המלחמה המודרנית
המתקפה על הבנקים המרכזיים בארה"ב מעידה שיכולות המתקפה הקיברנטית של איראן, טובות מכפי שחשבו, בהנחה שטהרן עומדת מאחורי האירוע
רם לוי
| 19/05/2011
(צילום:AP)
האיום הקיברנטי על המערכת הפיננסית הוא גדול מאי פעם. כיום, למעלה ממחצית ההתקפות הם על ארגונים פיננסיים. הסיבות לכך הן רבות: מפריצות למחשבים כאתגר אישי של האקרים, גניבת כסף, הונאה, סחיטה, ריגול, ועד ניסיון לגרום נזק תפקודי. התקיפות מתרחשות מדי יום, בקצב אדיר וברמת תחכום ומורכבות הולכת וגדלה.
חשיבות הסקטור הפיננסי לצד תלותו במחשבים, הופכת אותו לרגיש מאוד לאיום, על אחת כמה וכמה כאשר המניעים של התוקפים אינן כלכליות. מרבית הארגונים והאנשים מודאגים בעיקר מגניבת כסף, זהויות, גניבה וחשיפה של מידע רגיש ואף סודי. אבל האיום הקיברנטי הוא הרבה מעבר לזה: הוא יכול להיות הרסני ולשתק ארגונים ומדינות. קשה להפריז בהשלכות החמורות של התקפה על הסקטור הפיננסי.
המערכת הפיננסית מושתתת על אמון הציבור, שסומך על כך שמידע פיננסי וכסף שלו יהיה זמין. ככל שפוטנציאל התממשות איומים גדל, לצד תלות הולכת וגדלה במידע זמין ומקוון, האיום הקיברנטי הופך לגורם סיכון אסטרטגי, תפעולי ותדמיתי לכל בנק בנפרד ולסקטור הפיננסי ככלל. רוב הארגונים רואים (ובצדק) במערכת הפיננסית כאחראית העיקרית על אבטחת המידע הפיננסי והכסף שלהם. מעניין עוד יותר שכשני שליש מהארגונים גילו שחוו הונאה פיננסית. מתחילת חודש ספטמבר 2012, נתונה המערכת הפיננסית בארה"ב תחת מתקפת סייבר חריגה בעוצמתה והיקפה שמטרתה מניעת שירות של המערכת הפיננסית האמריקאית, לרבות עשרות הבנקים הגדולים בארה"ב.
מה מייחד את ההתקפות האחרונות על המערכת הפיננסית, מדוע הנושא עלה לכותרות בעוצמה רבה כל כך בשבועות האחרונים? בחינת האירועים במרחב הקיברנטי לצד אירועים "במרחב המציאות" והתבטאויות של גורמי ממשל בכירים בארה"ב, מצביעה על כך שייתכן והפעם מדובר בהתקפה מתוזמנת ומתואמת על ידי גורם מדינתי, ייתכן ואיראן. אם אכן כך פני הדברים, זוהי עליית מדרגה באיום קיברנטי, שעד היום ראינו רק את קצה הקרחון שלו. המסקנה היא, שחוקי המשחק משתנים, ואלו שימהרו להבין שהאיומים במציאות הווירטואלית הם המוחשיים, מתוחכמים ומשתנים במהירות אדירה, יגדילו את הסיכוי שלהם לשרוד.
"מבצע אבּבּיל"
ב-19 לספטמבר 2012, המרכז לניתוח ושיתוף מידע של הסקטור הפיננסי האמריקאי העלה את רמת האיום של התקפות סייבר על הסקטור הפיננסי מבינונית לגבוהה, רמת האיום השנייה בחומרתה. העלאת רמת האיום עלתה על סמך "מידע מודיעיני מהימן" של איום פוטנציאלי להתקפות סייבר על המוסדות פיננסים אמריקאים. יום לפני כן הFBI ,FS-ISAC, (מרכז התלונות לפשעים אינטרנטיים), פרסם התראה לבנקים האמריקאים על איום משמעותי להתקפות סייבר ממוקדות נגדם.
