מודיעין סייבר: הביון של אבטחת המידע

בסוף יולי ובתחילת אוגוסט 2013, קבוצת האקרים עזתית בשם Qods Freedom הוציאה לפועל מתקפת סייבר נגד אתרים ישראליים. המתקפה כללה תקיפות מניעת שירות (DDoS), השחתת אתרים (Defacement) וניסיונות פריצה לחשבונות בנקים. תקיפות מניעת השירות פגעו באתרי "רכבת ישראל", "אל-על" ואתר עיתון "הארץ". התקיפות היו מוצלחות (בשיאן הגיעו לנפח של 3.2 ג'יגה-ביט), והגישה לאתרים נחסמה למשך כמה שעות.

הקבוצה השחיתה למעלה מ-600 אתרים, רובם קשורים לשני ספקי אחסון אתרים (שככל הנראה נפרצו). על-פי ההודעות ששתלו התוקפים, נראה שהמניע למתקפה היה ציון "יום ירושלים" החל ביום שישי האחרון של חודש הרמדאן. הקבוצה לא הסתירה את פעולותיה. אדרבא, הקבוצה מפעילה חשבון פייסבוק וחשבון Imageshack, אליו היא העלתה תמונות המציגות לכאורה את הפריצה שלה לחשבונות בנקים בישראל.

אתר בנק ישראל אחרי פריצה של האקרים | צילום מסך: www.bankisrael.gov.il

על פניו, השיוך הפוליטי של הקבוצה נראה ברור מאוד – קבוצה פלסטינית אנטי-ישראלית. עובדה זו משתקפת גם בתמונות שהיא העלתה לאתרים שהושחתו, שכללו מונטאז' של "כיפת הסלע", הדגל הפלסטיני, עימות של מפגינים עם חיילי צה"ל ותמונה של מנהיג חזבאללה, חסן נסראללה, עם ציטוט מנאום "קורי העכביש" המפורסם שנשא בדרום לבנון בשנת 2000 (בו הוא קבע כי ישראל חלשה יותר מקורי עכביש).

בעקבות המתקפה, מספר אנליסטים מ-SenseCy, חברת מודיעין סייבר ישראלית, החליטו לבחון את הפעולות של הקבוצה הלכאורה-פלסטינית הזו. גלעד זהבי, מנהל תחום המודיעין בחברה, מספר: "משהו פשוט לא הסתדר. ראינו הרבה סימנים לכך שחברי הקבוצה הם לא מי שהם טוענים להיות, אז החלטנו לחקור לעומק".

מה זה "מודיעין סייבר"?

זה זמן טוב לעצור ולהסביר מה זה מודיעין סייבר. אבטחת מידע, המתמקדת בהגנה על מערכות IT, קיימת כבר מספר עשורים, למעשה מאז גילויו של הוירוס הראשון. ברבות השנים, ארגונים הבינו שלאבטחת מידע (או אבטחת סייבר) יש שני היבטים – טכנולוגי הכולל את רכיבי התוכנה והחומרה שתפקידם להגן על הארגון (מערכות אנטי-וירוס, "חומות אש" וכו'); ומדיניות אבטחה הכוללת ניהול הרשאות, סיסמאות ונהלי ביטחון (למשל, איסור לגלוש ברשתות חברתיות מתוך מחשבי הארגון).

בעקבות מספר פרצות אבטחה, ארגונים החלו להבין שנחוץ גם מרכיב נוסף – מודיעין. באופן מטאפורי ניתן לומר שארגונים בנו חומות (אש) גבוהות מסביבם, כך שהם לא מסוגלים לראות את האיומים הניצבים מולם. מודיעין סייבר ממלא את החלל הזה על ידי מבט החוצה מהארגון ומתן התרעות על איומים מיידיים ועתידיים לארגון. באופן לא מפתיע, זה מצריך הטמעת מיומנויות ממבצעים מודיעיניים בעולם הפיזי.

שיטה מוכרת אחת שאומצה מהמודיעין הצבאי היא "מודיעין אותות" (סיגינט, קיצור של Signal Intelligence), הכוללת יירוט של אותות אלקטרוניים והפקת מידע מודיעיני מתוכם. בעולם האינטרנטי, הדרך לעשות זאת היא על ידי שימוש במנועי חיפוש אוטומטיים שמנסים לאתר ברחבי הרשת מחשבים שמייצרים "ספאם" ומפיצים רושעות ופועלים לחסום את הגישה שלהם לתשתית ה-IT הארגונית. אולם, למרות שאמצעים אלה מיושמים על ידי כל חברות אבטחת המידע וספקי האנטי-וירוס המובילים, הם עדיין חסרים את היכולת לספק זיהוי מקדים של התוקף ו/או המטרה.

