האקינג למטרות אקטיביסטיות, או האקטיביזם, חזר לכותרות עם הפלישה הרוסית לאוקראינה בפברואר 2022. פחות משנתיים לאחר הפלישה, קבוצות ואנשים בודדים עם מניעים פוליטיים יצאו לקרב שוב, והפעם כדי להביע את עמדותיהם בנוגע לסכסוך בין ישראל ובין ארגון הטרור חמאס. נראה כי האקרים שפועלים להשגת מטרות אקטיביסטיות משתמשים בטקטיקות מתוחכמות ואגרסיביות יותר כדי להביא את דעותיהם ועמדותיהם למרכז הדיון הציבורי.
מה שעוד יותר מדאיג היא האפשרות שרבות מהקבוצות מקבלות גיבוי מגורמים מדיניים או אפילו מופעלות ישירות על ידם. ואכן, הגבול בין מבצעי סייבר שמופעלים ע"י מדינות ובין האקטיביזם מסורתי הפך למטושטש יותר ויותר. בעולם שמאופיין בעיקר באי-יציבות גאו-פוליטית ושחיקה של הסדר והחוקים הקיימים, ארגונים רבים, ובייחוד אלה שמפעילים תשתיות קריטיות, צריכים לשקול לשלב את איום ההאקטיביסטים במודלי הסיכונים שלהם.
מה התחדש בהאקטיביזם?
בחברת אבטחת המידע ESET מסבירים כי במובן הבסיסי ביותר, האקטיביזם הוא הפעלת מתקפות סייבר מסיבות פוליטיות או חברתיות. אחד הדברים שמראים את ההתייחסות הרצינית יותר לנושא הוא 8 החוקים שהוציא הצלב האדום בשנה האחרונה לפעולתם של "האקרים אזרחיים" בזמן מלחמה, תוך כדי אזכור לפגיעה של האקטיביסטים במטרות שאינן צבאיות כמו בתי חולים, בתי מרקחת ובנקים.
באופן לא מפתיע, נראה כי במרבית המקרים האקטיביסטים לא מצייתים לכללים שהצלב האדום הגדיר. ואכן, כל עוד קשה לשייך בין פעולה כלשהי למבצע שלה, היתרונות של נקיטה בפעולות האקטיביזם עדיין עולים בהרבה על החסרונות, ובמיוחד אם המתקפות זוכות לגיבוי של גורמים מדיניים.
הישן והחדש
הקונפליקט הנוכחי בין ישראל ובין ארגון הטרור חמאס הביא מספר שיא של אקטיביסטים למחאה ברחובות בכל רחבי העולם. אותה מחאה הביאה גם לעלייה משמעותית בפעילות המקוונת. רוב הפעולות דומות לאלו שזוהו בקמפיינים האקטיביסטיים מהעבר, וביניהם:
- מתקפות DDoS: על פי מקורות מסוימים, פעילות DDoS ממניעים אקטיביסטיים הגיעה לשיא חדש בחודש אוקטובר "ברמות שטרם נצפו, בעקבות הקונפליקט בין ישראל וארגון הטרור חמאס". זה הפך את ישראל למדינה שהותקפה ע"י האקטיביסטים בהיקף הגדול ביותר - 1,480 מתקפות DDoS שתועדו במהלך 2023, כשבחלק מהן הותקפו ארגונים גדולים.
- השחתת אתרים: על פי חוקרים מאוניברסיטת קיימברידג', מעל 100 האקטיביסטים הובילו 500 מתקפות להשחתת אתרי אינטרנט ישראליים בשבוע שלאחר טבח ה-7 באוקטובר. מתקפות השחתת אתרים פשוטות וקטנות יותר ממשיכות לקרות עד לימים אלו.
- גניבת נתונים: קבוצות מסוימות טענו שהצליחו לגנוב נתונים מישראל וארגונים הקשורים אליה ולפרסם אותם ברשת. במילים אחרות, האקטיביסטים יכולים להסתנן למערכות עסקיות כדי לגנוב מידע רגיש ולשחרר אותו לציבור כדי להביך את קורבן התקיפה או לפגוע בו.
סימנים שמראים שההאקטיביזם הפך לממוקד ומתוחכם יותר
- בדוח אחד נטען שהקבוצה ההאקטיבסטית AnonGhost ניצלה חולשת API באפליקציית "צבע אדום", שמספקת את התראות בזמן אמת על מתקפת טילים. הקבוצה "הצליחה ליירט בקשות, חשפה שרתים וממשקי API פגיעים, והפעילה סקריפטים בשפת Python כדי לשלוח הודעות זבל לחלק ממשתמשי האפליקציה", נטען בדוח. הקבוצה אף הצליחה לשלוח הודעות מזויפות לאזרחים עם התראה על פצצה גרעינית.
- בדוחות אחרים צוין שהאקטיביסט מסוים פרסם צילומי מסך שמראים שהצליח לקבל גישה למכשירי ה-SCADA של מערכות המים הישראליות. החוקרים לא הצליחו לאמת את הטענות האלה, אך ככל הנראה שהאקטיבסטים ביצעו פעולות ריגול מול תחום המים הישראלי.
ייתכן כי האקטיביסטים עם ידע טכני מתקדם יותר ו/או גישה לכלים וידע מעולם הסייבר הם אלו שעמדו מאחורי המתקפות שצוינו למעלה. עם זאת, אי אפשר לפסול גיבוי של מדינות לפעולות האלה. למדינות רבות יש סיבות גאו-פוליטיות ואידיאולוגיות לתקוף מדינות אחרות ואת בעלות בריתן מתחת למסכת ההאקטיביזם.
