פרשנות: מתקפות הסייבר ההדדיות בין איראן לישראל תמשכנה על בסיס קבוע
המערכה בממד הסייבר מאפשרת לשני הצדדים לנהל מערכה חשאית, זולה יחסית בעלויות ובחיי אדם, ולהשיג הישגים פוליטיים, כלכליים, מודיעיניים, תודעתיים וצבאיים
אייל פינקו
| 09/08/2020
bigstock
ב-24 לאפריל נתקפו תשתיות מים בישראל על ידי קבוצת תקיפת סייבר איראנית. לאחר התקיפה האיראנית הצהיר ראש מערך הסייבר הלאומי, יגאל אונא, כי תקיפה זו תיזכר כנקודת מפנה בהיסטוריית לוחמת הסייבר, על אף שלא נגרמו נזקים ממשיים למערכת המים.
כשבועיים לאחר מכן בוצעה תקיפת סייבר על מערכות המחשוב של נמל שהיד רג'אי באיראן. תקיפת הסייבר, שיוחסה לישראל, גרמה להשבתת הנמל, שהינו אחד מהמרכזיים באיראן, למספר ימים. בשבועות האחרונים אירעו מספר מקרים של פיצוץ מתקני תשתיות גרעין ברחבי איראן. עיתונים מהעולם הערבי מיהרו לדווח כי הפיצוצים נגרמו כתוצאה מתקיפות סייבר ישראליות, בעוד קבוצת התנגדות איראנית לקחה אחריות על חלק מהפיצוצים.
גורמים איראניים רשמיים טענו, כי הפיצוצים התרחשו כתוצאה מתקלות טכניות, אך באותה נשימה איימו, שאיראן תשתק את ישראל באמצעות תקיפות סייבר באם תמשכנה התקיפות. תקיפות הסייבר ההדדיות בין ישראל ואיראן אינן תופעה חדשה. התקיפה הראשונה שפורסמה ויוחסה לישראל הייתה ה"סטקסנט". תקיפה באמצעות פוגען, שהשבית את הכור הגרעיני בנתנז ב- 2011. מאז המשיכו תקיפות הסייבר ההדדיות בין המדינות גם אם על "אש נמוכה". דגש לכך נתן ראש הממשלה נתניהו, בראשית 2019, בציינו כי תקיפות הסייבר האיראניות על מדינת ישראל הינן ברמה היומיומית.
על תקיפות סייבר וכלי תקיפה
בניגוד לסרטים ההוליוודיים, תקיפות סייבר אינן תולדה של מאמץ לילי, בו ההאקר פורץ למחשב ומוציא ממנו את שללו. תקיפת סייבר היא תולדה של מאמץ מתמשך, שלרוב נמשך למעלה משנה, ומבוסס על שלושה אלמנטים. האלמנט הראשון הוא איסוף מודיעין על יעד התקיפה. איסוף המודיעין יכלול מחד מידע אישי על יעד התקיפה - אישיותו, הרגליו, מניעיו וחולשותיו. ומאידך, איסוף מידע טכנולוגי על מערכות יעד התקיפה כגון סוג האנטי-וירוס, "חומת האש", מבנה הרשת, מערכת ההפעלה וכדומה.
לאחר איסוף המידע והכרות טובה יחסית עם יעד התקיפה (האובייקט) יוחלט על שני האלמנטים הנוספים - כלי התקיפה הטכנולוגי ואופן התקיפה. כלי התקיפה בממד הסייבר (הפוגענים) הם למעשה קבצי תוכנה זדוניים, המועברים דרך הרשת (רשת האינטרנט או הרשת הסלולרית למשל) ומותקנים במחשב, ברשת או בטלפון של האובייקט מבלי שמערכות ההגנה הטכנולוגיות יגלו אותו.
לפוגענים עשויים להיות משימות שונות, כגון איסוף מידע, שימוש במערכות האובייקט כעוגן לתקיפה על יעד אחר, שיבוש או השבתת מערכות האובייקט. כלי התקיפה מפותחים כל העת, ומתבססים על פרצות ("חולשות") הקיימות בתוכנות/אפליקציות בהם אנו עושים שימוש. קיימים כלי תקיפה בהם נעשה שימוש תדיר וישנם כלי תקיפה מיוחדים, העושים שימוש בפרצות שטרם נתגלו (המכונים zero-day), הנשמרים ב"מחסנית" לביצוע תקיפות מיוחדות.
אופן התקיפה (או וקטור התקיפה) מגדיר למעשה את דרך הפעולה המבצעית להחדרת כלי התקיפה למערכות האובייקט בהתבסס על המודיעין הקיים. כך לדוגמה ניתן להגדיר וקטור תקיפה בו יוחדר כלי תקיפה למערכת המחשוב של האובייקט באמצעות מניפולציה אנושית עליו, למשל באמצעות שליחת מייל הכולל קישור (לינק), אשר לחיצה עליו על ידי המשתמש תגרום להחדרת כלי התקיפה למערכת (וקטור תקיפה זה מכונה "הנדסה חברתית").
