מלבד פיגועי טרור, רקטות מסוריה, לבנון ועזה, חודש אפריל השנה, שכלל גם את פסח והרמדאן, התאפיין בהתקפות סייבר מרובות על אתרים ישראלים, בהם אתרי אוניברסיטאות, דואר ישראל (שעדיין מושבתים בו שירותים מסוימים), צ'ק פוינט, רכבת ישראל ועוד. בנוסף, מתקפת סייבר השביתה השבוע את ההשקיה בשטחים חקלאיים בצפון.
מה בעצם קרה?
OPISRAEL ("מבצע ישראל") מתרחש כל שנה סביב ה-8.4 ונמשך ימים בודדים, אולם השנה המגמה המשיכה כשבוע נוסף, והייתה עלייה משמעותית בכמות התקיפות שבוצעו על מטרות ישראליות. "רוב המתקפות נועדו כדי לסמן 'אות ניצחון' של 'הצלחנו להגיע', ולא באמת לבצע נזק ממשי, אך עדיין כמות האתרים שנפגמו הייתה עצומה. היום יש טפטופים של תקיפות ופריצות ממוקדות על מועצות, מוסדות לימודים, מתקני OT (מערכות בקרה) ועוד", מסביר אלי לוין מנכ״ל חברת ELPC, המתמחה באבטחת מידע וסייבר.
"על הכוונת נמצאות חברות ישראליות ובינלאומיות, והקשר ההדוק בין ההתרחשויות הפוליטיות בארץ לגובה המתקפות, כמותן ועוצמתן, אינו מקרי", אומר תומר אבירם, אנליסט סייאופס בכיר (Senior CyOps Analyst) בחברת סיינט, שפיתחה פלטפורמה שמגנה על הרשת הפנימית של ארגונים ומגינה מפני התקפות הסייבר. "מתקפת סייבר יכולה לנבוע ממטרות שונות – הן לטובת מיקוח ונזק כלכלי, והן ממניעים אידיאולוגיים ולאומניים. מתקפות שמגיעות מאיראן ומדינות ערב בזמנים האלו טומנות בחובן גם מרכיב אידיאולוגי".
מדובר בקמפיין אנטי-ישראלי המזוהה עם ארגון אנונימוס (ארגון בינלאומי של אקטיביסטים, Hacktivist, אשר ידוע במתקפות הסייבר נגד ממשלות ומוסדות ממשלתיים), שמטרתו להסב נזק למשק הישראלי. חלק מההתקפות מתאפיינות במניעת שירות (DDOS – Denial Of Service), פריצות למסדי נתונים והדלפותיהם לרשת, והשתלטות והשחתת אתרי אינטרנט ישראלים.
"במהלך המתקפות התוקפים משתלטים על רשת של מחשבים 'זומבים', Botnet, ושולחים דרכה עשרות או מאות אלפי בקשות בו זמנית לאתרים הנתקפים, על מנת להפיל אותם ולמנוע שירות ממשתמשים לגיטימיים", מסביר מולי לוי, ראש צוות Security Analysts בחברת אימפרבה (imperva).
"השנה התווספה קבוצת תקיפה חדשה לנוף, המזוהה תחת השם 'Anonymous Sudan' והיא מפרסמת באופן תדיר אודות התקיפות שלה בערוץ הטלגרם הייעודי שלה. לאחר ניתוח של המתקפות האחרונות, זיהינו כי "Anonymous Sudan" מקושרת ומשתמשת באותה תשתית תקיפה כמו של קבוצת תקיפה אחרת ומאוד מפורסמת תחת השם 'Killnet'", אומר לוי. "בנוסף, אנו מזהים עלייה ניכרת של עשרות אחוזים במתקפות אוטומטיות על אתרים ישראליים בשבועות האחרונים, במגזר הפיננסיים (בנקאות, חברות אשראי), חברות תוכנה ומוסדות רפואיים".
הסיבות לריבוי מתקפות טרור הסייבר הן מגוונות. מלבד הרקע הלאומני וחודש הרמדאן שהוזכרו, מציין אבירם סיבות נוספות.
- הנגישות - בימינו כל אחד יכול לבצע מתקפה סייבר עם רק מחשב וחיבור לאינטרנט, וכל המידע זמין בלחיצת כפתור, כולל קורסים, כלי פריצה וקבוצות תקיפה ברשת השחורה.
- השימוש המתפשט ברשת לכל הפעולות היומיומיות. הקורונה תרמה לכך כי רוב הפעולות נעשות היום ברשת, החל מקניות אונליין, העברת כספים, ביטוחים ועוד.
- היכולת לבצע מתקפות סייבר באופן אנונימי עם יכולת לא להשאיר עקבות. בעזרת הטכנולוגיה המתקדמת, ניתן לבצע את אותן מתקפות מבלי להשאיר עקבות, כגון שימוש בשרתי פרוקסי, רשת פרטית וירטואלית, מחשבים וירטואליים וכדומה.
תומר אבירם, אנליסט סייאופס בכיר בסיינט | צילום: פרטי
מה ניתן לעשות כדי למנוע פריצות והתקפות סייבר על אתרים?
לדברי לוין, יש להטמיע מנגנון WAF לטובת הגנת אפליקציות ואתרים. "זהו שירות שנועד להיות חומת אש בין האתר לעולם ולקבוע מי יוכל לגשת לאתר, להגן מפני פעילות זדונית, לחסום ניסיונות פריצה בדמות בוטים, לאבטח חיבורים בין האתר למערכות ארגוניות ועוד", הוא אומר.
בנוסף, יש לנהל את שרתי ה-DNS של החברות תחת מערכת ייעודית הכוללת הכנה מתקדמת. "לרוב רוכשים DOMAIN לטובת אתר האינטרנט או האפליקציה ומשאירים אותו אצל רשם הדומיין. DNS, אשר אחראי על תרגום כתובות אינטרנט ל-IP השרתים, נשאר חשוף ולא מנוהל בדרך זו. ניתן היום באמצעות מערכות כמו Cloudflare (שהיא הפופולארית ביותר) להגן על DNS ובכך למנוע ולצמצם בעשרות אחוזים את התקיפות על אתרים ואפליקציות ארגוניות", מסביר לוין.
דרכים נוספות להגנה, על פי לוין, הן לחסום אתרים מפני גישה ממדינות אויבות או ממדינות שלא רלוונטיות לשוק שאליו האתר פונה, ולהפריד בין סביבת אתרי התדמית למערכות המידע המחוברות לאתרים.
ומה צפוי ביום ירושלים האיראני?
זה עוד לא נגמר. היום מצוין יום ירושלים האיראני שמגיע בכל יום שישי האחרון לחודש הרמדאן, ומתקפות הסייבר צפויות להחריף. "המגמה צפויה להימשך, אבל אולי יצליחו באמת להגיע למערכת חשובה וקריטית אחת לפחות, ולעשות סביבה רעש תקשורתי", מעריך לוין.
"בסופו של דבר, כתוצאה בגידול מתקפות הסייבר טרור לאורך השנים והמציאות שאנחנו חווים ביום יום, מתקפות אלו אינן הולכות להעלם, והתופעה הזו מצריכה מענה עוצמתי כדי לסייע לארגונים ולאזרחים להגן מפניהן בהתאם", מסכם אבירם. "אם זה חינוך עובדי החברה בתחום הסייבר, חיזוק סיסמאות ושימוש באימות דו-שלבי, הגבלת גישה לעובדים לא מורשים, עדכון תוכנות ומערכות שונות בצורה שוטפת, וכמובן שימוש בפתרונות אבטחה המשלבת פתרון זיהוי ותגובה".