גורמים ביטחוניים מעריכים: איראן עומדת מאחורי ריבוי מתקפות הסייבר נגד ישראל

מקורות איראניים קשורים למספר רב של מתקפות סייבר על ארגונים וחברות ישראליים, ממשלתיים ופרטיים בארץ ובחו"ל, שאירעו בחודשים דצמבר וינואר. כך לפי מידע שהגיע לגלובס. רובן המכריע סוכלו בשלבים ראשוניים, מקצתן אותרו מאוחר יותר וככל הידוע לא נגרם נזק של ממש.

לפי גורם ביטחוני בכיר, לאחר כמה שנים של מגננה ובניית מערכות הגנה דיגיטליות בסיוע גורמי חוץ מסין ורוסיה, בשנתיים האחרונות עברה איראן לשלב המתקפה. עוד הוסיף כי בחודש האחרון ניכרה התגברות של ממש, אולי על רקע ציון שנה לחיסול מפקד משמרות המהפכה קאסם סולימאני, ולאחר חיסולו של מדען הגרעין מוחסין פאח'ריזאדה. 

לדברי הגורם, במסווה של קבוצות האקרים עצמאיות, שחלקן קשורות גם למדינות כמו טורקיה, איראן ביצעה עשרות תקיפות סייבר על אתרים ישראליים, ממשלתיים ואחרים, שכאמור רובן המכריע נוטרלו מראש ולא גרמו לנזק של ממש. ניתוח המתקפות הראה כי אלה שמטרתן הייתה חברות פרטיות אותרו בשלבים מעט מאוחרים יותר, מה שמראה על הפער הקיים בין המגזר הציבורי והתשתיות הלאומיות לזה הפרטי/עסקי.

מלחמת העולם הסייברית מתרחשת סביבנו בשדות הקרב הדיגיטליים, ובשנים האחרונות יותר מתמיד. במלחמה הזו ישראל נמצאת בחזית הקדמית מול יריבים גלובליים נסתרים של מעצמות על, ומול כאלה המוכרים מקרוב, ובראשם איראן.

גם את יריית הפתיחה של מלחמת הסייבר העולמית מייחסים לישראל: החדרת תולעת הסטקסנט שפגעה ברשתות הדיגיטליות של מערכות בניית הפצצה הגרעינית האיראנית ב-2011. מאז משמשת לוחמת הסייבר בזירות קרב לאומיות נוספות (וגם בזירות המסחריות לא נפקד מקומה).

במבט לאחור היוזמה האיראנית החלה במתקפות האקרים פשוטות לכאורה על אתרי אינטרנט ישראליים, שבהם הושתלו דפי נחיתה תומכי פלסטינים, ונמשכה בניסיונות לפגוע בתשתיות לאומיות. הניסיון המוכר ביותר הוא המתקפה על המערכת הממוחשבת של חברת מקורות בחודש אפריל האחרון שגרמה להשבתה חלקית לטווח קצר של אספקת המים בכמה אתרים בישראל. זמן קצר אחר כך הושבת אחד מנמלי הים העמוסים של איראן למשך ימים, בשל פגיעה קשה במערכת הממוחשבת שלו, שוב מתקפת סייבר שיוחסה לישראל, כתגובה למתקפה על מקורות.

  

"כשיורים עליך אתה יורה חזרה"

האם ישראל הגיבה במתקפות משלה? "זהו שדה קרב לכל דבר, וכשיורים עליך אתה יורה חזרה", אמר הגורם הביטחוני. לדבריו, אחד מאמצעי ההגנה הטובים ביותר, לבד מהסייבר ההגנתי במתקנים והגופים השונים, הוא ההתקפה: "כשהאויב יודע שהתשתיות שלו חשופות למתקפות חריפות בהרבה ממה שהוא מסוגל לעשות בעצמו, ההיסוס קיים. לכן ניכר מאמץ של ממש להסוות את המתקפות המדינתיות, בקבוצות תוקפים לא מזוהות ותוך דרישת כופר כדי להראות כאילו מדובר במתקפת פשע כופר רגילה".

עוד אמר, כי "חלק מהמתקפות לא מנסות להרוס או לגרום שינויים, אלא להיטמע במערכת בשקט כדי שיעשה בהן שימוש בהמשך. אלה המסוכנות יותר שכן הן פסיביות וקשות יותר לגילוי".