יום לפני כן, פרסם ארגון "לוחמי הסייבר של עיז-א-דין אלקסאם" שבכוונתו לשבש את פעילות המערכת הפיננסית בארה"ב כדי להביא למחיקת הסרט "תמימות המוסלמים". אותו סרט שהצית את ההתפרצויות האלימות של מוסלמים ברחבי העולם. בהודעה שפרסם הארגון נכתב: "[ה]מוסלמים חייבים לעשות כל מה שהם יכולים כדי לעצור את הפצת הסרט", וכי בכוונתו לעשות את זה על ידי פגיעה בנכסים שחשובים לארה"ב – המערכת הפיננסית. במשך השבועות שחלפו נתקפו בנקים רבים על ידי הארגון במבצע מתואם ומסונכרן - שנקרא "מבצע אבּבּיל".
ההתקפה החלה עם מניעת גישה לשירותים המקוונים של "בנק אוף אמריקה", הבנק השני בגודלו בארה"ב, ואת האתר של "הבורסה בניו יורק. התוקפים הזהירו שההתקפה יכולה להתבצע בצורות שונות. יום לאחר מכן ההתקפה המשיכה לג'י.פי. מורגן צ'ייס - הבנק הגדול ביותר במדינה. שבוע לאחר מכן נתקפו הבנקים Wells Fargo, US Bank, PNC. לאחר ההפסקה של כשבוע וחצי המשיכו ההתקפות בשבוע השני של אוקטובר נגד מורגן צ'ייס, Capital One, SunTrust Banks ,Regions Financial Corps. וכשבוע לאחר מכן נתקפו הבנקים BBT Corp ו-HSBC (בהתקפת הבנק האחרון ייתכן ומעורב ארגון אנונימוס).
ב-23 בספטמבר אמר הסנטור הדמוקרטי ג'ו ליברמן בראיון לרשת, שאיראן היא זאת שעומדת מאחורי המתקפות. עוד באותו יום, מיהר גולם רזה ג'אלאלי, ראש מערך ההתגוננות האזרחית האירני, להכחיש את האשמות של ליברמן ואמר ש"איראן לא פרצה לבנקים האמריקאים". לגופו של עניין, ג'אלאלי לא שיקר. איראן לא פרצה לבנקים, כי הבנקים לא נפרצו, אלא נמנע שירות שהם מספקים. באופן כללי יותר, ג'אלאלי יודע היטב שקשה לאתר המקור של התקפות סייבר באופן וודאי ("בעיית הייחוס") ולכן קל מאוד להכחיש שאיראן היא זאת שעומדת מאחורי המתקפה וקשה מאוד להוכיח אחרת. איראן, שהייתה יעד להתקפות הסייבר המתוחכמות בעולם, מודעת לכך היטב. בגלל בעיית הייחוס, קשה לזהות ולאתר באופן וודאי את מקור ההתקפה. יחד עם זאת, תהליך סדור של Cyber Forensics, שכולל ניתוח פרטי מידע ממחשבים שמשמשים להתקפה, ניתוח תעבורה, שיטות הפעולה, השוואה בין ההתקפות, מאפשר וללמוד האם מדובר בגורם מדינתי, ארגון פשיעה, האקטיביסטים וכו' ועם מוטיבציות ומודיעין לגבש השערות של מי התוקפים.
מה שידוע עד כה, אלה הדברים הבאים: התוקפים הצליחו לייצור התקפות גדולות וחריגות. כדי לייצר התקפה כזו, יש צורך ברשת תקיפה חכמה ומתחכמות. כמו כן שיטות התקיפה ודפוסי הפעולה היו שונים בין ההתקפות על הבנקים. עם זאת, נפח התעבורה של ההתקפה והעבודה שהבנקים התקשו להתגונן מולם, מעיד כנראה על ארגון בעל משאבים. בנוסף כלי התקיפה המרכזי היה חליפת התקפה מסוג itsoknoproblembro. חליפת התקיפה עושה שימוש ב BRO-bots – שרתים פרוצים שאליהם "דוחפים" את פקודת התקיפה. בשונה מרשת Botnets שבה מנצלים פרוצים. בשיטה הזו התוקפים מנצלים את העובדה שלשרתים יש יותר נפח תקשורת זמין להתקפה, אפשר לבצע את התקיפה עם פחות מחשבים.
