שובם של הצללים: מי אתם Black Shadow?

קבוצה קטנה מסעירה מדינה שלמה: קבוצת ההאקרים Black Shadow, הידועה בהתנהלותה השחצנית ובדרישות הכופר שלה, ממשיכה לעשות לעצמה שם בישראל, ואחרי שבחודש דצמבר האחרון פרצה לחברת הביטוח שירביט, חדרה בשבוע שעבר לחברת השרתים הישראלית CyberServe - והדליפה מיליוני נתונים רגישים על אזרחים ישראלים.

לדעת אנשים מעולם הסייבר היד המכוונת את המתקפה נמצאת בטהרן. כספי הכופר שדרשו התוקפים - מיליון דולר בביטקוין - היו מגיעים לשם בסופו של דבר. עם זאת, מומחים סבורים כי לא מדובר בקבוצה מאוד מתוחכמת, שכן היא (עדיין) לא הצליחה לתקוף תשתיות שהצליחו לשתק את התעשייה.

"Black Shadow פעילים להערכתנו באיזור השנתיים", אומר עודד ואנונו, ראש מחלקת מחקר חולשות מוצרים בחברת הגנת הסייבר צ'ק פוינט. "מדובר בקבוצת תקיפה שמזדהה עם איראן ותוקפת רק מטרות ישראליות. המטרות שהיא תקפה הן לא מטרות של תשתיות לאומיות ולכן אני לא חושב שהם זרועה מבצעית של המשטר באיראן".

ד"ר טל פבל, ראש התמחות אבטחת סייבר במכללה האקדמית תל-אביב יפו, סבור כי למרות שיש ייחוס תקשורתי לאיראן, לא ידוע בוודאות שהם אכן איראנים. "למרות שהם ביקשו כסף כמו בדוגמת הפריצה לאתר ההיכרויות "אטרף" - אופן הבקשה מעיד שזו לא המטרה המרכזית (הם פנו לקהל הרחב בישראל לעשות גיוס המונים עבור המליון דולר - מה שמעיד על חוסר רצינות בנושא זה)".

במקרה הנוכחי, התוקפים לא בחרו בתשתית לאומית, שהיא מוגנת יותר, אלא דווקא בגורם פחות חזק בשרשרת. "למרות התחושה שמדובר במתקפה גדולה ומתוחכמת, זו עדיין פריצה לחברת שירותי אחסון אתרים בישראל - במיוחד לעומת הפריצה שהתרחשה באיראן שפגעה בתשתיות קרטיות בכלל המדינה", מוסיף ד"ר פבל. "לא ניתן לקרוא לזה מתקפת סייבר מקיפה על ישראל, אבל כן זה צריך להדליק נורה אדומה".

אלכס שטיינברג, מומחה תמיכה ושירות בחברת אבטחת המידע ESET ישראל, סבור כי התקיפות הן יותר תודעתיות - ליצור כאוס ונזק. "הקורבנות של קבוצת Black Shadow נבחרים בקפידה, וישנו קשר ישיר בין אירועים שונים ברמה המדינית לתקיפות כאלו ואחרות אך קשר זה אינו מובהק. למשל רק בשבוע שעבר דווח על מתקפה על מתקני הדלק של איראן".

שיטות התקיפה של החוליה, על אף הסערה התקשורתית, אינן מתוחכמות במיוחד. "הם מנצלים את נקודות התורפה אשר קיימות בלא מעט ארגונים: פרצות לא מתוקנות, עדכונים אשר לא הותקנו, סיסמאות חלשות ואי שימוש באימות דו שלבי אשר יכול לסייע למנוע חדירה לרשת האירגונית", מסביר שטיינברג.

"גם במהלך התקיפות הפעם מנסים התוקפים האיראניים להפעיל השפעה תודעתית תוך שהם פונים לנתקפים בהצעה 'להחזיר' כביכול את הנתונים שנגנבו על ידם בתמורה לכופר", אומר ד"ר הראל מנשרי ראש תחום סייבר ב-HIT מכון טכנולוגי חולון, וממקימי מערך הסייבר בשב"כ. "תקיפה זו היא חלק ממלחמת הסייבר המתקיימת בין איראן לישראל".

לדבריו של ד"ר מנשרי, איראן פועלת באמצעות מערכי הסייבר של משמרות המהפכה ושל משרד המודיעיון שלה בראייה אסטרטגית, במטרה לפגוע במערכות תשתית (מים, אנרגיה וכדומה), לפגוע במגזר הפיננסי של ישראל ולאסוף מודיעין. "מאז החודשים מרץ ואפריל 2020, ביצעה איראן תקיפות סייבר מתמשכות נגד יעדים מדינתיים ואזרחיים, שרובן סוכלו או הוכלו".

