עליה חדה במתקפות סייבר על אתרים ישראליים לקראת חודש הרמדאן
רון מירן, מנהל תחום מודיעין סייבר בחברת רדוור כותב על עלייה דרמטית בהתקפות סייבר על אתרים וחברות ישראליות החל מחודש אוקטובר 2023
הגנה לישראל
| 12/03/2024
© User:Colin / Wikimedia Commons
בחדר המצב של רדוור נצפתה עלייה דרמטית בהתקפות סייבר על אתרים וחברות ישראליות החל מחודש אוקטובר 2023, במקביל להתקפת חמאס על ישראל. עליה זו הקפיצה את ישראל למקום הראשון בעולם מבין המדינות המותקפות בשנת 2023.
כעת, לקראת תחילתו של חודש הרמדאן, אנו עדים לגל נוסף של תקיפות סייבר על ידי גופי תקיפת סייבר קיימים וחדשים. בדומה לאירועי סייבר קודמים כגון מתקפות הסייבר של גורמים פרו-רוסיים על אתרים ותשתיות קריטיות באוקראינה, ישנה חשיבות למעקב ולימוד הטכניקות והשיטות של התוקפים. אנו מעריכים שבקרוב נראה התרחבות של שימוש בטכניקות אלו גם לזירות אחרות בעולם.
מעקב אחרי ערוצי הטלגרם של התוקפים חושף את המוטיבציה (או החששות) של תוקפים פרו-פלסטיניים מפני כניסת צה"ל לרפיח. לדוגמא, המנהיג של גוף התקיפה LulzSec Indonesia כתב כי הוא "מאיים על ישראל לבל תתקוף את העיר רפיח בחודש הקדוש של רמדאן". גופים איסלמיסטיים שמשתתפים בתקיפות מציינים גם הם מוטיבציה זו או מהדהדים את המסר הזה.
סיווג התוקפים
עשרות גופי תקיפה (רובם איסלמיסטיים) שחברו יחד בגל התקיפות הנוכחי. גופי תקיפה מקצועיים כגון אנונימוס סודן, Mysterious Team Bangladesh, Moroccan Black Cyber Army אשר משתמשים בווקטורי תקיפה מורכבים ומתוחכמים.
גופי תקיפה חדשים שלא נצפו קודם, אשר שומרים על עמימות ואינם לוקחים אחריות על מנת להקשות על איתור מקורם. ניתן להעריך שמדובר בגורמי תקיפה שממומנים על ידי מדינות, ואשר מבצעים את התקיפות כנקמה בישראל כחלק ממלחמת הסייבר בין ישראל ואירן שבמסגרתה נצפו גם תוקפים פרו-רוסים. בחלק מן התקיפות אנו מעריכים שמדובר בין השאר ב"בדיקת כלים" כדי לבחון את הגנות הסייבר של מדינת ישראל ושל המערכות הפיננסיות.
יש לציין שחלק לא קטן מן התוקפים הם חובבנים שמשתמשים בכלי תקיפה שהם מוצאים ברחבי הרשת (אנו קוראים להם Script Kiddies) ועל כן יבחרו אתרים מסחריים או אתרי ממשלה בלתי מוגנים. ווקטורי התקיפה שלהם קלים לזיהוי והגנה מפניהם.
ווקטורי תקיפה חדשים
קיימת עליה ברורה בשימוש בווקטורי תקיפה מתוחכמים שנועדו להקשות על זיהוי והגנה מפניהם. באירועי סייבר רבים אנו עדים לשימוש במתקפות מורכבות הכוללות מספר ווקטורי תקיפה במקביל לאורך תקופה שיכולה להמשך מספר שעות ועד מספר ימים עם כמה נקודות שיא במהלך האירוע.
התקפות מסוג Web DDoS Tsunami – בהן התוקפים משחזרים בקשות מוצפנות של משתמשים לגיטימיים. צפינו בקצבי תקיפה שמגיעים עד 3.2M RPS (RPS – Requests Per Second – בקשות לשנייה). אתרים מתוכננים בדרך כלל לעבד מאות ועד מספר אלפי בקשות לשנייה. לדוגמה, קצב של מליון בקשות בשנייה משול לכל אדם בישראל שינסה להתחבר לאתר יותר מ-6 פעמים כל דקה.