וקטור תקיפה אחר לדוגמה יהיה באמצעות החדרת כלי תקיפה דרך שרשרת האספקה הארגונית, כלומר תקיפת אחד מספקי השירותים של האובייקט. ספקי השירותים הופכים למעשה כמנוף לתקיפה, מתוך ההנחה שקיים אמון יחסי בין האובייקט לבין ספקיו, ומידע או מוצרים המתקבלים מהם נחשב לאמין, כך ש"הלבשת" כלי תקיפה על מידע או מוצר מהספק עשוי לעקוף את מערכות ההגנה של יעד התקיפה.
באם נחזור לדוגמת התקיפה על הנמל האיראני, הרי שמדובר על החדרת כלי תקיפה שמטרתו לגרום להשבתת הנמל באמצעות פגיעה במערכת ניהול הנמל, המנהלת את פריקת/טעינת מכולות מכלי שיט, הוצאה והכנסת של מכולות לנמל, הפעלת מנופים, משאיות ועוד.
לביצוע תקיפה כזו נדרש מודיעין אודות סוג ודגם מערכת הניהול של הנמל, מיהם עובדי הנמל המפעילים ומתחזקים את מערכת המחשב, מה מבנה הרשת שלה, מיהי החברה אשר פיתחה אותה ועוד. לאחר השגת המודיעין ניתן היה לבצע תקיפה לדוגמה באמצעות החדרת פוגען לחברה שפיתחה את מערכת ניהול הנמל (חברה איראנית) או באמצעות שליחת מייל עם קישור זדוני לעובדים בנמל האיראני המפעילים את המערכת, ולהמתין ליום פקודה להפעלת הקוד הזדוני שחדר למערכות הנמל.
כך גם בתשתיות הגרעין האיראניות שנפגעו בסדרת הפיצוצים האחרונה. באם בוצעה תקיפת סייבר, שאפשרה לחדור ולפגוע במערכות הבקרה או ההפעלה של המפעלים (כדוגמת מה שבוצע בתקיפת הסטקסנט), הרי שתוצאותיה של תקיפה כזו בהחלט עשויה לגרום להשמדתה ללא השארת העקבות של התוקף.
המערכה בממד הסייבר
תקיפות הסייבר ההדדיות בין איראן וישראל שפורסמו חושפות טפח קטן מהמערכה המתנהלת בממד הסייבר בין שתי המדינות מזה שנים מספר. המערכה בממד הסייבר מאפשרת לשני הצדדים לנהל מערכה חשאית, זולה יחסית בעלויות ובחיי אדם, ולהשיג הישגים פוליטיים, כלכליים, מודיעיניים, תודעתיים וצבאיים, לעיתים מבלי שהצד הנתקף יזהה שהוא תחת מתקפה, ולרוב מבלי שזהות התוקף תתגלה.
ישראל ואיראן מפתחות כלי תקיפה מתקדמים, אך קשה יהיה לעמוד את יכולות התקיפה של שתי המדינות ולהשוות ביניהן, שכן באופן טבעי פיתוח היכולות ובניין הכוח נשמר בעלטה. יחד עם זאת, התקיפות האחרונות שבוצעו על ידי שני הצדדים מעידות על יכולות מתקדמות, ישראליות ואיראניות, של איסוף מודיעין על יעדי התקיפה בממד הסייבר, ויכולות תקיפה מתקדמות של שני הצדדים המאפשרות לא רק איסוף מודיעין והשבתה של מערכות מידע אלא גם יכולות להשבתת מערכות זמן אמת ותשתיות לאומיות קריטיות, כגון מערכות הבקרה וההפעלה של משקי המים, האנרגיה, הבריאות, התחבורה ועוד.
סביר יהיה להניח, כי איראן אינה פועלת לבדה להשגת כלי תקיפת סייבר אלא גם משתפת פעולה בפיתוח עם סין וצפון קוריאה, ואף חולקת לפחות חלק מיכולותיה בסייבר עם ארגוני הפרוקסי שלה דוגמת חיזבאללה, חמאס והחות'ים בתימן.
יכולות התקיפה בממד הסייבר של שני הצדדים ימשיך להתפתח ולהתקדם באופן משמעותי, תוך שילוב יכולות מתקדמות כנגד תשתיות לאומיות, יכולות צבאיות ויכולות אזרחיות אחרות. אי לכך, ישנו צפי כי מתקפות הסייבר ההדדיות בין איראן וארגוני הפרוקסי שלה לבין ישראל תמשכנה על בסיס קבוע, מתוך כוונה הדדית לאסוף מודיעין, להיערך למצב של מלחמה, לייצר הרתעה הדדית ולהשיג הישגים אחרים.