הכיוון האיראני
הארגון שלקח אחריות על ההתקפות מכנה את עצמו "לוחמי הסייבר של עיז-א-דין אלקסאם" ופועל גם תחת השם "לוחמי הסייבר קאסם". אם איראן היא זאת שעומדת מאחורי ההתקפות הנראה עומדת ההתקפות, היא מבצע את זה באמצעות כוח קודס - הכוח המיוחד שאחראי על הפצת המהפכה האסלאמית במשמרות המהפכה. לכוחות קודס היסטוריה ארוכה של תמיכה בארגונים כגון חיזבאללה כדי להוציא פעילות טרור מטעמם, והם מבוססים היטב בקרב קהילות שיעיות ברבי העולם.
ג'יימס קלאפר, ראש ה-DNI, התבטא בהקשר יכולות הסייבר האיראניות בוועידת המודיעין של הסנאט בינואר האחרון ואמר שיכולות הסייבר ההתקפיות של איראן (נגד ארה"ב) השתפרו הן בעומקן והן במורכבותן באופן דרמטי בשנים האחרונות. להערכתו, הממשל ואף המנהיג העליון הגיעו למסקנה שאיראן יכולה להרשות לעצמה לתקוף את ארה"ב באמצעים קיברנטיים. בנובמבר 2011, הקימה איראן מטה סייבר הגנתי כדי להגן על התשתיות הקריטיות שלה. בפברואר האחרון, הודיע ראש מערך ההגנה האיראני תא"ל גולמרזה ג'אלילי שאיראן מקימה צבא סייבר הגנתי כדי להגן על הרשתות הצבאיות החיוניות.
איראן עשתה את זה כתגובה להתחמשות הקיברנטית האמריקאית – אם ארה"ב מקטינה את הכוחות ומגדילה את כוחות הסייבר, קל וחומר שגם איראן. למרות הצהרות רבות מצד איראן, שהיא לא מפתחת יכולות סייבר - הדבר אינו נכון. ישנן הערכות שלמשמרות המהפכה יש יחידת לוחמת סייבר. הערכות מדברות על כך שהיחידה מונה כ - 2,400 איש ושתקציבה בשנת 2010 עמד על 76 מיליון דולר. בשנת 2010 התבטא הרמטכ"ל האיראני ואמר שזהו צבא הסייבר השני בגודלו בעולם. ההתבטאות הזו מובילה למסקנה אפשרית שהצבא מעסיק האקרים שמבצעים עבורו פעילות שמכונים צבא הסייבר האיראני. הקשר ביניהם לא ברור אבל הארגון הזה ביצע פעילות התקפית ענפה נגד מספר ארגונים בינלאומיים בעבר. ביולי האחרון איים "גורם רשמי בכיר" במטה הסייבר האיראני לארה"ב לקחת ברצינות את דוקטרינת "עין תחת עין" האיראנית.
"לרפובליקה האיראנית יש יכולות (תקיפה) גבוהות, והיא תגיב לחרחורי המלחמה [האמריקאים]", אמר הגורם. נראה שאיראן הבינה שהתחום הוא חיוני במלחמות המודרניות. איראן מודעת היטב לבעיית הייחוס שיש להתקפות סייבר. לראייה, איראן איימה מספר פעמים שאם ייתקפו מתקני הגרעין שלה, היא תגיב בהפצצת הבסיסים האמריקאים במפרץ וטילים על ישראל. איראן האשימה את ישראל וארה"ב בצורה גלויה בהתקפת סייבר על מתקני הגרעין שלה, ולא מימשה את איומיה. אפשר להניח שזה בגלל שאין ביכולתם להוכיח מעל כל צל ספק מי תקף אותה.
אותה בעיית ייחוס שפעלה לטובת אלו שתקפו את איראן בסייבר, עכשיו פועלת לטובת האיראניים בהתקפות על הבנקים בארה"ב, אם אכן מדובר באיראן. ולמעט השערות וספקולציה, כרגע זה בבחינת השערה בלבד.