התקפות מסוג DNS על תשתית האינטרנט. מתקפות אלו נועדו למנוע משרתי ה DNS (שרתי תרגום שמות) לספק מידע וקישור לאתרים המותקפים. משתמש שרוצה לגשת לאתר לא יוכל למצוא אותו ברשת.
מתקפות מתפרצות (Burst attack) – מתקפות אלו מאופיינות בפרצים רבי עוצמה של מספר ווקטורי תקיפה בו זמנית שנמשכים זמן קצר (כמה עשרות שניות ועד דקות בודדות). התוקפים חוזרים על מתקפות אלו שוב ושוב מתוך ידיעה שכל פרץ כזה משבש את פעילות האתר ונדרש זמן על מנת לחזור לפעילות מלאה.
כמו כן אנו ממשיכים לחזות בווקטורי תקיפה מסורתיים שמייצרים עומס תעבורה על אתרים עד שלא נותר רוחב סרט אפקטיבי לטובת המשתמשים הלגיטימיים. צפינו בהיקפי תקיפה שמגיעים עד 100 גיגה ביט לשנייה.
התקפות עיקריות
התקפות ברמת תחכום גבוהה על ידי גופי התקיפה המקצועיים והחדשים הופנו כנגד אתרי ממשלה – משרדי ממשלה, רשויות, רשתות מדיה. נגד תשתיות תקשורת ופיננסיות: חברות תקשורת, בנקים וחברות הביטוח הגדולות במשק. מרבית האתרים חוו התקפות חוזרות ונשנות במהלך הימים האחרונים.
להלן דוגמא להתקפה מורכבת על חברת פיננסים: אתר החברה הותקף במקביל במספר רב של ווקטורי תקיפה שכללו מתקפות רשת בקצבים שמגיעים עד 100 גיגה ביט לשנייה, מתקפות אפליקטיביות Web DDoS Tsunami ומתקפות DNS שנועדו למנוע ממשתמשים להגיע לאתר החברה.
בדיאגרמה שלהלן ניתן לראות כיצד נראה וקטור התקיפה Web DDoS Tsunami על אתר החברה שאמור לעבד בשיאו כ- 1,000 בקשות לשנייה (RPS).
ניתן לראות כי התוקפים משתמשים במתקפה מתפרצת אחת למספר דקות, כאשר הם מצליחים להפיק מתקפות רבות בקצבים שמגעים ל- מיליון בקשות לשנייה (RPS) ובשיא מספר התקפות בקצב של קרוב ל – 3 מיליון בקשות לשנייה (RPS).
בדיאגרמה השניה אנו רואים מתקפה על חברה אחרת שהחלה ביום שישי בשעה ארבע אחר הצהריים ונמשכה עד שמונה בבוקר ביום למחרת (שבת). התוקפים מתזמנים את ההתקפות לזמן שבו עובדי החברה ביום מנוחה וכן בשעות בו יקשה עליהם להגן על נכסי המחשוב של החברה.
התקפות משניות
התקפות ברמת תחכום נמוכה נצפו על אתרים כגון תחבורה, תיירות, ועסקים פרטיים. המתקפות הן אקראיות בבחירת היעדים, וכוללות בעיקר וקטורי תקיפה מסורתיים שמייצרים עומסי תעבורת רשת על האתר המותקף.
הערה: גופי התקיפה האיסלמיסטיים, אשר פועלים ממניעים פוליטיים, החלו לאמץ גם מניע כלכלי, ומציעים את שירותי התקיפה שלהם להשכרה. גוף התקיפה האינדונזי GARUDA CYBER OPERATION מציע גישה לשירות מתקפות מניעת שירות (התקפות DDOS) במחיר של 2 דולר ליום או 15 דולר לשבוע.
אנונימוס סודן, שהכריז לאחרונה על שירות DDoS חדש בשם "InfraShutdown", ותייג אותו כ"פסגת דומיננטיות סייבר חסינת כדורים", מציע קמפיינים להתקפות DDoS המותאמים לצרכי קהל הלקוחות הגלובלי שלו. השירות טוען ליכולות שיבוש ברמת מדינה לרבות תשתיות קריטיות, מערכות פיננסיות ורשתות תקשורת. העלות היא כ- 150 דולר ליום.