ברוב המקרים אין זה מספיק לזהות את מקור התקיפה לאחר שהיא בוצעה, שכן האקרים מיומנים מאוד בטשטוש והסוואת עקבותיהם, ובדרך-כלל הם מבצעים את ההתקפה באמצעות שרתי פרוקסי או מחשבים תמימים עליהם השתלטו מבלי ידיעתו של הקורבן.

זן חדש של מומחי מודיעין סייבר נוקט גישה אחרת, שדומה למתודולוגיה ותיקה ומוכחת יותר – הפעלת סוכנים (יומינט, קיצור של Human Intelligence). ההבדל היחיד הוא שהאנליסטים האלה מפעילים סוכנים וירטואליים, לא אמיתיים, מה שמאפשר להם "לייצר" סוכנים בהתאם לצורך ולסוג האיום. אתה מעוניין בגישה לפורום האקרים סגור? תיצור את סרגיי. אתה צריך להתחבר לקבוצת האקרים מוסלמית? תיצור את אחמד ההאקטיביסט.

על ידי שימוש בישויות וירטואליות הם החלו לרחרח בפורומים פלסטיניים וברשתות חברתיות, אבל אף-אחד לא הכיר את הקבוצה. כשנראה שלא נותר עוד מה לעשות, הצוות הסתכל פעם נוספת "בחתימה" שהשאירה קבוצת Qods Freedom באתרים שהשחיתה. ושם זוהתה שגיאת כתיב מאוד לא-אופיינית בציטוט מנאום מפורסם של נסראללה, שגיאה שדובר ערבית מבטן ומלידה לא היה עושה. מיד עלה החשש שמא הקבוצה הזאת כלל לא ערבית. מבט נוסף על הפונט שבו נכתב המשפט חיזק את ההשערה, שכן מקורו של הפונט שנבחר הוא במקלדת בפרסית.

תוך התמקדות בהקשר האיראני, הצוות חשף סימנים נוספים המעידים על מוצאה האמיתי של הקבוצה. כך נחשפה קבוצה איראנית עם יכולות טכניות גבוהות מהממוצע שתקפה מספר רב של אתרים ישראליים מחופשת כקבוצה פלסטינית מקומית. המזימה הזאת לא נחשפה על ידי שימוש בטכנולוגיות אקזוטיות, אלא על ידי עבודה מודיעינית קלאסית המושתתת על ידע לשוני ותרבותי נרחב בשילוב עם הבנה עמוקה של עולם הסייבר והיכרות אינטימית עם סצנת ההאקינג המזרח-תיכונית.

סייבר: אתגר ארגוני

חקירה בדיעבד של אירועים היא רק דוגמה אחת לשימושים האפשריים במודיעין סייבר. באמצעות אותה מיומנות, האנליסטים ב-SenseCy חודרים לקבוצות האקרים רבות ומספקים התרעה לפני תקיפות סייבר. ברור כי התרעה מוקדמת שכזו, אשר מופצת ימים או שבועות לפני התקפה אמיתית, היא בעלת-ערך רב לצד המגן.

על-פי הערכות מומחים, שעה אחת של מניעת שירות שקולה להפסד של כ-20 אלף דולר, כך שלדעת את מועד התקיפה המתוכנן, כמה האקרים צפויים להשתתף בתקיפה ובאיזה כלים הם ישתמשו – כל אלה פיסות מידע חשובות עבור צוות ה-IT של הארגון, שיכול לכייל בהתאם את מנגנוני ההגנה ולחסוך משאבים רבים.

סייבר הוא כבר לא "הבעיה של אנשי ה-IT", אלא אתגר עבור כל הארגונים וכל עובד בארגון חייב להבין ולהכיר את האיומים הקיימים. לשם כך, אנחנו מציעים גם הדרכות סייבר מבוססות מודיעין להעלאת המודעות הארגונית לעולם איומי הסייבר. עדיף להיות מודע לאיומים האמיתיים מאשר לפעול על בסיס חוסר מודעות או פחד.

לסיכום, התחזית היא שתעשיית הסייבר העולמית צומחת בקצב של 18%-15% בשנה. כיום מודיעין הסייבר מהווה חלק זעיר יותר מתעשייה זו, ואנו צופים שיגדל אף בקצב מהיר יותר מזה של כלל התעשייה, משום שעוד ועוד גופים מבינים את הצורך ונחיצות המודיעין ומתחילים לצרוך מודיעין שכזה.

הכותב הינו סמנכ"ל תפעול בחברת טרוג'נס