**
רם לוי מכהן כיועץ סייבר של המועצה הלאומית למחקר ופיתוח וכחוקר בסדנת יובל נאמן למדע טכנולוגיה וביטחון באוני' תל אביב [email protected]
בהכנת כתבה זו סייעו: ליאור טבנסקי, חוקר בסדנת יובל נאמן למדע טכנולוגיה וביטחון באוני' תל אביב, עו"ד דבורה האוסן-כוריאל, עמיתה בסדנת יובל נאמן למדע טכנולוגיה וביטחון באוני' תל אביב, מוטי גבע, דוקטורנט לאבטחת מידע באוני' בר-אילן
האיום הקיברנטי על המערכת הפיננסית הוא גדול מאי פעם. כיום, למעלה ממחצית ההתקפות הם על ארגונים פיננסיים. הסיבות לכך הן רבות: מפריצות למחשבים כאתגר אישי של האקרים, גניבת כסף, הונאה, סחיטה, ריגול, ועד ניסיון לגרום נזק תפקודי. התקיפות מתרחשות מדי יום, בקצב אדיר וברמת תחכום ומורכבות הולכת וגדלה.
חשיבות הסקטור הפיננסי לצד תלותו במחשבים, הופכת אותו לרגיש מאוד לאיום, על אחת כמה וכמה כאשר המניעים של התוקפים אינן כלכליות. מרבית הארגונים והאנשים מודאגים בעיקר מגניבת כסף, זהויות, גניבה וחשיפה של מידע רגיש ואף סודי. אבל האיום הקיברנטי הוא הרבה מעבר לזה: הוא יכול להיות הרסני ולשתק ארגונים ומדינות. קשה להפריז בהשלכות החמורות של התקפה על הסקטור הפיננסי.
המערכת הפיננסית מושתתת על אמון הציבור, שסומך על כך שמידע פיננסי וכסף שלו יהיה זמין. ככל שפוטנציאל התממשות איומים גדל, לצד תלות הולכת וגדלה במידע זמין ומקוון, האיום הקיברנטי הופך לגורם סיכון אסטרטגי, תפעולי ותדמיתי לכל בנק בנפרד ולסקטור הפיננסי ככלל. רוב הארגונים רואים (ובצדק) במערכת הפיננסית כאחראית העיקרית על אבטחת המידע הפיננסי והכסף שלהם. מעניין עוד יותר שכשני שליש מהארגונים גילו שחוו הונאה פיננסית. מתחילת חודש ספטמבר 2012, נתונה המערכת הפיננסית בארה"ב תחת מתקפת סייבר חריגה בעוצמתה והיקפה שמטרתה מניעת שירות של המערכת הפיננסית האמריקאית, לרבות עשרות הבנקים הגדולים בארה"ב.
מה מייחד את ההתקפות האחרונות על המערכת הפיננסית, מדוע הנושא עלה לכותרות בעוצמה רבה כל כך בשבועות האחרונים? בחינת האירועים במרחב הקיברנטי לצד אירועים "במרחב המציאות" והתבטאויות של גורמי ממשל בכירים בארה"ב, מצביעה על כך שייתכן והפעם מדובר בהתקפה מתוזמנת ומתואמת על ידי גורם מדינתי, ייתכן ואיראן. אם אכן כך פני הדברים, זוהי עליית מדרגה באיום קיברנטי, שעד היום ראינו רק את קצה הקרחון שלו. המסקנה היא, שחוקי המשחק משתנים, ואלו שימהרו להבין שהאיומים במציאות הווירטואלית הם המוחשיים, מתוחכמים ומשתנים במהירות אדירה, יגדילו את הסיכוי שלהם לשרוד.
"מבצע אבּבּיל"
ב-19 לספטמבר 2012, המרכז לניתוח ושיתוף מידע של הסקטור הפיננסי האמריקאי העלה את רמת האיום של התקפות סייבר על הסקטור הפיננסי מבינונית לגבוהה, רמת האיום השנייה בחומרתה. העלאת רמת האיום עלתה על סמך "מידע מודיעיני מהימן" של איום פוטנציאלי להתקפות סייבר על המוסדות פיננסים אמריקאים. יום לפני כן הFBI ,FS-ISAC, (מרכז התלונות לפשעים אינטרנטיים), פרסם התראה לבנקים האמריקאים על איום משמעותי להתקפות סייבר ממוקדות נגדם.
