עשרות אתרים ישראלים נפרצו היום (חמישי) על ידי קבוצת האקרים פרו פלסטינית בשם "Hacker_Of_Savior" המזדהה כמי שמשתייכת לעולם המוסלמי. נראה כי התארגנות למתקפה החלה כבר באפריל, ככל הנראה כחלק מסדרת המתקפות השנתיות שזכתה לכינוי Op Israel. ממה שידוע עד כה נראה כי הקבוצה מונה מספר קטן של חברים (לפי אחת ההשערות כתשעה במספר) שחלקם מעזה, חלקם מטורקיה וחלקם ממדינות שונות באפריקה.
ממתווה האירוע ניתן להבין כי המתקפה המתוכננת החלה באיסוף מודיעין, וזיהוי חורי אבטחה בפלטפורמת Upress לאיחסון אתרים, פלטפורמה המשרתת אתרים רבים בישראל. רוב האתרים המאוחסנים על גבי הפלטפורמה הם אתרי תדמית ותוכן, כך שלמעשה מלבד הנזק התדמיתי והפגיעה ב"כרטיס הביקור הדיגיטלי", הרי שלא נגרם נזק ממשי מעבר לחוסר הזמינות של האתרים. אבל גם אם לא נגרם נזק רב, הרי שישנה חשיבות מיוחדת לאירוע הזה ואולי היא דווקא לא קשורה לאירוע עצמו כי אם לתזמון שלו.
בחודשיים האחרונים, בעקבות מגפת הקורונה, יש חשיבות אדירה לזמינות אתרים וחברות ברשת. בין אם אלו עסקים קטנים, אתרי תוכן או נותני שירותים - הזמינות המקוונת היא קריטית עבורם דווקא בימים אלו. כלומר, גם אם הנזק הטכני הוא לא רב וברוב המקרים זניח - הרי שההשלכות של חוסר זמינות עבור עסקים קטנים רבה יותר דווקא בימים אלו. כל דקה שהאתר שלכם לא באוויר, היא דקה ובה לקוח גולש או לקוח פוטנציאלי ימצא עצמו דווקא אצל המתחרים שלכם ( וזאת מעבר לפגיעה התדמיתית). מספר מומחים לסייבר ניסו לענות בשיחה עם וואלה! טק על כל השאלות שצצו מהאירוע הזה ולבחון את ההשפעות הלאה.
איך בעצם מתרחשת מתקפת סייבר כזו?
"המתקפה שראינו היום היא מתקפת "Defacement" הכוללת בתוכה ניצול חולשה בשרת המארח אתרים, וזאת בכדי להשיג שליטה עליו. לאחר שהתוקף מבסס שליטה בשרת הוא פועל להחליף את עמודי האתרים המאוחסנים על השרת בעמוד שלו", אומר לוטם פינקלשטיין, מנהל מחלקת מודיעין סייבר בצ'ק פוינט. "בכל פעם שתיכנס לאתרים המאוחסנים על השרת, תקבל את העמוד של התוקף. תקיפות כאלה בדרך כלל מאוד אמוציונליות ומערבות מניעים אידיאולוגים. לכן התוקפים נוטים לשים עמוד אינטרנט עם מסרים לגולשים. במקרה הזה המסר הוא איום על מדינת ישראל וסרטון ראווה", הוסיף.
"מתקפות סייבר, בייחוד על אתרי אינטרנט, הן בדרך כלל משולבות ולא קורות ברגע. הן נשענות על כל מיני פתחים וחורים שיש בפלטפורמות המותקפות האלו", אומר להב סביר, סמנכ"ל בכיר של טכנולוגיות ענן וארכיטקט ראשי ומייסד שותף ב-AllCloud, ספקית פתרונות הענן ושותפה בכירה של AWS בישראל. "פריצה היא תולדה של המון פריצות וניסיונות, ואם אתה ערני, ניתן לזהות את החולשות שיש מכל מיני ניסיונות קודמים, משמע אפשר לפתור את זה לפני שהפרצה מתרחשת", הוסיף.
"נראה שגם אחרי שהאתרים תוקנו, האקרים חזרו ופגעו שוב, מה שמשתמע מזה להבנתי שיש שם חורים רציניים בתשתיות. ההמלצה שלנו לפחות בהיבטים האלו, זה לייצר תשתית טובה. אחד הדברים הכי חשובים, זה לבצע בדיקת התראות וניטורים. מהצד זה נראה כי החברה שנפגעה, "Upress", זו בסוף חברה עם משאבים מוגבלים וכנראה שהם לא הקפידו לגמרי על כל הנהלים. ייתכן והקפדה הייתה עוזרת למנוע את זה", אמר.
האם מי שנכנס לאתר שהותקף נמצא בסיכון?
לא. חלק מהאתרים שנפרצו דרשו גישה למצלמה ואסור לתת את ההרשאה הזאת. אך אין סכנה למי שנכנס לאתרים הללו. אחרי הכניסה לאתר יש לצאת ממנו מיד ולא ללחוץ על קישורים אחרים שנשתלו. כך גם מעבר לכניסה לאתרים חשודים, יש לבדוק בצורה קפדנית מייל או הודעה, מיהו השולח, ולוודא כי לא מדובר בניסיון הונאה.
