״לצעוק ׳מתקפת סייבר איראנית׳ זה לצעוק ׳זאב זאב׳״. כשתגיע מתקפה איראנית אמיתית, לא נהיה מוכנים״
מומחית הגנת הסייבר עינת מירון מסרבת להתרגש מזהות קבוצת התקיפה על שרתי Cyberserve בסוף השבוע, ומזהירה מפני המשך השאננות של החברות השונות – שמטילות את האחריות על פורס מאז׳ור ולא עושות בדק בית
מנדי קוגוסובסקי
| 31/10/2021
BIGSTOCK/Copyright: Sashkin
״יש הבדל בין קבוצה זדונית בשליחות מדינת איראן, לבין קבוצה המזוהה עם איראן. במקרה השני, זה ממש לא אומר שהממשלה שלחה אותם״, כך אומרת הבוקר ל״ישראל דיפנס״ היועצת המומחית לחוסן בסייבר, עינת מירון, בשיחה שנערכת בעקבות הפריצה לשרתי חברת Cyberserve הישראלית בסוף השבוע על ידי קבוצת Black Shadow, המזוהה עם איראן. הקבוצה לקחה אחריות על מתקפות שונות שהתרחשו בעבר בישראל, ביניהן על שרתי שירביט וק.ל.ס.
״יכול להיות שאלה האקרים איראנים עצמאיים שיושבים בקנדה או בכל מקום אחר בעולם ומתקשרים ביניהם בפרסית, יכול להיות שזה בכלל אפקט שיטוי של קבוצות אחרות – מסין, מרוסיה, מצפון קוריאה – שמחקות דפוסי פעולה המיוחסים לאיראנים בשביל להסיט מעצמן את האש. אנחנו הרי יודעים שהקבוצות המתוחכמות שלהן יודעות לייצר יופי של פרופילים, לבנות זהויות במשך תקופות ממושכות״, ממשיכה מירון.
״בנוסף, יכול להיות שאלה בכלל לא אותם Black Shadow שתקפו את שירביט, אלא האקרים אחרים שראו את הבלגן מהשנה שעברה, ועכשיו מחקים אותם. אז מה אם זה אותו חשבון טלגרם? יש הרבה דרכים לתעתע במערך המודיעין שמתחקה אחר הפעילות. ובכל מקרה, סביר מאוד שקבוצה בשליחות המשטר האיראני לא תבזבז אנרגיה על סתם רשומות באתרים רנדומליים מתוך חברת הוסטינג, אלא תכוון לפגיעה תשתיתית משמעותית, הגם שזו מורכבת ואורכת זמן ממושך יותר״.
(בתמונת המראה של מלחמת הסייבר בין שתי המדינות, האשים אמש ראש ההגנה האזרחית של איראן את ישראל וארה״ב במתקפות הסייבר ששיבשו את פעילות תחנות הדלק ברחבי המדינה).
האיום המרומז של ״רק אחוז אחד״
חברת Cyberserve היא חברת אירוח אתרים, ועל שרתיה יושבים אתרים של חברות וגופים רבים בישראל דוגמת חברות האוטובוסים דן וקווים, חברת התיירות פגסוס, מוזיאון הילדים, מוזיאון ארצות האיסלאם, חברת החקירות Diamond Intelligence, ואתר ההיכרויות ״אטרף״, המיועד לקהילה הגאה. כלומר – דרך הפגיעה בחברת האירוח, ניתן בקלות להגיע לשאר האתרים, לשאוב מהם מידע ולשבש את פעילותם.
ביום שישי בערב עלה פוסט בעמוד הטלגרם של Black Shadow בנוגע לתקיפה על שרתי החברה. ״אתם שואלים מה לגבי הדאטה? כתמיד, יש לנו הרבה כזה״, נכתב בפוסט. ״אם אינכם מעוניינים בדליפת המידע, צרו עמנו קשר בקרוב״. אתמול (שבת) בשעות הבוקר, פרסמו ההאקרים לינק הדלפה ראשון, המוביל לקובץ אקסל שבו רשומות על כמעט 30 אלף איש שכפי הנראה היו בקשר עם שירות הלקוחות של ״קווים״. בקובץ מופיע מידע אישי רב, כגון כתובות, מספרי טלפון ואף מספרי תעודת זהות.
מתוך עמוד הטלגרם של Black Shadow - רשימת אתרים המשתמשים בשרתי Cyberserve
בשעות הערב, פרסמו ההאקרים לינקים נוספים שמובילים לטענתם למידע על 9,000 לקוחות של חברת דן, 120 אלף לקוחות של פגסוס, ו-17 אלף לקוחות של דוקטור טיקט. בנוסף, ציינו כי הם מפרסמים ״רק אחוז אחד״ (1,000 משתמשים) ממאגר המידע של ״אטרף״, אתר בו משתמשים רבים שלא יצאו מהארון, שנמצאים במערכות יחסים אחרות, או שסימנו כי הם חיוביים למחלות מין.
