מתחזק החשד: גורמים איראנים עומדים מאחורי מתקפת הסייבר

האם איראן עומדת מאחורי שורת תקיפות של חברות ישראליות בימים האחרונים? לאחר המתקפה על חברת עמיטל בשבוע שעבר ושורת תקיפות על חברות מתחום הלוגיסטיקה והמשלוחים, שנחשפו אתמול ב"כלכליסט", האקרים פרסמו אתמול שהצליחו לחדור גם לשרתים של חברת השבבים הישראלית הבאנה לאבס, שנרכשה על ידי אינטל לפני שנה.

אופי התקיפות האחרונות מחזק את ההשערה שמדובר בהאקרים בשליחות איראנית או כאלה שמחוברים לגורמי סייבר איראנים. האינדיקציות שמצביעות על כך הן שהתוקפים לא ביקשו כופר עד כה והאמצעים שבהם נעשה שימוש בשתי התקיפות – נוזקת Pay2Key ששימשה בתקיפה שבוצעה בחודשים האחרונים נגד כמה עשרות חברות וגורמים ישראלים, כך נחשף בזמנו על ידי צ'ק פוינט שביצעה את החקירה והמעקב אחרי מפעילי הנוזקה. ואולם, קשה מאוד לבצע ייחוס למקור של התוקפים רק על בסיס כלי התקיפה שבהם נעשה שימוש. לא פעם האקרים מחליפים ביניהם כלים או משדרגים נוזקות של תוקפים אחרים כדי לטשטש עקבות.

נוזקת Pay2Key מזוהה כבר כמה חודשים עם האקרים איראנים. מדובר בנוזקת כופר חדשה יחסית שזוהתה לראשונה ביוני שעבר. הערכות מקשרות אותה עם האקרים איראנים, אך לא ברור אם הם אלו שעומדים מאחוריה או גורמים אחרים שמכרו אותה הלאה. אחד מהמאפיינים העיקריים של הנוזקה היא שהמפעילים שלה נוהגים בדרך כלל לבקש כופר בסכומים נמוכים מהמקובל בשוק.

"יש שני סוגי תקיפה נפוצים בעולם הצפנת הנתונים״, מסביר ל"כלכליסט" גל בן דוד, ממייסדי חברת הסייבר IntSights: ״ש תוכנת כופר שמצפינה את הנתונים ומבקשת כסף כדי להחזיר את המידע למצבו הקודם. ויש שימוש בנוזקה שמצפינה את הנתונים והורסת אותם כך שאי אפשר לשחזר אותם אחר כך. במקרה השני זה נעשה נטו בכוונה לפגוע בנתונים שלך ולכן זה מגיע ממדינה או מגורם שמנסה לחבל בך – בחברה הנתקפת – ספציפית. מצד שני גם גורמים מדיניים עושים שימוש בתוכנת כופר כי זה גורם לאירוע להראות תמים יותר אם אתה מבקש כסף״.

בן דוד נוטה להאמין ששורת המתקפות האחרונה אינה מתקפה איראנית ״רשמית״ נגד ישראל, בעיקר בשל הבחירה בתוכנה. ״הדבר האחרון שגורמי ביון רוצים כשהם בוחרים במתקפת סייבר זה להגיע לכותרות. כאן נעשה שימוש בתוכנת כופר ולכן היה ברור מראש שהמתקפה תתגלה. אם ארגון ביון מדיני היה רוצה לפגוע בשרשרת אספקת החיסונים של מדינת ישראל, הוא היה גורם לזה להראות כמו טעות״.

בן דוד מספק דוגמה למתקפה כזו: ״אפשר למשל לחבל במקררים עצמם שמחוברים היום לתוכנה ולגרום להם להציג טמפרטורה תקינה בעוד שלמעשה הם לא מקררים. בנוסף, אף אחד לא ייקח אחריות על פגיעה בחיסונים, גם בתור מדינת אויב. קשה לי להאמין שאם היתה פה פגיעה בשרשרת האספקה של החיסונים מישהו ייקח אחריות ויתקשו להוכיח שהמתקפה הגיעה מהאיראנים כי מעצמות טובות בהסתרת מידע. אחת הסיבות, למשל, שתפסו בעבר האקרים רוסיים הייתה שימוש קלוקל באנגלית. ארגונים ביון, כולל האיראנים שמאוד טובים בסייבר, לא פועלים כך״.

אבל העובדה שלא מדובר במתקפה מצד ממשלת איראן לא שוללת האקרים איראנים, נהפוך הוא: ״רוב הסיכויים שזה אקטיביזם אנטי ציוני, ברור שזה טרגוט של ישראלים, ועם המחקר של צ׳קפוינט שמחבר בין התוכנה לאיראנים לא צריך להיות גאון כדי להבין מאיפה הגיעו התוקפים״.

נכון לרגע כתיבת שורות אלה, לא ברור עדיין מי או מה הגורמים מאחורי הנוזקה רוצים אך לפי הערכות שונות, כמו זו של החברות סקיוריטי ג'ו (Security Joe) ופרופרו, לא מדובר כנראה בניסיון לסחוט כסף מהחברה. "מטרתה של התקיפה היא איסוף מודיעין ולא כופר לטובת רווח כלכלי", כך מסרו ל"כלכליסט", "עוד נראה כי התוקפים אספו מידע על עמיטל והתוכנה אותה היא מספקת ללקוחותיה ורק לאחר בכן בחרו בחברה בתור מטרה. אנו מאמינים כי מדובר בתוקף המשויך בדרך כזו או אחרת עם גוף או מדינה עוינים לישראל והמידע שדלף לתוקפים מאותן חברות עלול בסבירות גבוהה להיות מידע בטחוני רגיש״.

חברת עמיטל מפתחת תוכנת לוגיסטיקה לניהול עמילות מכס. החברה הינה שחקן ותיק בשוק הישראלי ומוצריה נפוצים מאוד בתחום. הצלחת ההאקרים לפרוץ למחשביה הביא לכך שהם קיבלו גישה למערכות של הלקוחות. עדיין לא ברור בדיוק כיצד הדבר התאפשר, אך אם המערכות הכילו סיסמאות ושמות משתמשים של הלקוחות, לא היה צורך בפעולה מתוחכמת כדי לחדור למערכות. כל מה שההאקרים היו צריכים זה את פרטי הגישה למערכות הלקוחות ומשם הם יכלו לבצע מעבר רוחבי למחשבים שמחוברים לתוכנה. הסיבה לכך שמידע רגיש עשוי היה לדלוף או היווה את המטרה האפשרית של ההאקרים היא שחלק מהחברות שהותקפו שימשו גם לעסקאות יבוא ויצוא של ציוד ביטחוני. מעמיטל נמסר שאכן לא בוצעה עד כה דרישה לתשלום כופר. מגורמים אחרים בתחום הסייבר נמסר ששרתי החברה לא הוצפנו – מה שמצביע על כך שההאקרים גנבו את המידע ולא ניסו להשתמש בו כאמצעי סחיטה.