לקראת דיוני תקציב: צה"ל מעלה מהאוב מתקפת סייבר איראנית. פרשנות
ממד הסייבר הפך מזמן לממד לחימה חמישי ומתקפות סייבר הדדיות בין צבאות הן דבר שבשגרה. אז מדוע חשוב כעת להציף לציבור מתקפת סייבר מלפני מספר חודשים? התשובה ייתכן וטמונה בדיוני התקציב סביב תר"ש תנופה
עמי רוחקס דומבה
| 12/06/2020
צילום: דובר צה"ל
צה"ל חושף מתקפת סייבר איראנית ישנה נגד שרשרת האספקה (supply chain) המחברת בין צה"ל לבין השירותים האזרחיים שהוא מקבל כמו דלק, מזון ועוד. "לפני כמה חודשים זיהה מערך ההגנה של צה"ל ניסיונות תקיפה בסייבר על שרשרת האספקה. זהות התוקף היתה ברורה: איראן.", כותבים בפרסום של ישראל היום. "מי שחשפה את התקיפה היתה חטיבת ההגנה בסב"ר (סביבה רשתית), שפועלת באגף התקשוב בצה"ל."
שום דבר לא מקרי
הפרסום ככל הנראה אינו מקרי והוא קשור לדיוני תקציב הנערכים עם קום הממשלה החדשה. אחרי הפרסומים האחרונים של מערך הסייבר אודות מתקפת סייבר נגד תאגידי המים בישראל, אירוע שהועצם יתר על המידה על פי שר המים, זאב אלקין, מגיע תורו של צה"ל לרכב על האיראנים. בעוד הייחוס בתקיפה נגד תאגידי המים הגיע מארה"ב, לכאורה תקיפה שהתבססה גם על תשתיות ענן אמריקניות, במקרה זה צה"ל לא מספק פרטים על מתודולוגיית הייחוס.
בין השורות, ניתן להבין שאין מדובר בתקיפה נגד רשתות צה"ליות, אלא נגד תשתיות אזרחיות המתחברות לצה"ל. לא ברור האם צה"ל מתקשר עם תשתיות צד ג' באמצעות API שכתב לנושא, או באמצעות קישורים ישירים. בשני התרחישים, וקטור התקיפה יהיה אחר וניתן להסיק ממנו על מידת המורכבות של המתקפה המיוחסת לצוותים האיראנים.
אירוע נוסף שנחשד במשפחת תקיפות הסייבר האיראניות הוא המתקפה נגד חוות אחסון ישראלית. מתקפה שגרמה להשבתה של מאות אתרים ישראלים. בסופו של דבר נשלל הנרטיב האיראני מהמקרה.
דפוס פעולה
נזכיר כי הייחוס של צה"ל למתקפות סייבר איראניות אינו חדש. באוגוסט 2014 טענו בצה"ל שסיכלו יחד עם שב"כ מתקפה נגד תשתית האינטרנט בישראל. באפריל 2015 נטען כי האקרים חדרו לרשתות מחשבים הקשורות לצה"ל במבצע ריגול סייבר. במאי 2017 טענו בצה"ל שאף אחד לא הצליח לחדור לרשתות הצבא בעקבות מתקפת סייבר.
באפריל 2018 צה"ל חשש מנקמה איראנית בסייבר על פעולות המיוחסות לצה"ל בסוריה. בדצמבר אותה שנה נחשף כי צה"ל הדף מתקפת סייבר איראנית. בפברואר 2019 צפה טענה שאיראן ניסתה לשבש את מערך ההתרעה הצה"לי. לפני חודש אמר הרמטכ"ל שצה"ל ישתמש בכלים מגוונים נגד איראן ברומזו על סייבר.
כלומר, בחינה על ציר הזמן של ההצהרות הפומביות של צה"ל בנושא תקיפת סייבר איראנית מעלה שמדובר בדפוס תקשורתי של הצבא. ולא סתם. סך הכל הגיוני שצבאות מנסים לרגל אחד נגד השני, גם בסייבר. לעיתים נעשות בממד הסייבר גם מתקפות "רעש" על מנת להתקין כלים רדומים. עם זאת, מתקפות כאלו לוקחות הרבה זמן (נדרש מל"מ מצוין כדי לפרוץ לצה"ל לרשתות), הן מתבצעות בשלבים במשך חודשים, והן מורכבות מהרבה מאד תתי אירועים קטנים. מי שירצה לפרוץ לצה"ל לרשתות, ינסה לעשות זאת 'מתחת לראדר' ולא כמגה אירוע.
בהקשר הפרסום של צה"ל, ראוי לשים לב לשתי נקודות. ראשונה - ייחוס תקיפה אינו פשוט כלל ועיקר. לא לצה"ל, לא לביון האמריקני, ולא לחברות סייבר אזרחיות מובילות. בשונה מהממד הפיזי, ייחוס תקיפה בממד הוירטואלי יכול להיות מטעה ולשמש גם לצורך הונאה מכוונת. לכן, ללא מתודולוגיית ייחוס מתאימה, יייתכן והייחוס הוא חלק מאג'נדה.
שניה - אג'נדה מקדמים לצורך משהו. אם יש תקיפות מאיראן כל השנה (ונניח שצה"ל יודע לייחס את כולן לאיראן), מדוע צה"ל לא מדווח עליהן כל הזמן לציבור, אלא רק במועדים שהוא רוצה? אם מתקפות סייבר הן שגרה (והן שגרה), מדוע פתאום חשוב לשלוף אירוע סייבר ישן מהבוידם? בחינה של פלוני תראה שכעת יש ממשלה חדשה ותכנית תר"ש על הפרק לאשר.
