סיכום המתקפות ב-2020: הכאוס העולמי עשה רק טוב לפושעי הסייבר

בסוף כל שנה, כתבי הטכנולוגיה קובעים שהייתה זו השנה הגרועה ביותר בסייבר. כך ב-2010, כשהווירוס המתוחכם סטאקסנט, שלפי פרסומים זרים פותח על ידי ארצות הברית וישראל, פגע בתוכנית האטום של איראן; כך ב-2014, כשהאקרים צפון קוריאנים השביתו את ה-IT של אולפני סוני, בגלל סרט שלעג לרודן המדינה, קים ג'ונג און; וכך ב-2016, כשהאקרים שלוחי רוסיה התערבו בבחירות לבית הלבן ותקפו את מערכות המפלגה הדמוקרטית. אלא שנראה שהשנה שמסתיימת לה היום (ה') מאפילה עליהן, בגלל הרבה סיבות, ובמרכזן הנוזקה שהודבקה לתוכנת אוריון של סולארווינדס, שפגעה במאות ארגונים ובעשרות גופי ממשל פדרליים.

12 החודשים האחרונים היו כאוטיים לחלוטין עבור העולם כולו – מבחינה בריאותית וכלכלית, אבל גם מבחינה טכנולוגית, בין היתר בגלל הצורך לעבור לעבודה מהבית. אי הוודאות הבלתי נגמרת הזו העניקה הזדמנות מעולה לפושעי סייבר לזרוע הרס ברחבי העולם – ממתקפות פישינג שקושרו לקורונה ועד להאקרים שלוחי מדינות שתקפו מכוני מחקר, חברות תרופות וארגוני בריאות שעוסקים בפיתוח חיסון לקורונה, לרבות ארגון הבריאות העולמי.

בשל המגיפה, התלות בשירותי הענן השנה הפכה לכורח. יישומי הענן של מיקרוסופט אופיס 365 – טימז, אאוטלוק, שיירפוינט ואחרים – לא היו זמינים או פעלו חלקית למשך 10 ימים בספטמבר-אוקטובר. ביוני, יבמ האשימה צד ג' בהשבתת שירותי הענן שלה – תקלה שגרמה להורדת אלפי אתרים של לקוחותיה. החודש, גוגל חוותה תקלת גלישה עולמית נרחבת, ששיבשה, או השביתה, את שירותי יוטיוב, ג'י-מייל, Google Drive ,Google Maps ,Google Home ו-Google Docs. השבתה נוספת בענן של גוגל אירעה במרץ. כמו כן, המאגר של גיטהאב סבל מהפסקות שירות מרובות בסוף אפריל, וגרם לכאבי ראש למפתחים. זום, שצמחה במהירות, חוותה באוגוסט השבתה חלקית. גם היישומים של סיילספורס לא פעלו משך כמה שעות החודש, בשל בעיה של שרת וירטואלי. ואלה רק דוגמאות אחדות.

שנה של כופרות, כופרות ועוד כופרות. אילוסטרציה: BigStock צילום: BigStock

כופרות – המתקפות ה-"כוכבות" של 2020

אחת המתקפות אירעה יום לפני ש-2020 נכנסה – ב-31 בדצמבר 2019. הקורבנות היו המערכות של חברת הפיננסים טראוולקס, שנפגעו מהכופרה Sodinokibi. ההאקרים ניצלו שתי פרצות שלא הוטלאו, אף שהטלאים היו בנמצא. החברה שילמה לתוקפים דמי כופר של 2.3 מיליון דולר בביטקוין. באפריל, קוגניזנט נפגעה מאחת הכופרות הבולטות השנה – Maze. עלות ההתאוששות עמדה על בין 50 ל-70 מיליון דולר.

ככלל, השנה הייתה שנת הכופרות. אלה "כיכבו" מבין מתקפות הסייבר והכניסו חברות רבות לצרות. חלקן העדיפו לשלם את הסכום ולגמור עם זה, ואחרות אפילו לא ניהלו משא ומתן רציני. אחת המתקפות בפרופיל תקשורתי גבוה אירעה במאי, כשפירמת עורכי הדין DSMS חוותה כופרה מקבוצת ההאקרים REvil. חבריה איימו שאם הפירמה לא תשלם להם כופר בסך של 21 מיליון דולר, הם ישחררו פרטים אישיים על הלקוחות הידוענים שלה, בהם אלטון ג'ון, ברברה סטרייסנד ומדונה. והם אמנם עשו זאת. לאחר משא ומתן שכשל, ההאקרים הכפילו את סכום הכופר ל-42 מיליון דולר ופרסמו קבצים נוספים, שקשורים לליידי גאגא. ההאקרים טענו בנוסף שבידיהם "כביסה מלוכלכת" אודות נשיא ארצות הברית, דונלד טראמפ – אבל אותה הם לא פרסמו.

שמה שורבב לאחד מאירועי הסייבר השנה. מדונה. מקור: BigStock

מתקפות – גם על ה-תוכנה של השנה

הגידול האקספוננציאלי בשימוש בזום השנה שם את שירות הווידיאו במוקד תשומת הלב של האקרים. אחת הדוגמאות לכך נחשפה ביולי, כשצ'ק פוינט דיווחה על בעיית אבטחה שאפשרה להתחזות בשירות הפופולרי לחברות מובילות. החוקרים איתרו מנגנון פגיע במערכת זימון הפגישות של זום, שאפשר לגורמים חיצוניים לבצע מניפולציות בלינקים לפגישות ולהתחזות לחברות שונות שמשתמשות בשירות.

