תשע"ט בסייבר הישראלי: מתקפות, אקזיטים ותחקיר אחד מדובר

תשע"ט בסייבר הישראלי הייתה עוד שנה של סייבר. גם השנה היו מתקפות, תולעים וכמה חברות מקומיות שעושות דברים שנויים במחלוקת, אם להשתמש בלשון זהירה. אחת מהן אפילו הייתה הנושא של תחקיר טלוויזיוני, שייתכן שניתן להגדיר דווקא אותו כאירוע שהכי העסיק את קהילת הסייבר המקומית השנה. והיו גם, איך לא, האויבים שלנו, ובראשם האיראנים.

בחודש הסליחות, אלול, שאו-טו-טו מסתיים, חשנו תחושת דז'ה וו, כאשר איראן שוב תקפה ישראלים בסייבר, בעיקר חוקרים המתמחים ברפובליקה האסלאמית. קלירסקיי, שכבר חשפה כמה וכמה מתקפות סייבר איראניות על גורמים ישראליים, מצאה הפעם שהמטרה של גל המתקפות היא להשיג מידע ולהשתלט על המחשבים של חוקרי אקדמיה ישראליים המתמחים באיראן, אישי מפתח מישראל וגולים איראניים בעולם. ההאקרים האיראנים – קבוצת תקיפה שקלירסקיי חשפה ב-2018 ושמכונה צ'ארמינג קיטן – התחזו לעיתונאים בכירים, בהם הפרשנית המדינית של CNN, סמנתה ווינוגרד, ולכתבי כלי תקשורת אחרים, לרבות של הדויטשה וולה, וכן לאתרים העוסקים בביטחון, כגון ISIS online (המוסד האמריקני למדע ולביטחון לאומי ולא דאע"ש – י"ה). ההאקרים הזמינו את הקורבנות למפגשים מקצועיים ולסמינרים ברחבי העולם. השלב הבא במתקפה היה ניסיון להשיג פרטי הזדהות וגישה לחשבונותיהם במייל וברשתות החברתיות פייסבוק ואינסטגרם, ואז להשתלט על החשבונות שלהם ולגנוב מהם את המידע שנשמר שם, כולל נמענים, תכתובות ומידע רגיש.

שוב: איראן עם היד על כפתור הסייבר. צילום אילוסטרציה: daoleduc/BigStock

עוד גילוי של קלירסקיי מהשנה הוא של רשת בת 150 אתרי פייק ניוז בשפות שונות שמפעיל המשטר בטהרן – לצרכי תעמולה ופנייה ישירה לגולשים במדינות אויבות של הרפובליקה האסלאמית, כמו ארצות הברית, סעודיה וישראל.

סטוקסנט שבה לכותרות

ישראל וארצות הברית, על פי פרסומים זרים, היכו בתכנית הגרעין האיראנית בפעולת סייבר ששיאה נחשף ב-2011. הן פיתחו את התולעת סטוקסנט, שפגעה במערכות בקרה תעשייתיות מסוג SCADA מתוצרת סימנס, ששולטות בצנטריפוגות במתקן ההעשרה של איראן בנתנז. המתקן היה מבודד מהרשת ועלתה השאלה כיצד בדיוק הודבקו הצנטריפוגות ששימשו להעשרת האורניום בנוזקה – מה שנותר כתעלומה עד כה.

חדשות יאהו! חשפו בחודש אלול פרטים אודות "חפרפרת הולנדית" שחדרה למתקן. סוכנות המודיעין והביטחון של הולנד, AIVD, תרמה תרומה מכרעת למתקפה, כשהחדירה סייען למתקן. ה-"חפרפרת" הייתה מהנדס איראני, שסיפק נתונים חשובים, קוד שיועד למתקן הגרעין בנתנז וכן מידע על גישה פנימית, שתאפשר להשתמש בכונן USB להדבקת המערכת בסטוקסנט. לפי הדיווח, AVID התבקשה על ידי המוסד וה-CIA לקחת חלק במבצע ב-2004, אולם הווירוס הושתל פיזית רק ב-2007. עד אז, עבד המרגל בחברת דמה.

שוב היא כאן. סטוקסנט. אילוסטרציה: BigStock

סטוקסנט הייתה חלק ממתקפת סייבר רחבת ההיקף, נייטרו-זאוס, שנועדה לשיבוש פעילויות התשתית החשובות של איראן, כמו מערכות הממשל, תחנות הכוח ורשתות החשמל. המתקפה זכתה לשם "המשחקים האולימפיים".

באייר דווח על קבוצת דיסאינפורמציה פרו-איראנית, שנוהגת מזה שנים להתחזות למותגי תקשורת עולמיים ומפיצה חדשות מזויפות על ארצות הברית, בריטניה, צרפת, ישראל וסעודיה. קבוצת ההאקרים האיראניים, שמכונה Endless Mayfly, ניצלה את הקשב ותשומת הלב של משתמשי המדיה החברתית כדי להפיץ את מסריה – כך על פי ממצאי סיטיזן לאבס, שסותרים את התיאוריה של חוקרי סייבר אחרים, שסברו שמדובר בהאקרים רוסיים.

