לקראת הרמדאן: עלייה חדה במתקפות הסייבר על ישראל

העלייה הדרמטית במתקפות הסייבר על אתרים וחברות מישראל, שהחלה באוקטובר 2023, במקביל להתקפת הטרור של החמאס ולתחילת המלחמה – נמשכת. אחרי שבעקבות אותה עלייה, ישראל קפצה למקום הראשון בעולם בין המדינות המותקפות ב-2023, כעת, עם תחילת חודש הרמדאן, היא חווה גל נוסף של מתקפות – על ידי גופי איום בסייבר, קיימים וחדשים. ממצאים אלה עולים ממחקר חדש של רדוור.

החוקרים עקבו אחרי ערוצי הטלגרם של התוקפים, ומצאו שם חששות מכניסה של צה"ל לרפיח, שהניעו תוקפים פרו פלסטיניים לאיים על ישראל. אחד מהם, מנהיג כנופיית התקיפה LulzSec Indonesia, כתב: "אני מאיים על ישראל לבל תתקוף את העיר רפיח בחודש הקדוש של הרמדאן". גופי תקיפה איסלאמיסטיים נוספים הדהדו את המסר הזה.

"אנחנו עדים לעשרות רבות של גופי תקיפה, רובם איסלאמיסטיים, שחברו יחד בגל התקיפות הנוכחי", אמר רון מירן, מנהל תחום מודיעין סייבר ברדוור. "לצידם, גופי תקיפה מקצועיים כגון אנונימוס סודן, הקבוצה המסתורית של בנגלדש וצבא הסייבר השחור של מרוקו משתמשים בווקטורי תקיפה מורכבים ומתוחכמים. כמו כן, אנחנו עדים לגופי תקיפה חדשים, שלא נצפו קודם, ששומרים על עמימות ולא נוטלים אחריות – כדי להקשות על איתורם. יש להניח שמדובר בתוקפים בחסות מדינות, שמבצעים את המתקפות כנקמה בישראל, וכחלק ממלחמת הסייבר ישראל-איראן, שבה משתתפים גם תוקפים פרו-רוסיים". הוא ציין כי "בחלק מהתקיפות אנחנו מעריכים שמדובר ב-'ניסוי כלים', לבחינת הגנות הסייבר בישראל בכלל ושל מערכות פיננסיות בפרט".

על פי חוקרי רדוור, "חלק לא קטן מהתוקפים בגל הנוכחי הם חובבנים, מה שנקרא Script Kiddies, שמשתמשים בכלי תקיפה שנמצאים ברחבי הרשת, ובוחרים לתקוף אתרי מסחר וממשלה שאינם מוגנים".

"עלייה ברורה" בשימוש בווקטורי תקיפה שמקשים על זיהוי ההאקרים

החוקרים ציינו כי "קיימת עליה ברורה בשימוש בווקטורי תקיפה מתוחכמים, שנועדו להקשות על זיהוי והגנה מפניהם. ראינו בתקופה האחרונה אירועי סייבר רבים, שכוונו נגד ישראל, שבהם היה שימוש במתקפות מורכבות, עם כמה וקטורי תקיפה במקביל – ולמשך תקופה של מספר שעות עד ימים, עם כמה נקודות שיא במהלך האירוע". כך, ציינו, "היו מתקפות מניעת שירות מבוזרות מסוג Web DDoS Tsunami. במתקפות מעין אלה, התוקפים משחזרים בקשות מוצפנות של משתמשים לגיטימיים. מתקפות ה-DDoS הגיעו לשיא של 3.2 מיליון בקשות חיבור (לרשת ארגונית, אתר או אפליקציה – י"ה) לשנייה (RPS). קצב של מיליון בקשות בשנייה אחת משול לכל אדם בישראל שינסה להתחבר לאתר יותר משש פעמים בכל דקה".

ההאקרים, ציינו החוקרים, לא זנחו את וקטורי התקיפה המסורתיים. "אלה ממשיכים לייצר עומס תעבורה על אתרים עד שלא נותר רוחב סרט אפקטיבי לטובת המשתמשים הלגיטימיים. היו היקפי תקיפה שהגיעו עד 100 גיגה-ביט לשנייה", הוסיפו.

כמו כן, אנשי רדוור זיהו מתקפות DNS על תשתית האינטרנט. אלה נועדו למנוע משרתי ה-DNS לספק מידע וקישור לאתרים המותקפים. כך, משתמש שרוצה לגשת לאתר – לא יוכל למצוא אותו ברשת.

גידול גם במתקפות המתפרצות

על פי המחקר, סוג נוסף של מתקפות שחווה גידול בחודשים האחרונים הוא מתקפות מתפרצות (Burst attacks), שמאופיינות בפרצים רבי עוצמה של כמה וקטורי תקיפה בו זמנית. המתקפות הללו נמשכות זמן קצר – עשרות שניות עד דקות בודדות, והתוקפים חוזרים עליהן שוב ושוב, כי כל פרץ שכזה משבש את פעילות האתר המותקף.

המניעים למתקפות: אידיאולוגיים, אבל גם כלכליים

הגיוני לחשוב שגופי סייבר אידיאולוגיים מתקיפים את קורבנותיהם ממניעים אידיאולוגיים, פוליטיים, בלבד. לא כך המצב כאן: החוקרים מצאו שגופי התקיפה האיסלאמיסטיים שמתקיפים בתקופה האחרונה את ישראל עושים זאת אמנם ממניעים אידיאולוגיים, אבל לא רק, כי אם גם ממניעים כלכליים. "התוקפים הללו החלו לאמץ גם מניע כלכלי, ומציעים את שירותי התקיפה שלהם להשכרה", ציינו. "כך, גוף התקיפה האינדונזי Garuda Cyber Operation מציע שירות מתקפות DDoS במחיר של שני דולר ליום או 15 דולר לשבוע. גם אנונימוס סודן השיקה באחרונה שירות DDoS חדש – במקרה שלה שמו הוא InfraShutdown, והקבוצה תייגה אותו כ-'פסגת דומיננטיות סייבר חסינת כדורים'. חברי הקבוצה טוענים ליכולות שיבוש ברמת מדינה – בעלות של 150 דולר ליום".

לסיכום אמר מירן כי "המתקפות העיקריות הן ברמת תחכום גבוהה. גופי התקיפה, המקצועיים והחדשים, הפנו אותן נגד אתרי ממשלה, רשויות נוספות, רשתות מדיה, וכן נגד תשתיות תקשורת ופיננסיות – חברות טלקום, בנקים וחברות ביטוח גדולות. מרבית האתרים חוו מתקפות חוזרות ונשנות בימים האחרונים".