סיכום שנה: כמה ממתקפות הסייבר העיקריות ב-2024

LockBit, סנואופלייק, Volt Typhoon ועוד - אלה כמה ממתקפות הבולטות הסייבר הבולטות שאירעו השנה ● סיכום 2024 בסייבר - חלק שלישי

עוד שנה של מתקפות סייבר.צילום: ShutterStock

2024 הייתה עוד שנה של גידול במתקפות הסייבר – בין אם לצרכי פשיעה או בין מדינות, פריצות למידע שלנו והשתכללות של ההאקרים. זו הייתה שנה שבה תוקפי הסייבר עבדו קשה יותר, ובהתאם – גם מגיני הסייבר עשו זאת.

עלייה תלולה חלה במתקפות הסייבר על ישראל עקב המלחמה – אם כי פחותה ממה שאפשר היה לצפות. ארגוני הטרור ובעיקר האיראנים לחמו בנו גם בהיבט זה – במתקפות ובמידה רבה במבצעי תודעה, שנועדו לזרוע בלבול ודמורליזציה בציבור הישראלי. כמו כן, הם ניסו לגייס דרך המרחב המקוון מרגלים מהדור החדש – לא כאלה שנמצאים בחשאי במדינה שהינה יעד הריגול ומשדרים את המידע למדינה ששלחה אותם באותות מורס, אלא כאלה שמקבלים הוראות דרך הרשתות החברתיות ומעבירים את המידע באינטרנט. אם תרצו, ריגול מודל 2024. זאת, לצד המתקפות הרבות על ארגוני בריאות. הייתה לאיראנים השנה הצלחה, בעיקר במבצעי התודעה ובגיוס מרגלים אונליין, אבל היא הייתה מסוימת בלבד. מערך הסייבר הלאומי ובכלל, המגינים של אומת הסייבר הישראלית עשו עבודה טובה, והמדינה לומדת בימים אלה איך להתמודד עם סוג הריגול החדש.

אלא שהסקירה הזאת לא עוסקת במתקפות הסייבר על ישראל השנה, כי אם באירועים בעולם. והיו הרבה כאלה, כך שהיה קצת קשה לבחור. בכל זאת, אסקור כאן את המתקפות המרכזיות:

LockBit

בחודש ספטמבר מצאו חוקרי פורסקאוט, הישראלית במקורה, כי LockBit הייתה קבוצת האיום הפעילה ביותר השנה, בוודאי בתחום שלה – מתקפות כופרה – והייתה אחראית ל-15% מהמתקפות. זאת, למרות מבצע אכיפת חוק בינלאומי שכוון לתשתית הקבוצה בפברואר 2024, כחלק ממבצע קרונוס. הקבוצה זוהתה ב-2019 והחוקרים לא משייכים אותה למדינה מסוימת. בסוף יוני 2022 היא השיקה את הגרסה השלישית של הכופרה שלה. המתקפות העיקריות שיוחסו לה השנה היו על מחוז פולטון במדינת ג'ורג'יה שבארצות הברית, הקמעונאית הקנדית לונדון דראגס ובית החולים הגדול ביותר בקרואטיה. בחודש מאי הוגש בארצות הברית כתב אישום נגד מפתח הכופרה, דימיטרי חרושב, והמדינה אף הציעה 10 מיליון דולר תמורת קבלת מידע עליו. מוקדם יותר החודש הגישה הפרקליטות בקשת הסגרה לארצות הברית של אחד החברים בכנופייה, רוסטיסלב פאנב.

Volt Typhoon ו-Salt Typhoon

עוד שתי קבוצות האקרים בולטות השנה היו Volt Typhoon ו-Salt Typhoon הסיניות. בינואר האחרון חשף ה-FBI כי הוא הצליח לשבש את פעילות הקבוצה, שתקפה ארגוני תשתיות קריטיות בארצות הברית – ספקים של שירותים קריטיים ממגזרים שונים, בהם תקשורת, אנרגיה, מים ותחבורה.