המערכה בממד הסייבר מאפשרת לשני הצדדים לנהל מערכה חשאית, זולה יחסית בעלויות ובחיי אדם, ולהשיג הישגים פוליטיים, כלכליים, מודיעיניים, תודעתיים וצבאיים
bigstock
ב-24 לאפריל נתקפו תשתיות מים בישראל על ידי קבוצת תקיפת סייבר איראנית. לאחר התקיפה האיראנית הצהיר ראש מערך הסייבר הלאומי, יגאל אונא, כי תקיפה זו תיזכר כנקודת מפנה בהיסטוריית לוחמת הסייבר, על אף שלא נגרמו נזקים ממשיים למערכת המים.
כשבועיים לאחר מכן בוצעה תקיפת סייבר על מערכות המחשוב של נמל שהיד רג'אי באיראן. תקיפת הסייבר, שיוחסה לישראל, גרמה להשבתת הנמל, שהינו אחד מהמרכזיים באיראן, למספר ימים. בשבועות האחרונים אירעו מספר מקרים של פיצוץ מתקני תשתיות גרעין ברחבי איראן. עיתונים מהעולם הערבי מיהרו לדווח כי הפיצוצים נגרמו כתוצאה מתקיפות סייבר ישראליות, בעוד קבוצת התנגדות איראנית לקחה אחריות על חלק מהפיצוצים.
גורמים איראניים רשמיים טענו, כי הפיצוצים התרחשו כתוצאה מתקלות טכניות, אך באותה נשימה איימו, שאיראן תשתק את ישראל באמצעות תקיפות סייבר באם תמשכנה התקיפות. תקיפות הסייבר ההדדיות בין ישראל ואיראן אינן תופעה חדשה. התקיפה הראשונה שפורסמה ויוחסה לישראל הייתה ה"סטקסנט". תקיפה באמצעות פוגען, שהשבית את הכור הגרעיני בנתנז ב- 2011. מאז המשיכו תקיפות הסייבר ההדדיות בין המדינות גם אם על "אש נמוכה". דגש לכך נתן ראש הממשלה נתניהו, בראשית 2019, בציינו כי תקיפות הסייבר האיראניות על מדינת ישראל הינן ברמה היומיומית.
על תקיפות סייבר וכלי תקיפה
בניגוד לסרטים ההוליוודיים, תקיפות סייבר אינן תולדה של מאמץ לילי, בו ההאקר פורץ למחשב ומוציא ממנו את שללו. תקיפת סייבר היא תולדה של מאמץ מתמשך, שלרוב נמשך למעלה משנה, ומבוסס על שלושה אלמנטים. האלמנט הראשון הוא איסוף מודיעין על יעד התקיפה. איסוף המודיעין יכלול מחד מידע אישי על יעד התקיפה - אישיותו, הרגליו, מניעיו וחולשותיו. ומאידך, איסוף מידע טכנולוגי על מערכות יעד התקיפה כגון סוג האנטי-וירוס, "חומת האש", מבנה הרשת, מערכת ההפעלה וכדומה.
לאחר איסוף המידע והכרות טובה יחסית עם יעד התקיפה (האובייקט) יוחלט על שני האלמנטים הנוספים - כלי התקיפה הטכנולוגי ואופן התקיפה. כלי התקיפה בממד הסייבר (הפוגענים) הם למעשה קבצי תוכנה זדוניים, המועברים דרך הרשת (רשת האינטרנט או הרשת הסלולרית למשל) ומותקנים במחשב, ברשת או בטלפון של האובייקט מבלי שמערכות ההגנה הטכנולוגיות יגלו אותו.
לפוגענים עשויים להיות משימות שונות, כגון איסוף מידע, שימוש במערכות האובייקט כעוגן לתקיפה על יעד אחר, שיבוש או השבתת מערכות האובייקט. כלי התקיפה מפותחים כל העת, ומתבססים על פרצות ("חולשות") הקיימות בתוכנות/אפליקציות בהם אנו עושים שימוש. קיימים כלי תקיפה בהם נעשה שימוש תדיר וישנם כלי תקיפה מיוחדים, העושים שימוש בפרצות שטרם נתגלו (המכונים zero-day), הנשמרים ב"מחסנית" לביצוע תקיפות מיוחדות.
אופן התקיפה (או וקטור התקיפה) מגדיר למעשה את דרך הפעולה המבצעית להחדרת כלי התקיפה למערכות האובייקט בהתבסס על המודיעין הקיים. כך לדוגמה ניתן להגדיר וקטור תקיפה בו יוחדר כלי תקיפה למערכת המחשוב של האובייקט באמצעות מניפולציה אנושית עליו, למשל באמצעות שליחת מייל הכולל קישור (לינק), אשר לחיצה עליו על ידי המשתמש תגרום להחדרת כלי התקיפה למערכת (וקטור תקיפה זה מכונה "הנדסה חברתית").