חודש יולי אף הביא עימו שתי זכיות "מפוקפקות": F5 הוציאה תיקון אבטחה לפגיעות משמעותית, שניצולה עלול להביא ל-"סיכון כולל של מלוא המערכות". הפגיעות מאפשרת לתוקפים לבצע פקודות מערכת שרירותיות, ליצור קבצים, למחוק קבצים או להשבית שירותים. הפגיעות "זכתה" לקבל את הציון הגבוה ביותר האפשרי (10) מ-CVSS, מערכת ניקוד הפגיעויות. כמה ימים קודם לכן נמצאה פגיעות אבטחה קריטית ברכיבים רבים של פאלו אלטו, שמאפשרת לתוקפים מרוחקים לעקוף את מנגנון האימות ולהפעיל נוזקה על מערכות – מה שעלול לאפשר פריצה מלאה לרשתות ולמערכות הארגון.

בספטמבר התריעו המשרד האמריקני לביטחון המולדת והסוכנות לאבטחת סייבר ותשתיות של ארצות הברית מפני חולשת אבטחה "קריטית" שנמצאה ב-Windows. כשמה כן היא – הפגיעות, זירולוגון, מאפשרת להאקרים לחדור למערכות ללא צורך בכניסה באמצעות סיסמה והרשאה. כמו F5, גם זירולוגון "זכתה" בדירוג החומרה הגבוה ביותר ב-CVSS.

רוסיה ואיראן נגד ארצות הברית – ולהפך

יולי ממשיך "לככב" בסקירה זו: בחודש זה פורסם כי ה-CIA תקף בסייבר את משמרות המהפכה של איראן, את סוכנות הביון הרוסית FSB (היורשת של הקג"ב) ומטרות אחרות. כמו כן, טראמפ הודה – בראשונה – שהאמריקנים תקפו בסייבר ב-2018 את הסוכנות לחקר האינטרנט, שהיא חברה רוסית שמאחוריה האקרים שלוחי המדינה. ה-CIA הדליף קוד מקור של כלי ריגול איראני בסייבר ופרסם פרטי 15 מיליון כרטיסי תשלום של שלושה בנקים איראניים, וכן פרץ לשני קבלנים שעבדו עם ה-FSB.

ואם כבר איראן, באוקטובר דיווחנו כי הרפובליקה האסלאמית עומדת מאחורי גל מיילים שנשלחו לבוחרים בארצות הברית. על פי ראשי ה-FBI והמודיעין הלאומי האמריקני, ההאקרים האיראניים השתמשו בזהותה של קבוצת הימין הקיצוני האלימה Proud Boys, שלחו מיילים למצביעים דמוקרטים ואיימו עליהם שיישאו בתוצאות אם הם לא יצביעו לטראמפ בבחירות לנשיאות. הם כתבו: "הצביעו לטראמפ – או שנגיע אליכם".

שר החוץ האמריקני, מייק פומפאו, עם ראש הממשלה, בנימין נתניהו. צילום ארכיון: משרד החוץ האמריקני

ולא רק רוסיה ואיראן: באוקטובר, הממשל האמריקני התריע את המגזר הפרטי מפריצות של האקרים המקושרים לממשלת צפון קוריאה. הקבוצה, קימסוקי, פגעה במטרות בדרום קוריאה, ביפן ובארצות הברית. חוקרים העריכו שהיא עמדה גם מאחורי הפעילות בסייבר נגד מפעילת תחנת הכוח הגרעינית Korea Hydro & Nuclear Power – שלא נפגעה. החודש אמר שר החוץ האמריקני, מייק פומפיאו, שצפון קוריאה וסין מהוות איומי סייבר גדולים על ארצות הברית יותר מאשר רוסיה, ו-"הצפון קוריאנים מנסים בעקביות לפרוץ לשרתים שלנו ולהשיג מידע מסווג". לפי קראוד סטרייק, "נדרשו לצפון קוריאה רק שנים ספורות לקדם את יכולות הסייבר שלה ממסעות הרסניים בלבד לפעולות טכניות מתוחכמות".

ומה איתנו?

לצד פרסומים רבים ולא נעימים על חלקה של ישראל בסייבר התקפי אמר החודש הרמטכ"ל, רא"ל אביב כוכבי, כי "מרחב הלחימה המשמעותי ביותר שהשתנה ב-2020 הוא ממד הסייבר, שביצענו בו השנה מבצעים התקפיים רבים". הייתה זו הפעם הראשונה שבה הוא התייחס לנושא הסייבר ההתקפי. השנה יוחסו לישראל כמה מתקפות סייבר, בהן נגד איראן. הוושינגטון פוסט פרסם שישראל היא שעמדה מאחורי המתקפה רחבת ההיקף על נמל שהיד ראג'עי שברפובליקה האסלאמית, שגרמה לפקקי תנועה ימיים ויבשתיים ארוכים בו ובסביבתו.

הרמטכ"ל, רא"ל אביב כוכבי. צילום: דובר צה"ל

לסיום, שתי מילים טובות: לראש הממשלה, בנימין נתניהו, על שגם השנה המשיך לשמש כמשווק המצטיין של ענף סייבר הישראלי, ולקווין מנדיה, מנכ"ל פייראיי, שחשף – בין אם באומץ ובין אם בשל הרגולציות המכריחות אותו – את המתקפה על ארגונו, שהביאה לפרסום פומבי של מתקפת הענק של קבוצת ההאקרים הרוסית APT29 על תוכנות אוריון של סולארווינדס.