יום לפני כן, פרסם ארגון "לוחמי הסייבר של עיז-א-דין אלקסאם" שבכוונתו לשבש את פעילות המערכת הפיננסית בארה"ב כדי להביא למחיקת הסרט "תמימות המוסלמים". אותו סרט שהצית את ההתפרצויות האלימות של מוסלמים ברחבי העולם. בהודעה שפרסם הארגון נכתב: "[ה]מוסלמים חייבים לעשות כל מה שהם יכולים כדי לעצור את הפצת הסרט", וכי בכוונתו לעשות את זה על ידי פגיעה בנכסים שחשובים לארה"ב – המערכת הפיננסית. במשך השבועות שחלפו נתקפו בנקים רבים על ידי הארגון במבצע מתואם ומסונכרן - שנקרא "מבצע אבּבּיל".
ההתקפה החלה עם מניעת גישה לשירותים המקוונים של "בנק אוף אמריקה", הבנק השני בגודלו בארה"ב, ואת האתר של "הבורסה בניו יורק. התוקפים הזהירו שההתקפה יכולה להתבצע בצורות שונות. יום לאחר מכן ההתקפה המשיכה לג'י.פי. מורגן צ'ייס - הבנק הגדול ביותר במדינה. שבוע לאחר מכן נתקפו הבנקים Wells Fargo, US Bank, PNC. לאחר ההפסקה של כשבוע וחצי המשיכו ההתקפות בשבוע השני של אוקטובר נגד מורגן צ'ייס, Capital One, SunTrust Banks ,Regions Financial Corps. וכשבוע לאחר מכן נתקפו הבנקים BBT Corp ו-HSBC (בהתקפת הבנק האחרון ייתכן ומעורב ארגון אנונימוס).
ב-23 בספטמבר אמר הסנטור הדמוקרטי ג'ו ליברמן בראיון לרשת, שאיראן היא זאת שעומדת מאחורי המתקפות. עוד באותו יום, מיהר גולם רזה ג'אלאלי, ראש מערך ההתגוננות האזרחית האירני, להכחיש את האשמות של ליברמן ואמר ש"איראן לא פרצה לבנקים האמריקאים". לגופו של עניין, ג'אלאלי לא שיקר. איראן לא פרצה לבנקים, כי הבנקים לא נפרצו, אלא נמנע שירות שהם מספקים. באופן כללי יותר, ג'אלאלי יודע היטב שקשה לאתר המקור של התקפות סייבר באופן וודאי ("בעיית הייחוס") ולכן קל מאוד להכחיש שאיראן היא זאת שעומדת מאחורי המתקפה וקשה מאוד להוכיח אחרת. איראן, שהייתה יעד להתקפות הסייבר המתוחכמות בעולם, מודעת לכך היטב. בגלל בעיית הייחוס, קשה לזהות ולאתר באופן וודאי את מקור ההתקפה. יחד עם זאת, תהליך סדור של Cyber Forensics, שכולל ניתוח פרטי מידע ממחשבים שמשמשים להתקפה, ניתוח תעבורה, שיטות הפעולה, השוואה בין ההתקפות, מאפשר וללמוד האם מדובר בגורם מדינתי, ארגון פשיעה, האקטיביסטים וכו' ועם מוטיבציות ומודיעין לגבש השערות של מי התוקפים.
מה שידוע עד כה, אלה הדברים הבאים: התוקפים הצליחו לייצור התקפות גדולות וחריגות. כדי לייצר התקפה כזו, יש צורך ברשת תקיפה חכמה ומתחכמות. כמו כן שיטות התקיפה ודפוסי הפעולה היו שונים בין ההתקפות על הבנקים. עם זאת, נפח התעבורה של ההתקפה והעבודה שהבנקים התקשו להתגונן מולם, מעיד כנראה על ארגון בעל משאבים. בנוסף כלי התקיפה המרכזי היה חליפת התקפה מסוג itsoknoproblembro. חליפת התקיפה עושה שימוש ב BRO-bots – שרתים פרוצים שאליהם "דוחפים" את פקודת התקיפה. בשונה מרשת Botnets שבה מנצלים פרוצים. בשיטה הזו התוקפים מנצלים את העובדה שלשרתים יש יותר נפח תקשורת זמין להתקפה, אפשר לבצע את התקיפה עם פחות מחשבים.