וקטור תקיפה אחר לדוגמה יהיה באמצעות החדרת כלי תקיפה דרך שרשרת האספקה הארגונית, כלומר תקיפת אחד מספקי השירותים של האובייקט. ספקי השירותים הופכים למעשה כמנוף לתקיפה, מתוך ההנחה שקיים אמון יחסי בין האובייקט לבין ספקיו, ומידע או מוצרים המתקבלים מהם נחשב לאמין, כך ש"הלבשת" כלי תקיפה על מידע או מוצר מהספק עשוי לעקוף את מערכות ההגנה של יעד התקיפה.
באם נחזור לדוגמת התקיפה על הנמל האיראני, הרי שמדובר על החדרת כלי תקיפה שמטרתו לגרום להשבתת הנמל באמצעות פגיעה במערכת ניהול הנמל, המנהלת את פריקת/טעינת מכולות מכלי שיט, הוצאה והכנסת של מכולות לנמל, הפעלת מנופים, משאיות ועוד.
לביצוע תקיפה כזו נדרש מודיעין אודות סוג ודגם מערכת הניהול של הנמל, מיהם עובדי הנמל המפעילים ומתחזקים את מערכת המחשב, מה מבנה הרשת שלה, מיהי החברה אשר פיתחה אותה ועוד. לאחר השגת המודיעין ניתן היה לבצע תקיפה לדוגמה באמצעות החדרת פוגען לחברה שפיתחה את מערכת ניהול הנמל (חברה איראנית) או באמצעות שליחת מייל עם קישור זדוני לעובדים בנמל האיראני המפעילים את המערכת, ולהמתין ליום פקודה להפעלת הקוד הזדוני שחדר למערכות הנמל.
כך גם בתשתיות הגרעין האיראניות שנפגעו בסדרת הפיצוצים האחרונה. באם בוצעה תקיפת סייבר, שאפשרה לחדור ולפגוע במערכות הבקרה או ההפעלה של המפעלים (כדוגמת מה שבוצע בתקיפת הסטקסנט), הרי שתוצאותיה של תקיפה כזו בהחלט עשויה לגרום להשמדתה ללא השארת העקבות של התוקף.
המערכה בממד הסייבר
תקיפות הסייבר ההדדיות בין איראן וישראל שפורסמו חושפות טפח קטן מהמערכה המתנהלת בממד הסייבר בין שתי המדינות מזה שנים מספר. המערכה בממד הסייבר מאפשרת לשני הצדדים לנהל מערכה חשאית, זולה יחסית בעלויות ובחיי אדם, ולהשיג הישגים פוליטיים, כלכליים, מודיעיניים, תודעתיים וצבאיים, לעיתים מבלי שהצד הנתקף יזהה שהוא תחת מתקפה, ולרוב מבלי שזהות התוקף תתגלה.
ישראל ואיראן מפתחות כלי תקיפה מתקדמים, אך קשה יהיה לעמוד את יכולות התקיפה של שתי המדינות ולהשוות ביניהן, שכן באופן טבעי פיתוח היכולות ובניין הכוח נשמר בעלטה. יחד עם זאת, התקיפות האחרונות שבוצעו על ידי שני הצדדים מעידות על יכולות מתקדמות, ישראליות ואיראניות, של איסוף מודיעין על יעדי התקיפה בממד הסייבר, ויכולות תקיפה מתקדמות של שני הצדדים המאפשרות לא רק איסוף מודיעין והשבתה של מערכות מידע אלא גם יכולות להשבתת מערכות זמן אמת ותשתיות לאומיות קריטיות, כגון מערכות הבקרה וההפעלה של משקי המים, האנרגיה, הבריאות, התחבורה ועוד.
סביר יהיה להניח, כי איראן אינה פועלת לבדה להשגת כלי תקיפת סייבר אלא גם משתפת פעולה בפיתוח עם סין וצפון קוריאה, ואף חולקת לפחות חלק מיכולותיה בסייבר עם ארגוני הפרוקסי שלה דוגמת חיזבאללה, חמאס והחות'ים בתימן.
יכולות התקיפה בממד הסייבר של שני הצדדים ימשיך להתפתח ולהתקדם באופן משמעותי, תוך שילוב יכולות מתקדמות כנגד תשתיות לאומיות, יכולות צבאיות ויכולות אזרחיות אחרות. אי לכך, ישנו צפי כי מתקפות הסייבר ההדדיות בין איראן וארגוני הפרוקסי שלה לבין ישראל תמשכנה על בסיס קבוע, מתוך כוונה הדדית לאסוף מודיעין, להיערך למצב של מלחמה, לייצר הרתעה הדדית ולהשיג הישגים אחרים.