מעניין לציין את הדגש על ״רק אחוז אחד״ בהקשר ל״אטרף״, שכן מוקדם יותר זכתה לכותרות ראשיות בכל כלי התקשורת המרכזיים התייחסות האגודה למען הלהט״ב בישראל, שפתחה קו חם לחוששים מהשלכות המתקפה, ומסרה כי ״אנו קוראים וקוראות למטה הסייבר הלאומי לפעול בדחיפות למניעת דליפות המידע. דליפת פרטיהם האישיים של המשתמשים היא סכנה לפגיעה נפשית״. האיום המרומז ברור: אם לא תשלמו לנו – נפרסם את שאר ה-99%. ״אין ספק שהתוקפים מעורים בחדשות בישראל וקלטו את הפאניקה״, אומרת מירון. ״הם רואים את הכסף מול העיניים, יש להם נכס חשוב שנקרא מידע״ (למקרה הצורך: מספר הטלפון של הקו החם הוא 2982*, או 058-6205591 בוואטסאפ).
(עדכון: כתבה זו התפרסמה ביום ראשון בשעות הבוקר. מספר שעות מאוחר יותר הציבו ההאקרים דרישה לקבלת מיליון דולר תוך 48 על מנת שלא יפרסמו את מאגר ״אטרף״. בעקבות פנייה של הפרקליטות לטלגרם, נחסם העמוד הפומבי של הקבוצה הזדונית.)
״לפני שתבקשו שיבואו להציל אתכם, תעשו את הדברים הבסיסיים שצריך״
ממערך הסייבר הלאומי נמסר כי התריע בשנה האחרונה מספר פעמים בפני חברת Cyberserve כי היא חשופה לתקיפה, וכאן מירון מתרעמת ממש. ״את דלת הבית אתם מקפידים לנעול, סביר שדאגתם לסורגים על החלונות, אם אתם מחזיקים בבית דברים יקרי ערך בטח רכשתם כספת, אולי אפילו צירפתם מצלמות במעגל סגור – יש דברים שכל אחד חייב לעשות בעצמו, קודם כל, לפני שהוא צועק ׳הצילו׳, או ׳זה האיראנים!׳״, היא אומרת.
״לפני שאנחנו רצים להאשים את האיראנים, בואו קודם כל נחשוב איך אנחנו מגנים על עצמנו. משיקולי ביטוח ומוניטין, ברור שחברות מותקפות ירצו לשייך את המתקפה לאיראן, לומר שזה פורס מאז׳ור, לא בשליטתן, אולי אפילו להפיל האחריות כך על המדינה, כי הרי זו לא סתם קבוצה פלילית״, ממשיכה מירון, ״אבל בואו – שינוי סיסמאות, עדכוני תוכנה, דברים בסיסיים, איפה הייתם? מה מסובך בהצפנת מידע? למה הכול צריך להיות פתוח וגלוי ברשת? לצעוק ׳איראן׳ על כל דבר ולהתעלם מהאחריות שלנו זה לצעוק ׳זאב זאב׳, כי יום אחד עוד תגיע המתקפה האיראנית שתשבית אותנו, ואנחנו לא נהיה מוכנים, כי לא הפקנו לקחים ולא ביצענו הגנות בסיסיות.
עינת מירון. צילום: באדיבות המצולמת
״האחריות צריכה להיות אצל החברות, שצריכות ליישם הגנות – גם חברת האחסון, וגם החברות שמבקשות לאחסן, שחייבות לדעת איך מגנים עליהן. אי אפשר יותר להתעלם. יש בארץ אינספור אנשי מקצוע מעולים בתחום הגנת הסייבר. קחו ייעוץ, כמספר השעות עליו תוכלו לשלם, ותבדקו את כל הדברים האלה. קודם תעשו את מה שמצופה, ורק אחר תבקשו שיבואו להציל אתכם״, מסכמת מירון. ״וזה נכון שאי אפשר למנוע את כל המתקפות, אבל הגנה ברמה גבוהה גם מקטינה את הסיכוי, וגם מובילה לשיקום מהיר יותר ולפחות נזק. צריך לחשוב קדימה, לא לחפש את המטבע מתחת לפנס״.
עם או בלי קשר לדבריה של מירון, יצוין כי בחודש שעבר פרסמה מיקרוסופט את דו״ח ההגנה הדיגיטלית השנתי שלה, ממנו עלה כי בשנה האחרונה הגדילה איראן (או קבוצות זדוניות המזוהות עמה) את מספר הניסיונות לבצע מתקפות סייבר על ישראל פי ארבעה בהשוואה לאשתקד, ״באופן המשקף את המתיחות בין המדינות״.