הכיוון האיראני
הארגון שלקח אחריות על ההתקפות מכנה את עצמו "לוחמי הסייבר של עיז-א-דין אלקסאם" ופועל גם תחת השם "לוחמי הסייבר קאסם". אם איראן היא זאת שעומדת מאחורי ההתקפות הנראה עומדת ההתקפות, היא מבצע את זה באמצעות כוח קודס - הכוח המיוחד שאחראי על הפצת המהפכה האסלאמית במשמרות המהפכה. לכוחות קודס היסטוריה ארוכה של תמיכה בארגונים כגון חיזבאללה כדי להוציא פעילות טרור מטעמם, והם מבוססים היטב בקרב קהילות שיעיות ברבי העולם.
ג'יימס קלאפר, ראש ה-DNI, התבטא בהקשר יכולות הסייבר האיראניות בוועידת המודיעין של הסנאט בינואר האחרון ואמר שיכולות הסייבר ההתקפיות של איראן (נגד ארה"ב) השתפרו הן בעומקן והן במורכבותן באופן דרמטי בשנים האחרונות. להערכתו, הממשל ואף המנהיג העליון הגיעו למסקנה שאיראן יכולה להרשות לעצמה לתקוף את ארה"ב באמצעים קיברנטיים. בנובמבר 2011, הקימה איראן מטה סייבר הגנתי כדי להגן על התשתיות הקריטיות שלה. בפברואר האחרון, הודיע ראש מערך ההגנה האיראני תא"ל גולמרזה ג'אלילי שאיראן מקימה צבא סייבר הגנתי כדי להגן על הרשתות הצבאיות החיוניות.
איראן עשתה את זה כתגובה להתחמשות הקיברנטית האמריקאית – אם ארה"ב מקטינה את הכוחות ומגדילה את כוחות הסייבר, קל וחומר שגם איראן. למרות הצהרות רבות מצד איראן, שהיא לא מפתחת יכולות סייבר - הדבר אינו נכון. ישנן הערכות שלמשמרות המהפכה יש יחידת לוחמת סייבר. הערכות מדברות על כך שהיחידה מונה כ - 2,400 איש ושתקציבה בשנת 2010 עמד על 76 מיליון דולר. בשנת 2010 התבטא הרמטכ"ל האיראני ואמר שזהו צבא הסייבר השני בגודלו בעולם. ההתבטאות הזו מובילה למסקנה אפשרית שהצבא מעסיק האקרים שמבצעים עבורו פעילות שמכונים צבא הסייבר האיראני. הקשר ביניהם לא ברור אבל הארגון הזה ביצע פעילות התקפית ענפה נגד מספר ארגונים בינלאומיים בעבר. ביולי האחרון איים "גורם רשמי בכיר" במטה הסייבר האיראני לארה"ב לקחת ברצינות את דוקטרינת "עין תחת עין" האיראנית.
"לרפובליקה האיראנית יש יכולות (תקיפה) גבוהות, והיא תגיב לחרחורי המלחמה [האמריקאים]", אמר הגורם. נראה שאיראן הבינה שהתחום הוא חיוני במלחמות המודרניות. איראן מודעת היטב לבעיית הייחוס שיש להתקפות סייבר. לראייה, איראן איימה מספר פעמים שאם ייתקפו מתקני הגרעין שלה, היא תגיב בהפצצת הבסיסים האמריקאים במפרץ וטילים על ישראל. איראן האשימה את ישראל וארה"ב בצורה גלויה בהתקפת סייבר על מתקני הגרעין שלה, ולא מימשה את איומיה. אפשר להניח שזה בגלל שאין ביכולתם להוכיח מעל כל צל ספק מי תקף אותה.
אותה בעיית ייחוס שפעלה לטובת אלו שתקפו את איראן בסייבר, עכשיו פועלת לטובת האיראניים בהתקפות על הבנקים בארה"ב, אם אכן מדובר באיראן. ולמעט השערות וספקולציה, כרגע זה בבחינת השערה בלבד.
**
רם לוי מכהן כיועץ סייבר של המועצה הלאומית למחקר ופיתוח וכחוקר בסדנת יובל נאמן למדע טכנולוגיה וביטחון באוני' תל אביב [email protected]
בהכנת כתבה זו סייעו: ליאור טבנסקי, חוקר בסדנת יובל נאמן למדע טכנולוגיה וביטחון באוני' תל אביב, עו"ד דבורה האוסן-כוריאל, עמיתה בסדנת יובל נאמן למדע טכנולוגיה וביטחון באוני' תל אביב, מוטי גבע, דוקטורנט לאבטחת מידע באוני' בר-אילן
