כ-150,000 אתרי אינטרנט נפרצו בשבוע שעבר • איזו חולשה ניצלו התוקפים? • אלו אתרים חרדיים קרסו ומאלו אתרים דרשו התוקפים כופר? • וגם, חוויותיהם של בעלי אתרים שבבוקר אחד גילו שהאתר שלהם נפרץ
דוד שלומוביץ 24.05.2020אזרחי ישראל המתמודדים כעת עם משבר הקורונה המאיים להפיל עסקים ומשפחות, נאלצים להתמודד בימים האחרונים עם מלחמת סייבר חדשה-ישנה מצד האויב האירני. ביום חמישי האחרון נפלו ונפגעו בישראל למעלה מ-150 אלף אתרים במסגרת מתקפה מתוזמנת לרגל יום 'אל קודס' – יום ירושלים.
על פי הערכות, מלחמת הסייבר החלה לאחר שבאיראן לא מצאו כיצד לנקום בישראל על תקיפותיה בסוריה. בסוף חודש אפריל הותקפו בארץ במתקפת סייבר שישה איגודי ומתקני מים וביוב, מדרום הארץ ועד צפונה, אך לא נגרם נזק תפעולי. כשבועיים לאחר מכן, דיווחה רשת 'פוקס ניוז', כי איראן הייתה אחראית למתקפת הסייבר על ישראל. על פי הדיווח, התוקפים האירניים השתמשו לטובת המתקפה בשרתים אמריקניים.
במדינת ישראל – המוגדרת בעולם כאחת מחמשת המדינות המובילות בתחום הסייבר, לא המתינו הרבה זמן. ב-9 למאי נפל שדוד הנמל האיראני שהיד רג'אי במצר הורמוז לרגלי הסייבריסטים הישראלים כך על פי הדיווח ב'וושינגטון פוסט'. בתמונות לוויין מהמקום, נצפו פקקי ענק סביב לנמל. הן ביבשה כאשר מאות משאיות לא הצליחו להיכנס לנמל לצורך ייבוא וייצוא, והן בים לאחר שפעילות המנופים ומיקומי המכולות שובשו ולא ניתן היה לפרוק את האוניות. בהמשך חשף ה'ניו יורק טיימס' פרטים חדשים על המתקפה, לטענת הדיווח ישראל היא זו שאחראית למתקפת הסייבר הזו.
באמצע השבוע שעבר, אמר הרמטכ"ל רב-אלוף אביב כוכבי על רקע הדיווחים על מלחמת הסייבר כי ישראל "תמשיך לפעול בכלים מגוונים". הרמטכ"ל אף הוסיף: "תקפנו גם לאחרונה. נתקוף בעוצמה כדי להסיר את האיומים". לדבריו, "המרחב הבנוי שבו התמקם האויב לא יהיה מחסום לתקיפה".
תוסף אבטחה לא מעודכן
ביום חמישי האחרון באה ככל הנראה התגובה האירנית למתקפה. השרתים של חברת האחסון Upress נפרצו והאתרים המאוחסנים בהם נחסמו. על פי הדיווח של אמיתי זיו ב'דה מרקר' מדובר בכ-150 אלף אתרים המבוססים על פלטפורמת UPress. מי שנכנס לאתרים הללו ראה את ההודעה: "הספירה הפוך להרס ישראל נתחל מלפני הרבה זמן", כאשר ברקע מוצגת תמונה של מסגד אל אקצה. הנכנסים לאתרים המותקפים גילו, כי האתר אף מבקש לעשות שימוש במצלמה של המחשב.
בין האתרים שהותקפו נמצאו אתרים חרדיים ודתיים: חרדים 10, יד לאחים, jdn, מכון למען ילמדו, המחדש, אתרים של בתי חב"ד רבים, האתר של הצלם ישראל ברדוגו, האתר של השף ישראל דודק ועוד. גם האתר של הגוף המתאם של קרן ההלוואות בערבות מדינה נפרץ והושחת. בהמשך פרסמה חברת האבטחה צ'ק פוינט רשימה חלקית של 327 אתרים שנפרצו.
חברת האחסון Upress הרגיעה את לקוחותיה ובהודעה שפרסמו נכתב כי האתרים והמידע מגובים במערכי הגיבוי של החברה והם פועלים על מנת לטפל בכל האתרים שנפגעו. מאוחר יותר עדכן מערך הסייבר הלאומי כי "מחקירה ראשונית של האירוע, מדובר בפגיעה שטחית באתרי אינטרנט של גופים פרטיים בישראל שנעשתה באמצעות חברת אחסון אחת המארחת את אותם אתרים. המערך ממשיך לסייע לטיפול באירוע.