האם אנו מוגנים? דו"ח מבקר המדינה ממאי 2019 קבע כי "למרות מאמצים שנעשו בשנים האחרונות עדיין קיימים פערים בהגנת הסייבר של גופים חיוניים, משרדי ממשלה והמרחב האזרחי".

הפתרון שמנסה המדינה לתת הוא בתוך מערך הסייבר הלאומי. ההגנה על מתקני תשתיות הופקדה בראשית העשור הקודם בידי השב"כ וזה מיפה כמה עשרו גופים כ"תשתיות קריטיות" ובהן חשמל, מים, מתקני אנרגיה כמו של בז"ן (לרבות פרטיים) מפעלים כימיים ובהמשך נוספו להם בנקים, חברות סלולר ועוד.

בהמשך הופרד הטיפול בגופים האזרחיים והועבר למטה המיוחד שהוקם - מערך הסייבר הלאומי שבראשו עומד היום יגאל אונא שהיה ראש אגף סייבר וטכנולוגיה בשב"כ. היתרונות שלו הם יכולת חשיבה אזרחית, שיח עם גורמים עסקיים ורתימת משאבים לאומיים לשם כך. החסרונות, בניגוד לשב"כ יכולת תגובה איטית יותר, רגולציה "אזרחית" פחות החלטית מזו הביטחונית וסוגיית האכיפה על גופים פרטיים. המתקפה על שירביט, שהטיפול בה נוהל בהנחיה ובשיתוף של מערך הסייבר, מעידה שיש עוד הרבה עבודה.

האיומים וקריאת ההשכמה למגזר הפרטי

שי הורוויץ, סמנכ"ל המכירות העולמי של חברת סייבריזן (Cybereason) - סבור כי ברמה הלאומית מצבנו דווקא יחסית טוב, ישראל באמצעות מטה הסייבר הלאומי יצרה מערכת הגנה יעילה יחסית. אבל לדבריו המגזר הפרטי, חברות ומפעלים, עדיין נמצא בפער מאחור. התקיפה על חברת שירביט מסמלת את זה והיא צריכה לפיו לשמש קריאת אזהרה של ממש למנהלי חברות אלה.

הורוויץ מאפיין את מתקפות הסייבר בשלושה תחומים שונים: המדינתי - שבו פעילות בעיקר רוסיה, סין וגם קוריאה הצפונית ואחרות, ומטרתן ריגול בטחוני ולאומי "רגיל" וגם ריגול תעשייתי לגניבת סודות מסחריים בתעשיות שונות לרבות הביטחוניות. וכך ב-2019 איתרה "סייבריזן" מתקפה ככל הנראה של סין, שחדרה ל-25 חברות מפעילות סלולר ברחבי העולם, ובאמצעותה קיבלה גישה לכל המידע של מאות מיליוני הטלפונים הסלולריים המסונפים לחברות שהותקפו. 

מצלצל מוכר? בישראל דיווחו ב-2019 כי בכירים בשב"כ נפגשו עם בני גנץ והודיעו לו כי שירותי המודיעין של איראן פרצו למכשירו. חדירות לטלפונים סלולריים יכולות להתבצע הן ישירות באמצעות משלוח נוזקות (תוכנות ריגול) בהודעה או בדואר אלקטרוני וגם דרך חברות ההפעלה.

המתקפה העדכנית, וכנראה הגדולה ביותר שהייתה עד כה, היא זו המיוחסת לרוסיה על חברת "סולאר ווינדס", שבאמצעותה חדרו התוקפים למאות חברות וגורמי ממשל בארצות הברית, וכנראה שלא רק בה. הממשל בארצות הברית עדיין בוחן את היקף הנזק וטיב וכמות החומר שאליו נחשפו התוקפים. לפי הערכות שונות הפגיעה הייתה גם בחברות ענק, לרבות מיקרוסופט.

סוג איום אחר הוא זה של תוכנות הכופר, הנועלות את מחשבי הקורבנות בדרישה לתשלום דמי כופר. אלה משמשות ארגונים והאקרים עצמאיים ולעתים גם מדינות, והן תוקפות בעצם את כולם  לעתים הן משולבות גם בגניבת המידע או באיומי חשיפת מידע מביך. כזו הייתה מתקפת הסייבר על שירביט.

