מתקפת סייבר איראנית? האקרים טוענים כי פרצו לחברת הבאנה של אינטל

קבוצה ההאקרים האיראנית Pay2Key, שנחשפה ע" צ'ק פוינט בנובמבר לאחר שתקפה 12 חברות ישראליות, פרסמה היום ברשת האפלה מידע סודי שמקורו כביכול בחברת שבבי ה-AI שנרכשה ע"י אינטל בדצמבר • הערכות: האקרים איראנים עומדים גם מאחורי המתקפה על שירביט בשבוע שעבר

שבב של הבאנה לבס / צילום: אתר החברה
שבב של הבאנה לבס / צילום: אתר החברה

סימנים ראשונים למתקפת סייבר חמורה, שלישית בתוך שבועיים, נגד חברות ישראליות. אחרי המתקפה על חברת הביטוח שירביט לפני כשבוע וחצי והמתקפה על חברת התוכנה עמיטל בסוף השבוע האחרון, לפני שעה קלה פרסמו קבוצת ההאקרים האיראנית Pay2Key כי פרצה לשרתי חברת שבבי הבינה המלאכותית (AI) הבאנה, שנרכשה על-ידי אינטל לפני כשנה תמורת 2 מיליארד דולר. על-פי מידע שפרסמו ההאקרים, המידע שנגנב קשור לשבב "גויה".

על-פי גורמים בתעשייה, אין קשר בין המתקפות, שבוצעו על-ידי גורמים שונים. גם המאפיינים של שלושת המקרים שונים זה מזה. עם זאת, שלושת המקרים הם בעלי הפרופיל התקשורתי הגבוה ביותר של מתקפות סייבר שבוצעו עד היום נגד גופים בישראל.

על-פי חברת אבטחת המידע צ'ק פוינט, קבוצת התקיפה Pay2Key התגלתה על-ידה כבר בסוף השנה שעברה. לדברי לוטם פינקלשטיין, מנהל מחלקת מודיעין סייבר בצ'ק פוינט, הקבוצה כבר תקפה בהצלחה 12 חברות ישראליות, אך כל המקרים נותרו תחת הרדאר. עתה, לדבריו, ייתכן שמדובר בגל שני.

לדברי פינקלשטיין, אם בגל הקודם ההאקרים פרסמו את המסרים שלהם רק ברשת האפלה (דארק נט), הפעם הם פרסמו את החומרים שלטענתם גנבו גם בטוויטר. לדברי פינקלשטיין, פרסומים של הקבוצה בעבר הוכחו כאמינים.

המאמץ לפיתוח שבבים בכלל, ושבבים לעיבוד משימות בינה מלאכותית, נמצא במוקד מרוץ ההצטיידות הטכנולוגי בין ענקיות הטכנולוגיה במערב ובין כלל המערב לסין. החברה המובילה במערב בפיתוח שבבים לבינה מלאכותית היא אנבידיה, כאשר הבאנה היא אחת מהחברות הבודדות בעולם שמתיימרת להציג לה אלטרנטיבה. אם אכן הצליחו התוקפים להניח את ידיהם על קניין רוחני (IP) הנדסי הקשור לפיתוח השבב "גויה" של הבאנה, עלולה להיות לדבר משמעות אסטרטגית, מעבר לפגיעה בעסקיה של אינטל, הבעלים של הבאנה.

גם המתקפה של שירביט החלה בפרסום חומרים בטוויטר, אך לאחר שחשבונם של התוקפים הוקפא, הם עברו לתקשר עם קורבנותיהם, עם הציבור ועם המדיה באמצעות ערוץ בתוכנת המסרים טלגרם. מי שניהלה את האירוע מצד התוקפים בפרשת שירביט היא קבוצת התקיפה הרוסית שלקחה אחריות על האירוע - BlackShadow, אולם על פי הערכות מי שעומדים מאחורי המתקפה הם האקרים איראנים, כחלק מקמפיין תודעה נגד ישראל.

הגורמים מעריכים כי מדובר במתקפות בעלות מוטיבציה משולבת פלילית ותודעתית שמשלבת ניסיון לסחוט את החברות הנתקפות תמורת כסף, ובמקביל ליצירת אפקט תודעתי - להפגין יכולות תקיפה נגד גופים בישראל. המוטיבציה לתקיפות מעין אלה עשוי להיות גם לשם יצירת אפקט הדומה לאפקט של פעולת טרור מול הציבור בישראל.

בחמישי בלילה חשפנו בגלובס כי חברת עמיטל בניהולו של עדו אמתי עברה מתקפת סייבר, ועדכנה בכך את חברות השילוח להן היא מספקת שירותים, ביניהן פריץ (סוכנת של פדקס העולמית), מנטפילד אוריין ואחרות תוך שהקימה חמ"ל התמודדות עם התקיפה. בעמיטל אישרו כי החברה הותקפה, וכי היא נעזרת במומחים מתחום הסייבר כדי להכיל את האירוע, וטענו כי מדובר בפגיעה נקודתית.

חברת עמיטל הוקמה במקור על-ידי קבוצה של משלחים גדולים שהקימו בית תוכנה שישמש אותם, והם לקוחותיה וגם מחזיקים בבעלות בה (חלקם מימשו חלק מההחזקות לאורך השנים). כך למשל, חברת אוריין הציבורית מחזיקה 8.5% מהמניות בה לאחר שמימשה לפני מספר שנים מניות נוספות שהיו בידיה.

בעקבות הפרסום בגלובס אישרה חברת הלוגיסטיקה הציבורית אוריין בדיווח לבורסה כי היא נפגעה מאירוע הסייבר יחד עם כ-40 לקוחות נוספים של חברת עמיטל. לפי המידע שדיווחה, לחברה התברר כי כתוצאה ממתקפת הסייבר על עמיטל, דלף מידע השמור באחד משרתי אוריין. עוד עדכנה, "כי בעקבות פעולות שנקטה, הופסקה דליפת המידע מספר שעות לאחר מועד הגילוי".

על הרקע הזה חברת הלוגיסטיקה הצהירה כי "ביצעה חקירה מקיפה, לרבות מול עמיטל, ויש בידה הערכות באשר לסוג המידע שדלף, אך אין בידה מידע באשר לזהות הנתונים שדלפו". עוד עדכנה אוריין כי היא פועלת בתיאום עם מערך הסייבר הלאומי, תגברה ותמשיך לתגבר את מערך אבטחת המידע, וזאת כדי למנוע הישנות מקרים דומים בעתיד, כשלדבריה "האירוע לא השפיע על פעילותה השוטפת".

ממערך הסייבר נמסר כי מידע על מאפיינים מסוימים של המתקפה נגד עמיטל הופץ בכלל המשק, על מנת שכל הגופים במדינת ישראל יוכלו לבדוק האם הם סומנו כמטרה על ידי קבוצת התקיפה ויוכלו להתגונן בהתאם.

על פי הידוע בשלב זה, המתקפה על עמיטל והחברו הקשורות במערכותיה, לא הגיעה לכלל מימוש, ואין כרגע דרישת כופר או קשר כלשהו עם התוקפים. על פי מערך הסייבר והערכות של גורמים בתעשיית הסייבר, מדובר במתקפה שלמעשה סוכלה.

צרו איתנו קשר *5988