"מערך הסייבר הלאומי התריע לפני שבוע על צפי להשחתות אתרים שייעשו במטרה ליצור הד ולהפיץ מסרי תעמולה לרגל יום ירושלים האיראני, כפי שנעשה מדי שנה בתאריך זה. המערך ממליץ לבעלי אתרי אינטרנט להתקשר עם חברות אחסון של אתרים שמשתמשים ברמת אבטחה נאותה על פי המלצות המערך. יודגש כי מדובר בפגיעה באתרים פרטיים וכי לא נגרם נזק לתשתיות מדינה. מקור המתקפה בבדיקה".
משיחה שערכנו עם אליעזר מומחה למחשבים הוא טען כי "מדובר על תוסף אבטחה שלכאורה לא עודכן מ-2015, והתוקפים לא היו מאוד מתוחכמים, היה להם אפילו שגיאה בקוד…" לדבריו, בקרב מומחי הסייבר הוגדרה המתקפה ככושלת באופן יחסי. "אלמלא השגיאה של התוקפים, יתכן והיו נמחקים כל מסדי הנתונים של האתרים".
נזק של מאות שקלים
למרות הפגיעה 'הקלה', עדיין מדובר בברקס לתהליכי העבודה ברשת. שף ישראל דודק שאתרו נמצא ברשימת הנפגעים יצר קשר עם 'ביזנעס' וסיפר כי הוא עומד באמצע מסע שיווק בדיגיטל לרגל הוצאת ספרו החדש בתחום 'הבשר'. "ירדנו בבת אחת למכירה של אפס ספרים ביום, בגלל שהאתר לא תפקד. בהמשך היום בקשתי להוריד את הפרסום כדי שלא אמשיך לשלם על קליקים לשווא. גם שירותי הגרילמן שאני מציע באתר נפגע לאחר שהלקוחות לא הצליחו להשאיר הודעות. מדובר בנזק של כמה מאות שקלים ביום ולא ברור מי ישלם לי על כך".
מלכי אדלר. שף קונדיטור. בעלת אתר מתכונים נפגעה גם היא במתקפה הגדולה. אדלר היא אמנית בעיצוב עוגות ומנהלת עסק עצמאי לקונדיטוריה ועיצוב עוגות, אך באתר שלה היא לא מוכרת דבר. האתר מיועד למתכונים בלבד ולמרות זאת היא חוותה פגיעה בעסקים. "יש לי התחייבות מטעם חברה מסחרית להעלאה של פוסט מתכון. בגלל המתקפה על האתר, הפוסט באותו יום עלה רק 12 שעות מאוחר יותר".
אדלר מסבירה ל'ביזנעס' כי יום חמישי הוא יום חזק למתכונים, במיוחד ערב חג, ועקב הנפילה של האתר היו מספר זעום של כניסות למתכון המדובר. התוצאה ברורה: פחות כניסות – פחות חשיפה. "מעבר לכך, הייתי עסוקה מספר שעות במענה לגולשים שרצו להכין מתכונים. הדבר גזל ממני המון זמן והתעסקות. אין לי את היכולת לכמת את זה בסכום". מסכמת אדלר.
מתקפת סייבר – קָזוּס בֵּלִי
בחדשות 12 דווח על ידי ניר דבורי, כי לא מדובר רק בפריצות לאתרים – אלא גם במספר סוגי כופר שהופיעו באתרי חברות שנפרצו. על פי הדיווח בחמ"ל מיוחד שהוקם, זיהו שהתוקפים מחלקים את המידע במערכות החברה לפי תחומים, ודורשים עשרות אלפי דולרים לשחרור כל תחום, כך שבמצטבר הכופר עולה על 100 אלף דולרים.
בנוסף, דווח כי יש תוקפים שדורשים כופר כפול – תחילה תמורת שחרור המידע ולאחר מכן, עבור אי הפצת וחשיפת החומרים לציבור ולמתחרים. עוד התגלה, כי התקיפות בוצעו נגד קווי ייצור במטרה לשבש תהליכי ייצור או לנסות להשתלט על שרטוטים ועל תוכניות ייצור.
האם נאמר המילה האחרונה בתחום? בוודאי שלא. "פגיעה בתשתיות היא עילה למלחמה", אומר ל-ynet ד"ר יניב לויתן, מומחה ללוחמת מידע באוניברסיטת חיפה. הוא הסביר כי המתקפה שפתחה את העימות הקיברנטי לא נחלה אומנם הצלחה, אך פגיעה בתשתיות אסטרטגיות כמו מערכת המים היא חציית קו אדום.