מומחית הגנת הסייבר עינת מירון מסרבת להתרגש מזהות קבוצת התקיפה על שרתי Cyberserve בסוף השבוע, ומזהירה מפני המשך השאננות של החברות השונות – שמטילות את האחריות על פורס מאז׳ור ולא עושות בדק בית
BIGSTOCK/Copyright: Sashkin
״יש הבדל בין קבוצה זדונית בשליחות מדינת איראן, לבין קבוצה המזוהה עם איראן. במקרה השני, זה ממש לא אומר שהממשלה שלחה אותם״, כך אומרת הבוקר ל״ישראל דיפנס״ היועצת המומחית לחוסן בסייבר, עינת מירון, בשיחה שנערכת בעקבות הפריצה לשרתי חברת Cyberserve הישראלית בסוף השבוע על ידי קבוצת Black Shadow, המזוהה עם איראן. הקבוצה לקחה אחריות על מתקפות שונות שהתרחשו בעבר בישראל, ביניהן על שרתי שירביט וק.ל.ס.
״יכול להיות שאלה האקרים איראנים עצמאיים שיושבים בקנדה או בכל מקום אחר בעולם ומתקשרים ביניהם בפרסית, יכול להיות שזה בכלל אפקט שיטוי של קבוצות אחרות – מסין, מרוסיה, מצפון קוריאה – שמחקות דפוסי פעולה המיוחסים לאיראנים בשביל להסיט מעצמן את האש. אנחנו הרי יודעים שהקבוצות המתוחכמות שלהן יודעות לייצר יופי של פרופילים, לבנות זהויות במשך תקופות ממושכות״, ממשיכה מירון.
״בנוסף, יכול להיות שאלה בכלל לא אותם Black Shadow שתקפו את שירביט, אלא האקרים אחרים שראו את הבלגן מהשנה שעברה, ועכשיו מחקים אותם. אז מה אם זה אותו חשבון טלגרם? יש הרבה דרכים לתעתע במערך המודיעין שמתחקה אחר הפעילות. ובכל מקרה, סביר מאוד שקבוצה בשליחות המשטר האיראני לא תבזבז אנרגיה על סתם רשומות באתרים רנדומליים מתוך חברת הוסטינג, אלא תכוון לפגיעה תשתיתית משמעותית, הגם שזו מורכבת ואורכת זמן ממושך יותר״.
(בתמונת המראה של מלחמת הסייבר בין שתי המדינות, האשים אמש ראש ההגנה האזרחית של איראן את ישראל וארה״ב במתקפות הסייבר ששיבשו את פעילות תחנות הדלק ברחבי המדינה).
האיום המרומז של ״רק אחוז אחד״
חברת Cyberserve היא חברת אירוח אתרים, ועל שרתיה יושבים אתרים של חברות וגופים רבים בישראל דוגמת חברות האוטובוסים דן וקווים, חברת התיירות פגסוס, מוזיאון הילדים, מוזיאון ארצות האיסלאם, חברת החקירות Diamond Intelligence, ואתר ההיכרויות ״אטרף״, המיועד לקהילה הגאה. כלומר – דרך הפגיעה בחברת האירוח, ניתן בקלות להגיע לשאר האתרים, לשאוב מהם מידע ולשבש את פעילותם.
ביום שישי בערב עלה פוסט בעמוד הטלגרם של Black Shadow בנוגע לתקיפה על שרתי החברה. ״אתם שואלים מה לגבי הדאטה? כתמיד, יש לנו הרבה כזה״, נכתב בפוסט. ״אם אינכם מעוניינים בדליפת המידע, צרו עמנו קשר בקרוב״. אתמול (שבת) בשעות הבוקר, פרסמו ההאקרים לינק הדלפה ראשון, המוביל לקובץ אקסל שבו רשומות על כמעט 30 אלף איש שכפי הנראה היו בקשר עם שירות הלקוחות של ״קווים״. בקובץ מופיע מידע אישי רב, כגון כתובות, מספרי טלפון ואף מספרי תעודת זהות.
מתוך עמוד הטלגרם של Black Shadow - רשימת אתרים המשתמשים בשרתי Cyberserve
בשעות הערב, פרסמו ההאקרים לינקים נוספים שמובילים לטענתם למידע על 9,000 לקוחות של חברת דן, 120 אלף לקוחות של פגסוס, ו-17 אלף לקוחות של דוקטור טיקט. בנוסף, ציינו כי הם מפרסמים ״רק אחוז אחד״ (1,000 משתמשים) ממאגר המידע של ״אטרף״, אתר בו משתמשים רבים שלא יצאו מהארון, שנמצאים במערכות יחסים אחרות, או שסימנו כי הם חיוביים למחלות מין.