רון מירן, מנהל תחום מודיעין סייבר בחברת רדוור כותב על עלייה דרמטית בהתקפות סייבר על אתרים וחברות ישראליות החל מחודש אוקטובר 2023
© User:Colin / Wikimedia Commons
בחדר המצב של רדוור נצפתה עלייה דרמטית בהתקפות סייבר על אתרים וחברות ישראליות החל מחודש אוקטובר 2023, במקביל להתקפת חמאס על ישראל. עליה זו הקפיצה את ישראל למקום הראשון בעולם מבין המדינות המותקפות בשנת 2023.
כעת, לקראת תחילתו של חודש הרמדאן, אנו עדים לגל נוסף של תקיפות סייבר על ידי גופי תקיפת סייבר קיימים וחדשים. בדומה לאירועי סייבר קודמים כגון מתקפות הסייבר של גורמים פרו-רוסיים על אתרים ותשתיות קריטיות באוקראינה, ישנה חשיבות למעקב ולימוד הטכניקות והשיטות של התוקפים. אנו מעריכים שבקרוב נראה התרחבות של שימוש בטכניקות אלו גם לזירות אחרות בעולם.
מעקב אחרי ערוצי הטלגרם של התוקפים חושף את המוטיבציה (או החששות) של תוקפים פרו-פלסטיניים מפני כניסת צה"ל לרפיח. לדוגמא, המנהיג של גוף התקיפה LulzSec Indonesia כתב כי הוא "מאיים על ישראל לבל תתקוף את העיר רפיח בחודש הקדוש של רמדאן". גופים איסלמיסטיים שמשתתפים בתקיפות מציינים גם הם מוטיבציה זו או מהדהדים את המסר הזה.
סיווג התוקפים
עשרות גופי תקיפה (רובם איסלמיסטיים) שחברו יחד בגל התקיפות הנוכחי. גופי תקיפה מקצועיים כגון אנונימוס סודן, Mysterious Team Bangladesh, Moroccan Black Cyber Army אשר משתמשים בווקטורי תקיפה מורכבים ומתוחכמים.
גופי תקיפה חדשים שלא נצפו קודם, אשר שומרים על עמימות ואינם לוקחים אחריות על מנת להקשות על איתור מקורם. ניתן להעריך שמדובר בגורמי תקיפה שממומנים על ידי מדינות, ואשר מבצעים את התקיפות כנקמה בישראל כחלק ממלחמת הסייבר בין ישראל ואירן שבמסגרתה נצפו גם תוקפים פרו-רוסים. בחלק מן התקיפות אנו מעריכים שמדובר בין השאר ב"בדיקת כלים" כדי לבחון את הגנות הסייבר של מדינת ישראל ושל המערכות הפיננסיות.
יש לציין שחלק לא קטן מן התוקפים הם חובבנים שמשתמשים בכלי תקיפה שהם מוצאים ברחבי הרשת (אנו קוראים להם Script Kiddies) ועל כן יבחרו אתרים מסחריים או אתרי ממשלה בלתי מוגנים. ווקטורי התקיפה שלהם קלים לזיהוי והגנה מפניהם.
ווקטורי תקיפה חדשים
קיימת עליה ברורה בשימוש בווקטורי תקיפה מתוחכמים שנועדו להקשות על זיהוי והגנה מפניהם. באירועי סייבר רבים אנו עדים לשימוש במתקפות מורכבות הכוללות מספר ווקטורי תקיפה במקביל לאורך תקופה שיכולה להמשך מספר שעות ועד מספר ימים עם כמה נקודות שיא במהלך האירוע.
התקפות מסוג Web DDoS Tsunami – בהן התוקפים משחזרים בקשות מוצפנות של משתמשים לגיטימיים. צפינו בקצבי תקיפה שמגיעים עד 3.2M RPS (RPS – Requests Per Second – בקשות לשנייה). אתרים מתוכננים בדרך כלל לעבד מאות ועד מספר אלפי בקשות לשנייה. לדוגמה, קצב של מליון בקשות בשנייה משול לכל אדם בישראל שינסה להתחבר לאתר יותר מ-6 פעמים כל דקה.