"מים נכנסים למסגרת תשתית אסטרטגית. זו חצייה של קו. אם הם כן היו מצליחים במהלך שלהם הייתה כאן פגיעה אסטרטגית, שעלולה אפילו להיות חמורה. תחשוב מה היה קורה אם זה היה קורה בימים לוהטים כמו היום, והיינו נשארים בלי מים. זה יכול להסתיים באסון". אומר לויתן. מומחים אחרים העלו חששות לגבי שינוי כמות הכלור במים בעקבות המתקפה, עד להרעלה של מאות אלפי אזרחים.
לא ערוכים למתקפת סייבר
לישראל ישנה כעת עבודה רבה גם בתקיפה וגם בהגנה. ב'כלכליסט' דווח כי ימים ספורים לפני המתקפה דחתה רשות המים בקשה של מקורות לתוספת תקציב להגנת הסייבר שלה. על פי הדיווח, מתקפת הסייבר במשק המים הייתה זניחה יחסית, אולם עצם קיומה חשף את השבריריות של תשתיות המים לאיומים זרים.
דו"ח מבקר המדינה מלפני שנה עסק בדיוק בנושא המדובר: 'מוכנות המשק למתקפות ופגיעות סייבר'. רוב הדו"ח חסוי כמובן מטעמי ביטחון המדינה. לדברי המבקר דאז יוסף שפירא, "למרות מאמצים שנעשו בשנים האחרונות, עדיין קיימים פערים בהגנת הסייבר של גופים חיוניים, משרדי ממשלה והמרחב האזרחי".
במשרד האנרגיה היו ערים לסירוב לתוספת תקציב להגנת הסייבר. על פי הדיווח ב'כלכליסט' הם התערבו בתכתובת באופן חריג. "בחמש שנים איום הסייבר גדול במאות אחוזים. הטכנולוגיות משתנות והאיומים מתרחבים ומתפתחים ואויבנו ואנו נעשים משוכללים", כתב נציג משרד האנרגיה. הוא הוסיף כי "תקציב הגנת הסייבר בכל הגופים במשרד, בחברות ממשלתיות ובחברות פרטיות גדל משנה לשנה משמעותית. אנחנו כמשרד רואים באיום הסייבר כאיום מרכזי, ולכן הייתי מחריג את נושא הסייבר מהתקציב החמש־שנתי ודן בו פעם בשנתיים במקסימום". עד כה טרם התקבל התקציב המבוקש.
הזהירות המתבקשת
המחשב, הסמארטפון ותיבות הדואר, מחזיקים בתוכם ערך מסחרי נרחב ביותר. השמירה והזהירות על החומרים המסחריים-פיננסים שלנו חשובה מאוד. לכן, כדאי מאוד להסתנכרן עם המלצות המערך הסייבר הלאומי, על מנת לקדם את פני הרעה:
- אין לפתוח קישורים או להוריד קבצים שהתקבלו בדוא"ל מגורם שאינו רישמי או מוכר או שאמינותו מוטלת בספק, בפרט קבצים ואפליקציות העוסקים בנושאי הקורונה.
- אין למסור מידע אישי כגון סיסמאות או פרטי חשבון ואין להשיב להודעות המבקשות פרטים מסוג זה, גם אם נראה כי נשלחו מגורם מוכר.
- מומלץ להוריד אפליקציות ויישומיים רק מחנויות מקוונות רשמיות.
- הקפדה על סיסמאות חזקות – 14 תווים לפחות, שילוב אותיות, מספרים וסימנים מיוחדים.
- הטמעת אימות דו-שלבית ואף רב-שלבית בגישה לדוא"ל ובמיוחד ברשתות חברתיות – למשל שילוב סיסמה עם קוד שמתקבל ממסרון.
- מומלץ לוודא קיום של העתקי גיבוי בלתי תלויים.
- מומלץ לוודא הטמעת עדכוני האבטחה העדכניים ביותר בכל המערכות.
- לא לפתוח דוא"ל משולחים שלא מכירים, ובמיוחד לא לפתוח צרופות מגורם שאינו מוכר, לא למסור פרטים מזהים בדוא"ל או בטלפון, ולא ללחוץ על קישורים לא מוכרים. כל אלו יכולים להיות הודעות דיוג שעם פתיחתן, ידביקו את המחשב בתוכנת נוזקה.
- בזמן גלישה לאתרים לא להתפתות ללחוץ על קישורים שמציעים הצעות כגון מוצר נחשק, פרס כספי וכדומה, או שמציעות מידע אודות וירוס קורונה.
- בתקופה זו, מומלץ שלא לבצע שינויים משמעותיים בסביבת הייצור כגון שדרוג, הכנסה של ציוד תקשורת חדש וכו'.
לדיווח במקרה של אירוע סייבר ניתן לפנות אליהם בחיוג מקוצר חינם 119.