מעניין לציין את הדגש על ״רק אחוז אחד״ בהקשר ל״אטרף״, שכן מוקדם יותר זכתה לכותרות ראשיות בכל כלי התקשורת המרכזיים התייחסות האגודה למען הלהט״ב בישראל, שפתחה קו חם לחוששים מהשלכות המתקפה, ומסרה כי ״אנו קוראים וקוראות למטה הסייבר הלאומי לפעול בדחיפות למניעת דליפות המידע. דליפת פרטיהם האישיים של המשתמשים היא סכנה לפגיעה נפשית״. האיום המרומז ברור: אם לא תשלמו לנו – נפרסם את שאר ה-99%. ״אין ספק שהתוקפים מעורים בחדשות בישראל וקלטו את הפאניקה״, אומרת מירון. ״הם רואים את הכסף מול העיניים, יש להם נכס חשוב שנקרא מידע״ (למקרה הצורך: מספר הטלפון של הקו החם הוא 2982*, או 058-6205591 בוואטסאפ).
(עדכון: כתבה זו התפרסמה ביום ראשון בשעות הבוקר. מספר שעות מאוחר יותר הציבו ההאקרים דרישה לקבלת מיליון דולר תוך 48 על מנת שלא יפרסמו את מאגר ״אטרף״. בעקבות פנייה של הפרקליטות לטלגרם, נחסם העמוד הפומבי של הקבוצה הזדונית.)
״לפני שתבקשו שיבואו להציל אתכם, תעשו את הדברים הבסיסיים שצריך״
ממערך הסייבר הלאומי נמסר כי התריע בשנה האחרונה מספר פעמים בפני חברת Cyberserve כי היא חשופה לתקיפה, וכאן מירון מתרעמת ממש. ״את דלת הבית אתם מקפידים לנעול, סביר שדאגתם לסורגים על החלונות, אם אתם מחזיקים בבית דברים יקרי ערך בטח רכשתם כספת, אולי אפילו צירפתם מצלמות במעגל סגור – יש דברים שכל אחד חייב לעשות בעצמו, קודם כל, לפני שהוא צועק ׳הצילו׳, או ׳זה האיראנים!׳״, היא אומרת.
״לפני שאנחנו רצים להאשים את האיראנים, בואו קודם כל נחשוב איך אנחנו מגנים על עצמנו. משיקולי ביטוח ומוניטין, ברור שחברות מותקפות ירצו לשייך את המתקפה לאיראן, לומר שזה פורס מאז׳ור, לא בשליטתן, אולי אפילו להפיל האחריות כך על המדינה, כי הרי זו לא סתם קבוצה פלילית״, ממשיכה מירון, ״אבל בואו – שינוי סיסמאות, עדכוני תוכנה, דברים בסיסיים, איפה הייתם? מה מסובך בהצפנת מידע? למה הכול צריך להיות פתוח וגלוי ברשת? לצעוק ׳איראן׳ על כל דבר ולהתעלם מהאחריות שלנו זה לצעוק ׳זאב זאב׳, כי יום אחד עוד תגיע המתקפה האיראנית שתשבית אותנו, ואנחנו לא נהיה מוכנים, כי לא הפקנו לקחים ולא ביצענו הגנות בסיסיות.
עינת מירון. צילום: באדיבות המצולמת
״האחריות צריכה להיות אצל החברות, שצריכות ליישם הגנות – גם חברת האחסון, וגם החברות שמבקשות לאחסן, שחייבות לדעת איך מגנים עליהן. אי אפשר יותר להתעלם. יש בארץ אינספור אנשי מקצוע מעולים בתחום הגנת הסייבר. קחו ייעוץ, כמספר השעות עליו תוכלו לשלם, ותבדקו את כל הדברים האלה. קודם תעשו את מה שמצופה, ורק אחר תבקשו שיבואו להציל אתכם״, מסכמת מירון. ״וזה נכון שאי אפשר למנוע את כל המתקפות, אבל הגנה ברמה גבוהה גם מקטינה את הסיכוי, וגם מובילה לשיקום מהיר יותר ולפחות נזק. צריך לחשוב קדימה, לא לחפש את המטבע מתחת לפנס״.
עם או בלי קשר לדבריה של מירון, יצוין כי בחודש שעבר פרסמה מיקרוסופט את דו״ח ההגנה הדיגיטלית השנתי שלה, ממנו עלה כי בשנה האחרונה הגדילה איראן (או קבוצות זדוניות המזוהות עמה) את מספר הניסיונות לבצע מתקפות סייבר על ישראל פי ארבעה בהשוואה לאשתקד, ״באופן המשקף את המתיחות בין המדינות״.