התחקיר המדובר של השנה

עוד באייר: בתחקיר של NBC על בלאק קיוב הישראלית נטען שהיא פועלת ומתייחסת לעצמה כאל "זרוע פרטית של המוסד", ושנאמנותה וקשריה למדינת ישראל הם טוטליים ומוחלטים. "הם אף פעם לא יעבדו בניגוד לאינטרסים הישראליים", אמר לרשת האמריקנית מקור שמכיר את החברה.

כחודשיים לאחר מכן, בסיוון, הייתה בלאק קיוב הנושא של תחקיר גם בישראל – בתכנית עובדה של ערוץ 12. התחקיר, שהיה לאחד האירועים המדוברים ביותר השנה בקהילת הסייבר הישראלית, אם לא המדובר שבהם, חשף את הקשרים שבין החברה לגורמים שונים. למשל, כך נטען, ראש מדינה דיקטטורית באפריקה ביקש להשיג באמצעותה מידע על המתנגדים לו, והוט שלחה את החברה לאסוף עבורה מידע מהעיתונאים גיא לרר ואדם שפיר מתכנית הטלוויזיה הצינור, ששידרה באותה העת סדרת תחקירים על שירות הלקוחות שלה.

עוד בין לקוחותיה, על פי הדיווחים, נמצאים עוזריו של דונלד טראמפ, ששכרו את שירותיה במטרה למצוא "לכלוך" על יועצים לשעבר של ברק אובמה, שעבדו על הסכם הגרעין עם איראן, וכן על עיתונאים התומכים בו. זאת, בניסיון לערער את אמינות ההסכם ולהקל על טראמפ לסגת ממנו – מה שהוא אכן עשה, בסופו של דבר. המקרה שהוא אולי המפורסם ביותר שנקשר בשמה של החברה הוא זה של המפיק ההוליוודי הארווי וויינסטין, ששכר את בלאק קיוב על מנת לסייע לו לנקות את שמו, לאחר שהואשם על ידי נשים באלימות מינית.

בלאק קיוב הגישה תביעה בבית המשפט העליון של בריטניה נגד מערכת עובדה ונגד אילנה דיין באופן אישי, וטענה כי היא פועלת על פי החוק, כי היא הפיקה את הלקחים ממקרה וויינסטין וכי בתכנית לא הוצגו הצדדים החיוביים של בלאק קיוב ותרומתה לחברה.

אקזיטים עלייך, ישראל

בחשוון, סיגניה, המספקת ייעוץ ותגובה למתקפות סייבר, נרכשה על ידי טמאסק, חברת השקעות בינלאומית המנוהלת מסינגפור, תמורת כ-250 מיליון דולר. הנרכשת היא חלק מפלטפורמת המחקר וייזום חברות הסייבר Team8. מנכ"ל הפלטפורמה הוא נדב צפריר, לשעבר מפקד יחידה 8200 בצה"ל, והיה זה האקזיט הראשון שלה.

באדר א', פאלו אלטו רכשה את דמיסטו הישראלית, בסכום הנע בין 200 ל-300 מיליון דולר. הנרכשת מספקת אוטומציה של תגובות לאירועי אבטחה (SOAR) ועונה למחסור הכרוני בכוח אדם מקצועי בהגנת הסייבר. כשלושה חודשים לאחר מכן, באייר, היא קנתה את טוויסט לוק תמורת כ-450 מיליון דולר. החברה פיתחה טכנולוגיה לאבטחת מידע בקונטיינרים וירטואליים. הייתה זו הרכישה החמישית בישראל של הישראלי לשעבר ניר צוק, המייסד וסמנכ"ל הטכנולוגיות של ענקית האבטחה. ואם בפאלו אלטו עסקינן, בחודש אב קבע בית המשפט המחוזי בתל אביב כי משה בן אבו, ממייסדי סייברה, שאותה רכשה ענקית האבטחה ב-2014, נעשק על ידי שני שותפיו, נתנאל דוידי ואורי אלטר, ואלה חויבו להחזיר לו עשרות מיליוני שקלים.

רכש השנה עוד חברות בישראל. ניר צוק. צילום: ניב קנטור

באותו החודש רכשה פרימטראיקס, המגנה על אתרים ויישומי מובייל מפעילויות זדוניות ומתמחה בזיהוי וחסימת בוטים, את פייג'סיל, שפועלת בתחום הגנת צד הלקוח – באקזיט שכולו כחול לבן.

באייר, מטא נטוורקס נרכשה על ידי פרוף פוינט תמורת 120 מיליון דולר. המוצר שהיא פיתחה פועל בארכיטקטורה של ZTNA (ר"ת Zero trust network access) ומחזק את הארכיטקטורה מבוססת הענן של הרוכשת – בגישת האבטחה המתמקדת באנשים.

בשבט קנתה צ'ק פוינט את פורסק, גם במקרה זה באקזיט כל ישראלי, על מנת לחזק את היכולות שלה בהגנה בתחום הבינה המלאכותית – תמורת כמה מיליוני דולרים.

באדר א', סימנטק קנתה את לומינייט ושילמה עבורה סכום שהוערך אז בבין 200 מיליון לרבע מיליארד דולר. הנרכשת פועלת בתחום ה-Software-Defined Perimeter ומציעה ענן ארגוני מאובטח.

בנוסף, גם השנה עלתה NSO לכותרות בהקשרים שליליים, ולה, כמו לחברות סייבר התקפי אחרות, יש לא מעט במה להשתפר.