חברי קבוצת ההאקרים, נמסר מהבולשת, "חטפו מאות" נתבים – המיועדים לשימוש של עסקים קטנים וביתיים בארצות הברית, ובנו רשת בוטים (בוטנט) מבוססת מכשירים נגועים בנוזקה, שעימה "קבוצת האיומים עלולה להשתמש להפעלת מתקפה נגד תשתית קריטית במדינה". הם רכשו את "משטחי ההשקה" הללו- משמע, תשתית שמופעלת לטובת מתקפות סייבר על תשתית קריטיות. זאת, באמצעות ניצול של פגיעויות באותם נתבים ישנים, המותקנים בארגונים קטנים וביתיים. הרוב המכריע של הנתבים ברשת הבוט היו נתבים ישנים של סיסקו ושל נטגיר.

בפברואר התברר כי התקיפות היו חמורות משחשבו: בכירים בארצות הברית מסרו כי "התוקפים התכוננו לבצע מתקפות הרס רבות" ושוטטו ברשתות האמריקניות הקריטיות בהסתר חודשים רבים, ובחלק מהמקרים זמן ארוך יותר, של עד חמש שנים.

באוקטובר דיווח הוול סטריט ג'ורנל כי האקרים חברי קבוצת Salt Typhoon ביצעו מתקפת סייבר מסיבית נגד רשתות של ספקיות פס רחב גדולות בארצות הברית. בעיתון צוין כי החשד הוא שהם "השיגו גישה למידע ממערכות שהממשל הפדרלי משתמש בהן, לבקשות להאזנות סתר ברשת – שאושרו על ידי בית המשפט". לפי הדיווח, להאקרים הסיניים הייתה גישה למאגר הזה במשך חודשים, או יותר, והם חדרו לרשתות של AT&T, וריזון, לומן וחברות אחרות. "הם עסקו במשימות חשאיות של גניבת נתונים והכנה אפשרית למתקפות סייבר עתידיות", דווח בעיתון.

סוכנויות הביון האמריקניות ציינו בהקשר של קבוצה זו כי היא תקפה שמונה ספקיות תקשורת מובילות בארצות הברית וניסו לטרגט, בין היתר, דמויות פוליטיות בולטות במדינה, בהן מי שהיו אז מועמדים לתפקידי הנשיא וסגן הנשיא (ובסופו של דבר נבחרו), דונלד טראמפ ו-JD ואנס. הם גנבו במסגרת המתקפה מטה דאטה של הרבה מאוד אמריקנים.

ההאקרים הסיניים "הצטיינו" גם השנה. צילום: Shutterstock

צ'יינג' הלת' קר

גם בארצות הברית, מגזר הבריאות היה אחד המגזרים המותקפים ביותר השנה. אחת המתקפות הגדולות ביותר על מגזר זה ב-2024, אם לא הגדולה ביותר, הייתה על צ'יינג' הלת' קר – ספקית של ניהול הכנסות ומחזורי תשלומים, המחברת בין תשלומים, ספקים ומטופלים במערכת הבריאות האמריקנית. היא מפעילה את מערך חילופי המידע הפיננסי והמנהלי הגדול בארצות הברית במגזר הבריאות. ככזו, היא מטפלת מדי שנה בכ-15 מיליארד מרשמים ותעבורות כספיות בין גופים שונים במגזר זה.

ב-21 בפברואר השנה החברה נפגעה ממתקפת סייבר, שמנעה יכולת להעביר תשלומים לרופאים על הפלטפורמה שלה. בשל המתקפה לא ניתן היה לטפל ולנהל תשלומים אלקטרוניים ותביעות רפואיות במרחב הבריאות בארצות הברית, מה שהוביל לשיבושים תפעוליים בקרב ארגוני בריאות רבים, במדינה ומחוצה לה. כך, מטופלים נאלצו לשלם עבור רבות מהתרופות שלהם מכיסם במקום לקבלם בחינם או במחיר מופחת תמורת מרשם. בחודש אפריל התברר כי הנזק מהמתקפה עמד על יותר ממיליארד דולר ובחודש אוקטובר – שנקצרו במסגרתה נתונים של 100 מיליון משתמשים.

איבנטי (Ivanti)

אחת ממתקפות הסייבר הבולטות של השנה אירעה בתחילתה, כאשר האקרים סינים ניצלו שתי פגיעויות באיבנטי ותקפו את מערכת ניהול הפגיעויות של ספקית תוכנות ה-IT ואבטחה. החברה ציינה כי צמד נקודות התורפה הן בדרגת חומרה גבוהה, וכי הניצול שלהן לרעה משפיע על ה-Connect Secure VPN של החברה. אחד הקורבנות של המתקפה היה בית החולים רמב"ם בחיפה.