הסוג השלישי הוא זה של ארגוני פשע שבמקום לשדוד בנק באקדחים ומסיכות, עושים כן באמצעות חשיפת סיסמאות של לקוחות וחברות וגניבת הכסף מהחשבונות באופן נקי ומרחוק.

החברה הישראלית והקשר הסעודי

שדה הקרב הזה נזקק למומחי לחימה וישראל נחשבת כמובילה עולמית בתחום, לא מעט בזכות התמחותה שנצברה בקרבות של יחידות כמו 8200, המוסד וגורמים אחרים במערכת הביטחון. הידע משם עובר גם למגזר הפרטי, ואחת מהחברות שהוקמו על ידי יוצאי 8200 היא סייבריזן מיסודם של יוסי נער, ליאור דיב ויונתן שטרים-עמית. החברה גייסה מאז הקמתה ב-2012 400 מיליון דולר בשלושה גיוסים, והיא קיבלה את התואר הנחשק "חד-קרן" (חברה המוערכת בשווי של יותר ממיליארד דולר). ואכן השלב הטבעי הבא של החברה הוא הנפקה בנאסד"ק.

הורווויץ מגדיר את החברה כמובילה בעולם בהגנה מפני תוכנות כופר. היא פועלת ב-40 מדינות ומעסיקה יותר מ-650 עובדים, מהם 300 במרכז הפיתוח בישראל, כשהמספרים גדלים כל הזמן. היקף הפעילות שלה עולה מאז 2015 במאות אחוזים בכל שנה, ובין לקוחותיה, לבד מממשלות גם כמה מהחברות הגדולות בעולם.

סייבריזן פיתחה לפי פרסומיה, מערכת מתוחכמת אשר אוספת מידע מכלל תחנות הקצה בארגון (מחשבים,שרתים, טלפונים ועוד) ומנתחת את פעולותיהן. בעזרת המידע הרב שנאסף בזמן אמת, המוצר מזהה התנהגויות זדוניות ומציג את השתלשלות האירוע ומאפשר לזהות, לחקור, לבודד ולעצור התקפות בזמן אמת. אחת מהפעולות המוכרות של החברה, לבד מהמתקפה הסינית, היא קטיעת מתקפת "נוטפטיה", שיוחסה לרוסיה, על אוקראינה ודרכה על מדינות אחרות באירופה ב-2017.

בין המדינות הלקוחות היו כבר מהשלבים הראשונים מדינות המפרץ. אלה מסתבר גם השקיעו בחברה הישראלית באמצעות גוף ההשקעות היפני "סופט בנק" שעד כה היה המשקיע העיקרי בסייבריזן. הכסף הועבר מקרנות ההשקעה הממשלתיות של ערב הסעודית ואיחוד האמירויות, ובהמשך הפכו אלה ללקוחות מערכות ההגנה הישראליות.

הורוויץ מאשר כי מערכות אלה פועלות בחברות ובגופי ממשל בשתי מדינות אלה, עוד בטרם ההסכם עם האמירויות וגם במדינות אחרות שקשריהן עם ישראל מתקיימים בחשאי בלבד. "הבעיות שלהן דומות גם לאלה שלנו - איומים זהים - ולכן טבעי לגמרי שהם פנו אלינו לפתרונות. הקשר הוא גם עם מערכות השלטון וגם עם המגזר העסקי בסקטורים כמו בריאות פיננסים תעשיית הנפט ועוד. ההסכמים הביאו לפוש רציני בעניין. בחלק הממשלי היה קשר גם קודם, כעת זה נפתח לכולם, דרגי שטח חברות עסקיות, אנחנו מרגישים ממש בבית שם. יש פתיחות ואפשר להגיע למקומות שבהם לא היינו. עם גורם ממשל סעודי חתמנו על הסכם רחב רק לאחרונה", אומר הורוויץ.

הקשר הסעודי מעניין כמובן במיוחד, הורוויץ לא פירט אבל ממידע המגיע ממקורות שונים עולה כי הוא התרחב מאוד בשל המתקפות המתרבות נגד ערב הסעודית, אשר משלבות הן מתקפות סייבר והן פגיעות פיזיות כמו מתקפות טילים על מתקניה.

המספרים של סייבריזן

1+ מיליארד דולר
שווי מוערך

400 מיליון דולר
היקף הגיוסים עד היום

650 עובדים
300 מהם במרכז הפיתוח בישראל