רקטות כיפת ברזל מתוצרת רפאל | צילום: רפא"ל
בלעדי
חשד שהאקרים בשירות איראן פרצו למערכות רפאל
ההאקרים העלו לדארקנט דוגמאות ממאגר הנתונים שנגנב מחברת הביטחון הישראלית. הם משתייכים לקבוצת "מוזס סטאף", הנתמכת בידי המשטר באיראן, ומעמידים את המידע למכירה תמורת 100 ביטקוין
האקרים שככל הנראה פעלו בשירות המשטר האיראני חדרו למערכות המחשב של חברת הביטחון הישראלית רפאל, גנבו מידע והדליפו דוגמאות ממנו לדארקנט, כך על פי מידע שהגיע היום (ג') לידי "כלכליסט".
על פי הקבצים שהודלפו מדובר לכאורה במידע שכולל רשימות גישה של עובדים למערכות מחשבים פנימיות, ככל הנראה ממערכת Active Directory, לצד מצגות עסקיות חסויות, ואולי אף תוכניות של מערכת הגנה אווירית שנמכרה לבריטניה. אין ודאות שהרשומות האלה כוללות גם סיסמאות גישה למערכות של רפאל, אם כי הדבר בהחלט אפשרי.
קראו עוד בכלכליסט:
בסרטון שהעלו ההאקרים לאתר, בו פרסמו את המידע, נראים צילומי מסך של מערכת שעשויה להיות "סקיי סייבר". זוהי מערכת ה-GBAD - ראשי תיבות של מערכת הגנה אווירית קרקעית. מדובר במערכת טילי הנ"מ החדשה של הצבא הבריטי, שמשלבת מערכת שליטה וניהול קרב מתוצרת רפאל, מכ"ם של סאאב השבדית וטיל יירוט בריטי.
מדובר בגרסת ייצוא של מערכת ניהול הקרב המשמשת גם את כיפת ברזל ופותחה בידי חברת אמפרס, כיום, חברה בת של רפאל שמחזיקה 50% ממנה. הבריטים שילמו על המערכת הישראלית 79 מיליון דולר, אם כי יש לציין שהיא אינה זהה לגמרי למערכת שמותקנת כיום בסוללות כיפת ברזל של צה"ל. עם זאת, אם הצליחו ההאקרים לפרוץ לתוכנת המערכת ולאלגוריתמים המשמשים אותה, הרי שהם יכולים לאסוף מידע קריטי על אופן איסוף המידע ועל קבלת ההחלטות של מערכת היירוט הישראלית, שיכול לשמש כדי להערים אליה.
חלק מקמפיין מתמשך
ההאקרים שפרסמו את הממצאים הם ככל הנראה מקבוצת הסייבר Moses Staff המזוהה עם המשטר האיראני. "הפריצה לרפאל שעלתה לאחרונה לכותרות היא חלק מקמפיין מתמשך של קבוצת התקיפה שנתמכת על ידי המשטר האיראני", כך לדברי דור עמית, שותף מייסד וסמנכ"ל הטכנולוגיות של חברת הסייבר 10Root. "חלק מהמידע שהודלף מתוארך לשנת 2017 ומצביע לכאורה על מתקפה ישנה ולמרות זאת הודלפו גם מסמכים חדשים. לא ניתן לשלול כי מדובר במניפולציה טכנית המאפשרת תיארוך מחדש או עיבוי של המידע החדש עם מידע ישן על מנת להעצים את האירוע".
מהחומרים שפורסמו עד כה ברשת האפלה אין ראיות לביסוס אחיזה של התוקפים במערכת או חשיפת סיסמאות של משתמשים, אלא בעיקר מיפוי מסוים של מערכות המידע והשירותים בארגון. המידע שגנב מועמד למכירה עבור כ-100 ביטקוין או כ-12 מיליון שקל. עוד נמצא במאגר מספר הפניות לנתונים שאולי נגנבו מהמערכות של חברת הסייבר F5. ההאקרים התרברבו במעלליהם בטקסט שפורסם לצד המאגר שהועלה לאתר שלהם וצירפו קובץ ובו שמות משתמשים וסיסמאות חינמיות לאתרי פורנו.
קשה לומר אם יש ממש בהודעה של ההאקרים. ייתכן שהפריצה היתה רק למערכות מינוריות או שאכן הצליחו לחדור לרשתות פנימיות של רפאל. בחברה, בכל אופן, הסתפקו בהודאה לקונית: "מדובר באירוע נקודתי של מידע שהיה ברשת החיצונית של החברה".
מטרת איכות עבור האיראנים
האירוע ברפאל מזכיר מאוד אירוע דומה שאירע בשנה שעברה ובו פרצו האקרים למערכות של תעשייה אווירית, גם באירוע ההוא היה מדובר בפריצה לרשתות חיצוניות של החברה - ועדיין, בחלק מהמקרים כלל המידע גם סיסמאות ופרטי גישה מרחוק למחשבי החברה.
רפאל נחשבת למטרת איכות עבור האיראנים, גם מסיבות תודעתיות וגם כאמצעי לפגוע במדינת ישראל בדרכים עקיפות. פריצה למערכות של רפאל גם מזיקה לחברה מבחינה עסקית שכן מדינות רבות יחשבו פעמיים אם לרכוש את מוצרי החברה אם יידעו שהן עשויות למצוא את המידע האסטרטגי שלהן ברשת. בשלב הנוכחי לא ניתן לאמת כי מדובר בפריצה שכוללת מידע איכותי, אבל, כאמור, גם לא ניתן לשלול זאת על הסף.
יונתן גרצון, מנהל תחום מודיעין ואיומי סייבר בחברת הסייבר cyberint, אמר: "על פי בדיקה שלנו, נראה שקבוצת ההאקרים האיראנית Moses Staff שמה את רפאל כמטרת תקיפה כבר מ-28 בינואר, וניכר כי הקבוצה פועלת מתוך מניעים פוליטיים המכוונים בעיקר כלפי ארגונים ישראליים. כעת, האתר של ההאקרים - מציג כתובת אינטרנט חדשה וכולל סרטון של מה שנראה כמצלמות אבטחה המתעדות את מתחם רפאל מבחוץ. בנוסף, נכתב 'זו רק ההתחלה, בעתיד נכיר לכם את המשרד ומגורי הפקידים'. יחד עם זאת, חלק מאתרי האינטרנט של קבוצת ההאקרים מושבתים כעת".