ממד הסייבר הפך מזמן לממד לחימה חמישי ומתקפות סייבר הדדיות בין צבאות הן דבר שבשגרה. אז מדוע חשוב כעת להציף לציבור מתקפת סייבר מלפני מספר חודשים? התשובה ייתכן וטמונה בדיוני התקציב סביב תר"ש תנופה
צילום: דובר צה"ל
צה"ל חושף מתקפת סייבר איראנית ישנה נגד שרשרת האספקה (supply chain) המחברת בין צה"ל לבין השירותים האזרחיים שהוא מקבל כמו דלק, מזון ועוד. "לפני כמה חודשים זיהה מערך ההגנה של צה"ל ניסיונות תקיפה בסייבר על שרשרת האספקה. זהות התוקף היתה ברורה: איראן.", כותבים בפרסום של ישראל היום. "מי שחשפה את התקיפה היתה חטיבת ההגנה בסב"ר (סביבה רשתית), שפועלת באגף התקשוב בצה"ל."
שום דבר לא מקרי
הפרסום ככל הנראה אינו מקרי והוא קשור לדיוני תקציב הנערכים עם קום הממשלה החדשה. אחרי הפרסומים האחרונים של מערך הסייבר אודות מתקפת סייבר נגד תאגידי המים בישראל, אירוע שהועצם יתר על המידה על פי שר המים, זאב אלקין, מגיע תורו של צה"ל לרכב על האיראנים. בעוד הייחוס בתקיפה נגד תאגידי המים הגיע מארה"ב, לכאורה תקיפה שהתבססה גם על תשתיות ענן אמריקניות, במקרה זה צה"ל לא מספק פרטים על מתודולוגיית הייחוס.
בין השורות, ניתן להבין שאין מדובר בתקיפה נגד רשתות צה"ליות, אלא נגד תשתיות אזרחיות המתחברות לצה"ל. לא ברור האם צה"ל מתקשר עם תשתיות צד ג' באמצעות API שכתב לנושא, או באמצעות קישורים ישירים. בשני התרחישים, וקטור התקיפה יהיה אחר וניתן להסיק ממנו על מידת המורכבות של המתקפה המיוחסת לצוותים האיראנים.
אירוע נוסף שנחשד במשפחת תקיפות הסייבר האיראניות הוא המתקפה נגד חוות אחסון ישראלית. מתקפה שגרמה להשבתה של מאות אתרים ישראלים. בסופו של דבר נשלל הנרטיב האיראני מהמקרה.
דפוס פעולה
נזכיר כי הייחוס של צה"ל למתקפות סייבר איראניות אינו חדש. באוגוסט 2014 טענו בצה"ל שסיכלו יחד עם שב"כ מתקפה נגד תשתית האינטרנט בישראל. באפריל 2015 נטען כי האקרים חדרו לרשתות מחשבים הקשורות לצה"ל במבצע ריגול סייבר. במאי 2017 טענו בצה"ל שאף אחד לא הצליח לחדור לרשתות הצבא בעקבות מתקפת סייבר.
באפריל 2018 צה"ל חשש מנקמה איראנית בסייבר על פעולות המיוחסות לצה"ל בסוריה. בדצמבר אותה שנה נחשף כי צה"ל הדף מתקפת סייבר איראנית. בפברואר 2019 צפה טענה שאיראן ניסתה לשבש את מערך ההתרעה הצה"לי. לפני חודש אמר הרמטכ"ל שצה"ל ישתמש בכלים מגוונים נגד איראן ברומזו על סייבר.
כלומר, בחינה על ציר הזמן של ההצהרות הפומביות של צה"ל בנושא תקיפת סייבר איראנית מעלה שמדובר בדפוס תקשורתי של הצבא. ולא סתם. סך הכל הגיוני שצבאות מנסים לרגל אחד נגד השני, גם בסייבר. לעיתים נעשות בממד הסייבר גם מתקפות "רעש" על מנת להתקין כלים רדומים. עם זאת, מתקפות כאלו לוקחות הרבה זמן (נדרש מל"מ מצוין כדי לפרוץ לצה"ל לרשתות), הן מתבצעות בשלבים במשך חודשים, והן מורכבות מהרבה מאד תתי אירועים קטנים. מי שירצה לפרוץ לצה"ל לרשתות, ינסה לעשות זאת 'מתחת לראדר' ולא כמגה אירוע.
בהקשר הפרסום של צה"ל, ראוי לשים לב לשתי נקודות. ראשונה - ייחוס תקיפה אינו פשוט כלל ועיקר. לא לצה"ל, לא לביון האמריקני, ולא לחברות סייבר אזרחיות מובילות. בשונה מהממד הפיזי, ייחוס תקיפה בממד הוירטואלי יכול להיות מטעה ולשמש גם לצורך הונאה מכוונת. לכן, ללא מתודולוגיית ייחוס מתאימה, יייתכן והייחוס הוא חלק מאג'נדה.
שניה - אג'נדה מקדמים לצורך משהו. אם יש תקיפות מאיראן כל השנה (ונניח שצה"ל יודע לייחס את כולן לאיראן), מדוע צה"ל לא מדווח עליהן כל הזמן לציבור, אלא רק במועדים שהוא רוצה? אם מתקפות סייבר הן שגרה (והן שגרה), מדוע פתאום חשוב לשלוף אירוע סייבר ישן מהבוידם? בחינה של פלוני תראה שכעת יש ממשלה חדשה ותכנית תר"ש על הפרק לאשר.
