אתר הכנסת מושבת זה חמישה ימים; האקרים איראנים: "פרצנו אליו"

חמינאי, הו, חמינאי: קבוצת תקיפה איראנית טוענת כי פרצה לתשתיות של אתר הכנסת, גנבה ממנו מידע ושיתפה את חלקו בדארקנט. אתר הכנסת לא פעיל מזה חמישה ימים והגולשים שנכנסים אליו מקבלים הודעה שלפיה "האתר בתחזוקה, עמכם הסליחה".

קבוצת ההאקרים האיראנית מכנה את עצמה נקמה מובטחת. לטענתה, היא הצליחה לפרוץ את התשתית של אתר הכנסת. ההאקרים פרסמו את המידע בערוץ הטלגרם שלהם, ולדבריהם, הם הצליחו לגנוב נתונים רגישים ולשלוח הודעות SMS למיליוני אזרחים ישראלים.

על מנת לבסס את אמינות הטענה שלהם, ההאקרים הציגו כמה צילומי מסך, שלטענתם נלקחו מהרשת הפנימית של הכנסת. אולם, הם לא סיפקו כל מידע נוסף שיאמת את טענותיהם.

"פעולת סייבר איראנית שמטרותיה הן גניבת מידע, שיימינג ומבצע השפעה"

גורם אבטחה המעורה בפרטי המקרה אמר לאנשים ומחשבים כי "זו עוד דוגמה לפעולת סייבר איראנית שיש לה מטרה כפולה: גניבת מידע מסורתית ופרסומו של מידע זה לטובת שיימינג. מטרה נוספת היא מבצע השפעה, שמטרתו לערער את אמון הציבור במוסדות השלטון ובכלל הגופים הפועלים במדינה – ואז מה יותר 'מוצלח' מבחינתם מאשר פריצה, שהצליחה, לבית המחוקקים הישראלי?"

"הרשת והתשתית של (אתר – י"ה) הכנסת לא ישמשו עוד טרוריסטים ציוניים לובשי חליפות". אחת ההודעות שההאקרים שלחו, לטענתם, במסגרת הקמפיין שלהם. צילום: לכידת מסך

לאנשים ומחשבים נודע כי ההאקרים אמנם מכנים את עצמם נקמה מובטחת, אולם אלה חברי קבוצת הפריצה האיראנית חנדלה. לפי הידוע עד כה, בשבוע שעבר הם פרצו לרשת המנהלת את אתר הכנסת, לאחר שמצאו חולשת אבטחה שדרכה הם חדרו לאתר. או אז הם קצרו ממנו חומרים והשביתו אותו, על ידי שיבוש פעולת השרתים. ככל הנראה, לא מדובר במתקפת כופרה.

לא פריצה ראשונה של הקבוצה

אותה קבוצה טענה במאי השנה כי היא פרצה למערך ה-IT של המכללה האקדמית רמת גן. בערוץ הטלגרם שלה פרסמו חבריה קובץ ובו נתונים ומסמכים המכילים מידע על סטודנטיות וסטודנטים שלומדים.ות במכללה. ההאקרים הצליחו לערוך פעולות השחתה ("חירבוש") באתר המכללה, וכך הופיעו בו הודעה התומכת בתושבי רפיח (We stood by Rafah), והבטחה להמשך: "זו הייתה רק אזהרה". יצוין כי הפריצה בוצעה בימים שבהם החלה הפעולה של צה"ל בעיר, במסגרת המלחמה.

בעקבות פריצה זו, מערך הסייבר הלאומי הנפיק אזהרה בנושא, לאחר מחקר שערך בשיתוף חברה מסחרית ששמה לא צוין. נמצא כי מאחורי ניסיון הפריצה עומדת קבוצת תקיפה איראנית. לאנשים ומחשבים נודע כי מדובר בקבוצת חנדלה, כפי שחברי הקבוצה אמנם טענו.

אחת ההודעות שההאקרים שלחו, לטענתם, במסגרת הקמפיין שלהם. צילום: לכידת מסך

חברי חנדלה מציגים את עצמם כקבוצה האקטיביסטית (של האקרים אקטיביסטים), פרו-פלסטינית, שהוקמה באחרונה, אולם חוקרי אבטחה ציינו כי זהותם נותרה לא ברורה. כך או כך, הם הקימו חשבונות מדיה חברתית שונים, כולל בטלגרם וב-X, וגם הרימו אתר – שאינו שלם. חברי חנדלה דיווחו בערוצים שלהם על המתקפות בזמן אמת, ובאותן ההזדמנויות אף לעגו למערך הסייבר הלאומי של ישראל.

משמעות השם חנדלה, או חנט'לה, היא פקועה – פרי שטעמו מר, ויש מי שסבור שהשם מהדהד למרירות של הפלסטינים במאבקם לזהות ולעצמאות מדינית. אפשרות אחרת היא הדהוד לדמות קומיקס מפורסמת של הקריקטוריסט נאג'י אל על, שהופיעה בפעם הראשונה לפני יותר מ-50 שנה. יצוין שיש חוקרי אבטחה שחושבים שלא מדובר בהאקרים איראניים, כי דמותו של חנדלה משמשת גם כסמל התנועה הירוקה באיראן. תנועה זו קמה לאחר הבחירות לנשיאות איראן ב-2009, על מנת להפיל את שלטונו של מחמוד אחמדינג'אד.

הכנסת: "ניסיון הפריצה נבלם בזמן אמת"

מהכנסת נמסר בתגובה: "אתר הכנסת הוא אתר שמכיל מידע גלוי וזמין לציבור הרחב, במסגרת פרויקט 'כנסת שקופה', שמטרתו להנגיש מידע לאזרחים. אגף הסייבר של הכנסת זיהה חשד לניסיון פריצה לאתר ובלם אותו בזמן אמת. יודגש כי אתר הכנסת מבודד מרשתות אחרות של הכנסת ובשלב זה אין חשש לדלף מידע רגיש או עדכני שניתן לעשות בו שימוש. ליתר ביטחון, צוותי הסייבר של הכנסת, בשיתוף מערך הסייבר הלאומי, ממשיכים לבצע בדיקות".

לגבי הודעות ה-SMS נמסר כי "המסרונים שנשלחו תוך שימוש בשם הכנסת הם ניסיון התחזות והפחדה, והם לא הצליחו להשיג את מטרתם. חשוב לציין כי אתר הכנסת ירד באופן יזום לצורך עבודות תחזוקה כבר ביום ה', ואלה צפויות להימשך עוד כמה ימים. הודעה בנושא הועברה מראש למשתמשים. הכנסת מדגישה כי היא פועלת בלא לאות להגנה על מערכות המידע שלה, לצד הבטחת שקיפות מרבית לציבור, תוך שמירה על אבטחת מידע".