חוקרי וולקסיטי ייחסו את ההתקפות נגד לקוחות Connect Secure לשחקן איום שפועל בחסות מדינת לאום, בשם UTA0178. ההערכות בקרב מומחי אבטחה הן שמדובר בקבוצת האקרים שפועלת בגיבוי הממשל הסיני.

סנואופלייק

שורת גניבות נתונים מענקית נתוני הענן סנואופלייק הפכה במהירות לאחת הפריצות הגדולות של השנה, בשל כמויות עצומות של נתונים שנגנבו מלקוחותיה הארגוניים. פושעי הסייבר מחקו מאות מיליוני נתוני לקוחות מכמה מהחברות הגדולות בעולם, כולל 560 מיליון רשומות מטיקטמאסטר, 79 מיליון רשומות מאדוונס אוטו פארטס ו-30 מיליון מ-TEG. מנדיאנט מבית גוגל קבעה שנגנבו נתונים מ-165 לקוחות של סנואופלייק, כאשר במקרים מסוימים מדובר היה בגניבה של "נפח משמעותי של נתוני לקוחות".

גם ההאקרים הרוסים לא טמנו השנה את ידם בצלחת. צילום: Shutterstock

APT29

בחודש אוקטובר הודיעו שורה של ארגוני ביון במערב כי חברי קבוצת ההאקרים הרוסית APT29, שמשויכת לשירות ביון החוץ של רוסיה (SVR), מרגלת אחרי ישויות אמריקניות, אירופיות וגלובליות במשך שנים, במטרה לאסוף מודיעין ולאפשר מתקפות סייבר עתידיות.

בהתרעה שהוציאו גופי הביון, בהם ה-FBI וה-NSA, נכתב כי יש להיזהר מפני קמפיין ריגול סייבר מתמשך של APT29. קבוצת האקרים זו ידועה גם בשמות Midnight Blizzard ,Cozy Bear ונובליום. על פי ההתרעה, מסע הריגול החל ב-2021 לכל המאוחר, ותרם למאמץ של רוסיה במלחמתה באוקראינה, מאז שפרצה בפברואר 2022.

הארגונים שהותקפו כללו ישויות ממשלתיות ודיפלומטיות, חברות טכנולוגיה, צוותי מחקר וחשיבה, ארגונים בינלאומיים וקבלני ביטחון מצפון אמריקה ומערב אירופה. כמה ארגונים מהמגזר הציבורי והפרטי באסיה, אפריקה, דרום אמריקה ומהמדינות השכנות של רוסיה – הותקפו גם הם.

ארכיון האינטרנט

בחודש אוקטובר חווה ארכיון האינטרנט, שמארכב אתרים ועמודים רבים ברשת, שתי פריצות, כאשר הפריצה השנייה אירעה במהלך תהליך השיקום שלו לאחר זו הראשונה. בפריצה הראשונה נחשפו פרטי כ-31 מיליון משתמשים.

תגובות

(0)

בכירים בהיי-טק: "המלחמה הוכיחה את החוסן של הענף"

הרשת בשגעת: מדוע שינה מאסק את שמו ב-X ל-קקיוס מקסימוס?

"בינה מלאכותית מביאה לניצול טוב יותר של משאבים"

"ה-AI תהיה חלק מהחיים של כל אחת ואחד מאיתנו"

"אירועי ה-7 באוקטובר יצרו מודעות לצורך ביצירת המשכיות עסקית"

מטריד: אמריקנים "מבלים" בשנה בממוצע 2.5 חודשים בנייד

המשך הפרויקט: 2024 בעיניהם של בכירים בהיי-טק

איזה סמארטפון הישראלים הכי אוהבים?

ממקיאוולי לצטבוט: האם אנחנו בדרך לאנושות נטולת מוסר ואתיקה?

מה יהיה על סדר היום של המנמ"רים בשנה הבאה?

איש השנה בהיי-טק הישראלי: יזהר שי

משקפי VR על עכברים: התעללות וניסוי מגונה של ממש

נשים ומחשבים: ענב מיה כהן, פלאריום

פודקאסט: כל מה שרציתם לדעת על דיני אינטרנט ומחשבים

נשים ומחשבים: ד"ר גלית חיים, המכללה למינהל

2024 הייתה שנה של AI – לטוב ולרע

סיכום שנה: כמה ממתקפות הסייבר העיקריות ב-2024