים' וניהול המשא ומתן מול הקורבנות. המטרה היא מינוף הביזנס, תוך אנונימיות, ביזור ושימוש בקריפטו – כדי שלא להיחשף ולהיחסם. בהעדר עונשים אפקטיביים, הקבוצות הללו פורחות וימשיכו ללבלב ולצמוח".

עמיר סדון, ראש המחקר בסיגניה צילום: יח"צ

עמיר סדון, ראש המחקר בסיגניה, אמר כי "אחת הקבוצות שאנחנו עוקבים אחרי פעילותה היא חנדלה – Handala Hack Team, שלקחה אחריות על כמה מהמתקפות שארגונים מישראל חוו. היא מציגה את עצמה כקבוצה האקטיביסטית, פרו-פלסטינית, אולם זהות חבריה נותרה לא ברורה, ולא בטוח שמדובר בהאקרים איראניים. חברי הקבוצה החלו לפעול בארץ בדצמבר 2023. הם פועלים כקבוצת פשיעת סייבר, אולם מניעיהם פוליטיים והם תקפו ארגונים ממגוון מגזרים בישראל, כולל בתי חולים וגופים עסקיים. הם 'יצור' שונה, חיים בסביבה הטבעית של פשע – אבל בעלי אג'נדה פוליטית". לדבריו, "לא פעם אנחנו רואים האקרים איראניים ש-'רוקדים בין העולמות' – גם סייבר התקפי, שמטרתו שיבוש, וגם איסוף מודיעין".

"סייענו לבלום מתקפת סייבר מצד קבוצת האקרים שנתמכת בידי סין ומכונה Ghost Emperor – קיסר רפאים", אמר. "בסוף 2023 חבריה תקפו ארגון גדול שפנה לעזרתנו, לאחר שהרשת שלו נפרצה ונוצלה כדי לחדור לרשת של ארגון נוסף. זו קבוצת תקיפה מתוחכמת, שפעלה בעבר בעיקר נגד גופי תקשורת וממשל בדרום מזרח אסיה".

עוד ציין סדון כי "חשפנו פרצת אבטחה במערכת Cisco NX-OS. חולשת האבטחה נוצלה למטרות ריגול, על ידי קבוצת ההאקרים הסינית Velvet Ant – נמלת הקטיפה. החולשה משפיעה על מגוון רחב של ציוד תקשורת שנמצא בארגונים רבים בארץ ובחו"ל. נמלת הקטיפה נחשבת לאחת מקבוצות ההאקרים המתוחכמות בעולם, ומתאפיינת בניצול חולשות אבטחה בציוד תקשורת של יצרניות גלובליות, כדי להקשות על חשיפתן באמצעי הניטור השגרתיים שבארגון הקורבן. כך מבטיחים ההאקרים גישה ממושכת לרשת הארגונית, תוך שהם מנסים לגנוב מידע רגיש לצרכי ריגול".

צלעות משולש הסייבר: קבוצות התקיפה, הקורבנות והממשלות

לדברי בקר, "יש משולש – קבוצות התקיפה, הקורבנות והממשלות. ההאקרים תוקפים קורבנות וממשלות. בשנים האחרונות אנחנו עדים להסרת הקווים האדומים, כשהם תוקפים גם מוסדות חינוך וארגוני בריאות. התפתחות זו מאלצת את הממשלות להתערב, והן עושות זאת, לצד הכבדת הרגולציות".

"תפקיד מנהל.ת אבטחת המידע בארגונים התפתח משמעותית, ויש לו.ה יותר תחומי אחריות עם משימות רבות: קביעת ואכיפת מדיניות אבטחה, ניסיון למניעת מתקפות, זיהוי כשהן קורות, ואז – הצורך בתגובה מהירה ביותר. יש בהנהלות מודעות רבה יותר לחשיבות של התפקיד, שהוא מעין מנהל סיכונים, ומציף את החשיבות של זמינות ורציפות עסקית לצד האבטחה", אמר.

לסיכום הוא ציין כי "לצערי, הסייבר ההתקפי מצד הרעים ימשיך לפרנס אותנו גם ב-2025. הטכנולוגיה לא יכולה לחיות לבדה – חייבים לשלב אותה עם הממד האנושי. תהליך הנטרול של הרעים נדמה להיות משחק חתול ועכבר אינסופי".