התקפות מסוג DNS על תשתית האינטרנט. מתקפות אלו נועדו למנוע משרתי ה DNS (שרתי תרגום שמות) לספק מידע וקישור לאתרים המותקפים. משתמש שרוצה לגשת לאתר לא יוכל למצוא אותו ברשת.
מתקפות מתפרצות (Burst attack) – מתקפות אלו מאופיינות בפרצים רבי עוצמה של מספר ווקטורי תקיפה בו זמנית שנמשכים זמן קצר (כמה עשרות שניות ועד דקות בודדות). התוקפים חוזרים על מתקפות אלו שוב ושוב מתוך ידיעה שכל פרץ כזה משבש את פעילות האתר ונדרש זמן על מנת לחזור לפעילות מלאה.
כמו כן אנו ממשיכים לחזות בווקטורי תקיפה מסורתיים שמייצרים עומס תעבורה על אתרים עד שלא נותר רוחב סרט אפקטיבי לטובת המשתמשים הלגיטימיים. צפינו בהיקפי תקיפה שמגיעים עד 100 גיגה ביט לשנייה.
התקפות עיקריות
התקפות ברמת תחכום גבוהה על ידי גופי התקיפה המקצועיים והחדשים הופנו כנגד אתרי ממשלה – משרדי ממשלה, רשויות, רשתות מדיה. נגד תשתיות תקשורת ופיננסיות: חברות תקשורת, בנקים וחברות הביטוח הגדולות במשק. מרבית האתרים חוו התקפות חוזרות ונשנות במהלך הימים האחרונים.
להלן דוגמא להתקפה מורכבת על חברת פיננסים: אתר החברה הותקף במקביל במספר רב של ווקטורי תקיפה שכללו מתקפות רשת בקצבים שמגיעים עד 100 גיגה ביט לשנייה, מתקפות אפליקטיביות Web DDoS Tsunami ומתקפות DNS שנועדו למנוע ממשתמשים להגיע לאתר החברה.
בדיאגרמה שלהלן ניתן לראות כיצד נראה וקטור התקיפה Web DDoS Tsunami על אתר החברה שאמור לעבד בשיאו כ- 1,000 בקשות לשנייה (RPS).
ניתן לראות כי התוקפים משתמשים במתקפה מתפרצת אחת למספר דקות, כאשר הם מצליחים להפיק מתקפות רבות בקצבים שמגעים ל- מיליון בקשות לשנייה (RPS) ובשיא מספר התקפות בקצב של קרוב ל – 3 מיליון בקשות לשנייה (RPS).
בדיאגרמה השניה אנו רואים מתקפה על חברה אחרת שהחלה ביום שישי בשעה ארבע אחר הצהריים ונמשכה עד שמונה בבוקר ביום למחרת (שבת). התוקפים מתזמנים את ההתקפות לזמן שבו עובדי החברה ביום מנוחה וכן בשעות בו יקשה עליהם להגן על נכסי המחשוב של החברה.
התקפות משניות
התקפות ברמת תחכום נמוכה נצפו על אתרים כגון תחבורה, תיירות, ועסקים פרטיים. המתקפות הן אקראיות בבחירת היעדים, וכוללות בעיקר וקטורי תקיפה מסורתיים שמייצרים עומסי תעבורת רשת על האתר המותקף.
הערה: גופי התקיפה האיסלמיסטיים, אשר פועלים ממניעים פוליטיים, החלו לאמץ גם מניע כלכלי, ומציעים את שירותי התקיפה שלהם להשכרה. גוף התקיפה האינדונזי GARUDA CYBER OPERATION מציע גישה לשירות מתקפות מניעת שירות (התקפות DDOS) במחיר של 2 דולר ליום או 15 דולר לשבוע.
אנונימוס סודן, שהכריז לאחרונה על שירות DDoS חדש בשם "InfraShutdown", ותייג אותו כ"פסגת דומיננטיות סייבר חסינת כדורים", מציע קמפיינים להתקפות DDoS המותאמים לצרכי קהל הלקוחות הגלובלי שלו. השירות טוען ליכולות שיבוש ברמת מדינה לרבות תשתיות קריטיות, מערכות פיננסיות ורשתות תקשורת. העלות היא כ- 150 דולר ליום.