מהן הסכנות הנלוות לאתר אינטרנט שנפרץ?
"באירוע הספציפי הזה, אכן הייתה להם גישה גם עם יכולת הרשאות למחוק את מאגר המידע", אומר סביר. "אם על מאגר המידע הייתה רשימת אנשי קשר או מיילים, ייתכן והתוקף הוציא אותם וכעת יש עניין של פרטיות שנפגעה. זה כבר אירוע שמשליך על חוקי פרטיות ומכניס מורכבות נוספות. לכן באמת חשוב לדאוג שחברות שאוספות מידע על לקוחות יהיו ערות לנושא של אבטחת מידע מאחר ומדובר בהרבה מעבר לתדמית - זו המחויבות למשתמשים הסופיים ושמירה על הפרטיות".
מי עומד מאחורי המתקפה?
מדובר קבוצת האקרים פרו פלסטינית בשם "Hacker_Of_Savior המונה תשעה אנשים מטורקיה, עזה ואפריקה. על פי עדויות, הקבוצה החלה להתארגן בתחילת אפריל ואף הקימה קבוצת פייסבוק ייעודית ועמוד יוטיוב שבינתיים הוסר. מאז המתקפה בשעות האחרונות, הקבוצה התגאתה בפרסומים שהשיגה בכלי התקשורת השונים, ואף פרסמה בדף הפייסבוק קול קורא להאקרים שרוצים להצטרף "למשימה".
האם מדובר במתקפה חריגה לעומת מתקפות אחרות של האקרים מהעולם הערבי?
"ההתקפה השנה היא יחסית מינורית, וכוונה בעיקר כלפי ספק יחיד שמחזיק הרבה אתרים", אומר סביר. "במסגרת אירועי עבר במתקפות מסוג זה ראינו גם חברות גדולות שנפגעו. כולנו מודעים לדיווחים בחדשות של הפינג - פונג בעולם הסייבר בין ישראל למדינות אחרות. אני לא יודע אם זה קשור אבל זה ודאי נותן הרבה מוטיבציה ולכן יש לנקוט במשנה זהירות. כמות הבאז בחדשות מייצרת אנרגיה למשהו נרחב יותר, וצריך להיות עירניים יותר. בנוסף, המשתמשים עצמם צריכים לנהוג בחוכמה וזהירות, ומנהלי תשתיות צריכים לוודא שהם מוגנים ומנטרים פעילויות חריגות כל הזמן".
האם אתרים גדולים יותר גם בסכנה פוטנציאלית למתקפות דומות?
"ככל שאני מכיר את האתרים והפלטפורמות הגדולות - אני מאמין שפחות, בעיקר מאחר ואלו שומרים על רמת אבטחה וקצב עדכון גבוה. הפלטפורמות הגדולות שאנחנו מכירים, אלו המסחריות הגדולות, הן ברמת אבטחה גבוהה יותר ולכן מצויות בסיכון נמוך יותר ככל שמדובר בסכנת פגיעה מהתקפות עליהן", מסביר סביר. "כמובן שיש צורך להיזהר ממתווי תקיפה אחרים כמו אימיילים או מכאלו שנעשה בהם שימוש בנוזקות מסוכנות יותר, אבל אלו כבר התקפות מסדר גודל שונה מההתקפה הזו", הוסיף.
מהי רמת העמידות של המשק הישראלי לפעולה נרחבת שכזו?
"אני חושב שהארגונים הגדולים מגנים על עצמם היטב. בתקופה האחרונה כולם עברו לעבודה מרחוק ועשו פרויקטים מאוד זריזים כדי לאפשר אותה", אומר סביר. "הם נשענים על המון אבטחת מידע, עדיין אני חושב שיש פה מקום לעירנות גדולה ואחריות ענקית על הכתפיים של כל אחד שעובד מהבית שמתחבר לתשתיות הארגוניות באופן העבודה שלו. אני מקווה שרוב החברות עברו לשיטה של "שולחן עבודה מרחוק" ולא לעבודה מהמחשב בבית, שכן הפתרון של "שולחן עבודה מרחוק" משקף את המחשב שבתוך החברה ומאפשר עבודה מאובטחת יותר".
"אנחנו היוזרים שעובדים מהבית צריכים לשמור דווקא כעת יותר מתמיד על ביטחון המחשבים שלנו, כי אלו עשויים להיות צינור לכל מיני תשתיות תקיפה. מילת הקסם כאן היא ניטור. גם אם המערכת עכשיו הוגדרה והיא מצויינת, הרי שבעוד עשר דקות או אפילו דקה - תוקף יכול לפרוץ למערכת. לכן על מנהלי התשתיות מוטלת האחריות לבצע מעקב אחר השינויים (בקרת שינויים), זהו מרכיב קריטי שאסור להקל בו ראש ולהיות שאנן לגביו", הוסיף.