כאמור, במאמציהם ליצור תודעה תקשורתית, Black Shadow פונים לעיתונאים באמצעות חשבון הטלגרם - ומעדכנים כי הצליחו לפרוץ לחברות ישראליות, ואף מקיימים איתם משא ומתן על מכירת מאגרי המידע. על כך אומר ד"ר מנשרי כי "הקבוצה עושה מניפולציה ומנסה למקסם את הנזק התודעתי שהם עשו על ידי פנייה לעיתונאים. שאר המידע שיש להם כנראה אינו עוצמתי כמו 'אטרף', אז הם עושים את הספין הזה בשביל שימשיכו לדבר עליהם".

• בולטת העלייה המשמעותית בשימוש בכופרות ולעתים התחזות לתקיפות כופר על ידי שחקנים מדינתיים (איראן) - אם כי ראוי להדגיש כי כבר היו דברים מעולם
• במסגרת תקיפות כופר או התחזות לכופר בוצע שימוש גם במהלכים מורכבים למיפוי מערכות, איתור מידע רגיש, מחיקת גיבויים, יצירת חשבונות כדלת אחורית, הפעלת כלי מחיקה לנזק תפעולי משמעותי והשבתת סביבות עבודה
• בין יעדי התקיפה בלט השנה מגזר הרפואה (בתי חולים, מכוני מחקר, יצרני חיסונים ועוד), כיעד לתקיפות במתווים שונים, בכללם גנבת מידע, סחיטה, שיבוש נתונים.
• תקיפת מוסדות פיננסיים וגופי ממשל כחלק ממערכה כלכלית מדינתית וניסיון לפגוע באמינות וביציבות הסביבה הפיננסית במדינה.
• שימוש בשרשרת האספקה הדיגיטלית - תקיפות אלו מציבות אתגר של ממש ואף לעתים משנות את הפרדיגמה המוכרת, כיוון שהתוקף עושה שימוש לעתים בעדכוני תוכנה של מערכות הגנה

עינת מירון, מומחית להערכות והתמודדות עם מתקפות סייבר בהיבטים העסקיים, אומרת כי בסוג כזה של מתקפות, זהות קבוצת התקיפה קצת פחות חשובה. "מצד החברות המותקפות - משיקולי ביטוח ומוניטין - ברור שלהן חשוב לשייך את המתקפה לאיראן".

"בפועל, אם מדובר באיראנים או שוויצרים, אין צורך להקל על התוקפים בהמנעות ממימוש הגנות בסיסיות ולפעול במחשבה שלי זה לא יקרה או מקסימום המדינה תעזור", מסבירה מירון. "גם אם חברי בלקשאדו מנהלים חיים רגילים בטהרן עצמה, יש צורך להוכיח מעל לכל ספק כי מדובר בקבוצה שפועלת בשליחות איראנית ולא רק מזוהה עם המדינה".

לטענתה, בסבירות גבוהה, קבוצה בשליחות המשטר האיראני לא תבזבז אנרגיה על סתם רשומות באתרים רנדומליים אלא תכוון לפגיעה תשתיתית משמעותית, הגם שזו מורכבת ואורכת זמן ממושך יותר.

"מצד שני, אסור לנו לשכוח שישנה תמיד האפשרות שפעילות Black Shadow היא מסך עשן לפעילות איכותית ועמוקה הרבה יותר, אם כפרוקסי מכוון ואם כפרוקסי משוטה בעצמו של קבוצות תקיפה אחרות. היכולת לייצר סדר יום באמצעות הודעות סרקסטיות שמייצרות אצלנו צורך במענה כמעט פבלובי המספק את היחס שלו הם מצפים ועוד בעיתוי שנוח להם, אך פחות נוח לאזרחי ישראל, סופי שבוע, חגים, שעות לילה מאוחרות, היא אחד ממנופי הלחץ שהאקרים מפעילים בשגרה".

מדוח מוכנות הסייבר השנתי של אקרוניס, המספקת פתרונות אבטחה בענן, עולה כי בישראל כ-36% מהחברות דיווחו על ניסיונות תקיפות סייבר על המערכות שלהם לפחות פעם בשבוע. כ-27% דיווחו על ניסיונות תקיפה לפחות פעם ביום, 23% דיווחו על ניסיונות תקיפה לפחות פעם בחודש. כ-7% מהחברות בסקר דיווחו על ניסיונות תקיפה לפחות פעם בשעה. רק 8% מהחברות, דיווחו שלא היו עליהן ניסיונות תקיפת סייבר.

"אלו נתונים מאוד מדאיגים שצריכים להיות במודעות של חברה", אומר גילי מולר, מנהל הפעילות בישראל של אקרוניס. "תקיפות מסוג אלו רק מדגישות את הצורך בגישת הגנת סייבר יעילה".