למעשה, נראה כי לקבוצות שחשודות בשיתוף פעולה עם רוסיה יש היסטוריה ארוכה של האקטיביזם כזה בדיוק, בין היתר בכסות של Anonymous Sudan, שהצליחו לפגוע במטרות רבות במערב. הקבוצה טוענת כי היא זו שתקפה את ה-Jerusalem Post ומטרות אחרות הקשורות למערכות בקרה תעשייתיות, ביניהן מערכות ניווט הלוויין הגלובליות הישראליות, רשתות לבקרה ואוטומציה של בנייה ו-Modbus ICS. קבוצה פרו-רוסית אחרת בשם Killnet טוענת כי הצליחה להשבית אתר ממשלתי ישראלי ואת אתר שירות הביטחון הכללי.
ההתקפות האלה הן התקפות בפרופיל גבוה, אך ישנם סימנים למאמצים נסתרים יותר שממומנים על ידי מדינות ומוצגים כהאקטיביזם. מאמצים להפצת מידע מטעה כוללים בין היתר שימוש בתמונות שנוצרו ע"י בינה מלאכותית שאמורות להציג מתקפות טילים, תנועת טנקים בשכונות הרוסות או משפחות שמנסות לאתר את שרידי קרוביהן בין הריסות.
הרעיון הוא ליצור תמונות שמעוררות תגובה רגשית חזקה, כמו התמונה של תינוק בוכה מול הריסות שנגרמו מהפצצות, שהפכה לוויראלית בסוף השנה הקודמת. חשבונות מזויפים ברשתות חברתיות ובטלגרם מפיצים ומקדמים את המידע המטעה. במקרה אחד, נראה כי אילון מאסק, הבעלים של פלטפורמת X (לשעבר Twitter) קידם פוסט מחשבון מזויף, שזכה ל-11 מיליון צפיות לפני שנמחק.
חוקרי אבטחה זיהו פעילות שנראית מתואמת לאחר מתקפת ארגון הטרור חמאס - מה שיכול להצביע על מעורבות של גופים מדיניים. במחקר אחד נטען שלא פחות מ-30 קבוצות האקטיביזם מיקדו את הפעילות שלהם בקונפליקט הזה באופן מיידי - לאחר 48 שעות.
כיצד ארגונים יכולים לנהל סיכוני האקטיביזם
ככלל, אין הבדל משמעותי באופן האיום בין קבוצות האקטיביסטיות "אמיתיות" ובין כאלו המזוהות עם אינטרסים מדיניים או פועלות בשליחותם של גופים מדיניים. הקבוצות האלה ממקדות את תקיפותיהן בארגונים מהמגזר הפרטי שמעזים להביע את דעתם בנושאים פוליטיים רגישים. בחלק מהמקרים, הקבוצות יתקפו גם חברות שאינן תומכות באופן מפורש בצד כזה או אחר, אך הציבור חושב שקיימת תמיכה נסתרת כזו, או כמסך עשן להגשמת מטרות מדיניות נסתרות יותר.
בחברת אבטחת המידע ESET מסבירים כי המניע לפעולה אינו משנה, וכל הארגונים יכולים לעקוב אחרי הצעדים הבסיסיים הבאים כדי לצמצם סיכונים שנובעים מהאקטיביזם:
- שאלו את השאלות הנכונות: האם אנחנו מהווים מטרה? אילו נכסים שלנו נמצאים בסיכון? מהו גודל משטח ההתקפה שלנו? האם האמצעים הקיימים מספיקים כדי להתמודד עם סיכוני האקטיביזם? הערכה קפדנית של סיכוני הסייבר של תשתיות בעלות ממשק חיצוני יכולה להועיל במידה רבה.
- תקנו את כל הפערים שהתגלו בהערכה כזאת, כמו חולשות אבטחה או הגדרות שגויות. עדיף שזה יקרה באופן מתמשך ואוטומטי.
- הבטיחו שכל הנכסים מוגנים מפני איומים בשכבות הדוא"ל, תחנת הקצה, הרשת והענן ההיברידי, ובצעו ניטור מתמשך באמצעות כלי MDR או XDR.
- השתמשו במודיעין איומים כדי לאסוף מידע על איומים קיימים וחדשים, לנתח אותם ולפעול מולם.
- הטמיעו הצפנה חזקה, גם במנוחה וגם בתנועה, כדי להגן על נתונים רגישים מפני קריאה או שינוי ע"י גורמים או מורשים.
- שפרו את ניהול הזהויות והגישה באמצעות ארכיטקטורת "אפס אמון" (Zero Trust) ואימות רב-שלבי (MFA), ועקבו אחרי תבניות חשודות של גישה לנתונים.
- הפעילו תוכניות להכשרת עובדים ולהעלאת מודעות לסיכוני סייבר באופן מתמשך.
- שתפו פעולה עם גורם חיצוני מהימן להגנה מפני מתקפות DDoS.
- בנו ובחנו תוכנית מקיפה לתגובה לתקריות.
האקטיביזם הוא לא תופעה חדשה, אך היטשטשות הגבולות בין קבוצות בעלות מניעים אידיאולוגיים או פוליטיים ובין אינטרסים מדיניים הופך את האיום למשמעותי יותר. ייתכן שהגיע הזמן לחשוב מחדש על תוכניות לניהול סיכונים.