לוחמה מקוונת ברחבי העולם

ללוחמה מקוונת טעמים רבים ברחבי העולם ונועדה לשמש מטרות שונות.

  • טכני – פריצות לאתרים נחשבת כ'לוחמת מידע' אולם במקרים רבים מטרת הפורצים הינה אך ורק להראות את מידת יכולתם ומומחיותם הטכנית מחד גיסא ואת חולשת רמות האבטחה באתר המותקף מאידך גיסא. במקרה שכזה מטרת הפורץ היא להראות את יכולותיו הטכניות ולפיכך הוא מציב אזהרה בעמוד שהושחת בדבר ההגנה החלשה הקיימת על האתר. מנתוני הפריצות לשנים 2005-2007 עולה כי שלוש הסיבות העיקריות להתקפות על אתרים הן היוקרה האישית של הפורץ, הכיף והאתגר שבדבר. סיבות פוליטיות ואידיאולוגיות תופסות רק את המקומות הרביעי והחמישי.
  • מדיני – התקפות מקוונות על אתרי מדינה המבוצעות לכאורה ע"י מדינה אחרת המצויה עימה בסכסוך.
  • פוליטי – התקפות מקוונות ההדדיות של ממשלים וארגוני אופוזיציה בתוך אותה מדינה.
  • לאומני – התקפות מקוונות על אתרים שונים השייכים או מזוהים עם מדינה מסויימת ומבוצעים ע"י תושבי או אוהדי מדינה אחרת. זאת על פי רוב באופן עצמאי ומשיקולים אידיאולוגיים ולא כמסע מכוון של הממשל.

כך שניתן להבחין כי בהתקפות מקוונות קיימת חלוקה הן מבחינת התוקף והן מבחינת היעד, בין רמת המדינה לרמת המשתמשים;

רמת מדינה רמת משתמש
גורם מתקיף הממשל כגורם האחראי להתקפות התקפות המבוצעות ע"י משתמשים
אתרי יעד אתרי ממשל, בנקאות, אמצעי תקשורת. אתרים שונים ללא כל אבחנה. לעיתים יבחרו אתרים בעלי נראות גבוהה.

בזמן המשבר הפנימי באסטוניה, אשר השליך על יחסיה עם רוסיה, היתה נתונה תשתית מערכות המידע של המדינה בהתקפה מקוונת מסוג DDoS ב-27 אפריל 2007. מהלך זה הביא לנפילת אתרים רבים במדינה ובכלל זה מרבית אתרי הממשל; אתרי הנשיאות והפרלמנט, כמעט כל אתרי משרדי הממשלה, מפלגות. כמו כן הותקפו מחצית מארגוני החדשות ושניים מאתרי הבנקים הגדולים במדינה, רשתות התקשורת הסלולרית ושרותי החרום לצד מספר אתרים מסחריים אשר נפרצו והושחתו. במטרה לחסום התקפות אלו, נסגרו חלקים גדולים מהרשת המקומית בפני גורמים מחוץ למדינה.

בשל היותה של אסטוניה אחת מהמדינות המקוונות ביותר באירופה וחלוצה בנושא 'ממשל זמין', היא תלויה רבות במערכות מחשב[1]. בנוסף התקיימה ההתקפה בשלושה גלים; הראשון החל ב-27 באפריל עם פרוץ המשבר והגיע לשיאו ב-3 מאי. הגל השני היה ב-8,9 מאי כאשר באחד נחוג הנצחון הרוסי על גרמניה הנאצית ולמחרת נישא נאום תקיף במיוחד של הנשיא פוטין. הגל השלישי התרחש במחצית החודש.

כל אלו העצימו את השפעת ההתקפות והשלכתן, מקומית ואזורית עד כדי שיגור מומחים של נאט"ו למדינה לבדוק את ההתקפה ונזקיה. כמו שהגדיר זאת פקיד בארגון "לא אפנה אצבע מאשימה, אולם אלו לא דברים שנעשים ע"י כמה אנשים".[2]

כבר תחילה אכן הופנו האשמות אסטוניה בדבר מעורבות רוסית בהתקפות אלו. נטען שאומנם התקפות DDoS בוצעו לכאורה מכל רחבי העולם[3] אולם בשלביה הראשונים הן בוצעו מכתובות רוסיות אשר חלקן היו שייכות למוסדות ממשל. הממשל הרוסי הכחיש כמובן כל מעורבות בארועים, אולם עדויות מוקדמות לתכנונו הוצבו עוד בטרם החל; בפורומים וצ'טים בשפה הרוסית נמצאו הוראות מפורטות כיצד לבצע התקפות ועל אילו אתרים אסטוניים. עם זאת פקידי ממשל אמריקאיים ציינו כי אופי ההתקפות מלמד על כך שהם בוצעו בידי מומחים טכניים הפועלים עצמאית מהשלטונות. מומחה אחר טען אף הוא כי ההתקפות הינן מעשה פשוט יחסית אותו ניתן לבצע באמצעות מספר רב של אנשים המתאגדים ומפעילים אותו הכלי באמצעות המחשב האישי בביתם.

אכן, גם מספר חודשים לאחר מכן הודו בכירי אסטוניה כי אין בידם 'אקדח מעשן' בסוגיה זו.

אולם בהמשך התברר כי יש בסיס לחלק מהנחות אלו; בחודש מרץ 2009 נחשף כי חברים בתנועת נוער הנתמכת ע"י רוסיה (Nashi) לקחה אחריות על התקפות אלו. אולם לדברי בכיר בקבוצה, פעילותה היתה עצמאית ולא כשלוחה של הממשל הרוסי. הוא גרס כי הקבוצה לא ביצעה פעולה לא חוקית ולא הפילה את האתרים, אלא רק ביקרה בהם שוב ושוב עד שנפלו (…) בשל המגבלות הטכניות שלהם להתמודד עם כמות התעבורה שנוצרה.[4]

לדבריו, לא היתה זו פעולת התקפה אלא מחאת הקבוצה למול צעדי הממשל האסטוני במשבר האמור ולקח שהועבר לממשל זה שאם הם יפעלו בניגוד לחוק, חברי הקבוצה יגיבו בדרך המתאימה. יצויין כי זו הפעם הראשונה שנלקחת אחריות על ארוע זה אשר לו מאפיינים לאומניים.

עדויות למעורבות רוסית בהתקפות מקוונות ניתן למצוא גם כשנה לאחר מכן בעת התקפתה הצבאית של גאורגיה על דרום אוסטיה במהלך אוגוסט 2008, התקפה אשר הובילה לעימות צבאי בינה ובין רוסיה השכנה. ממחקר שפורסם עולה כי גופי מודיעין רוסים מילאו תפקיד מרכזי בתאום ההתקפות על מערכות המחשב של גאורגיה ולא האקרים פטריוטים וכי אותה תנועת נוער Nashi היתה מעורבת כמתווכת גם בהתקפות אלו.

הפעולה הצבאית היתה מלווה בזו המקוונת; זמן קצר בטרם החלה הפעילות הקרקעית הגאורגית, הותקפו אתרי אינטרנט של תחנת רדיו וסוכנות ידיעות אוסטית. האתרים הושחתו והמבקרים בהם הופנו לאתר תחנת טלויזיה גאורגית אשר החלה כבר בנובמבר 2005 במלחמת המידע עם תחילת שידוריה לדרום אוסטיה.

עם תחילת המעורבות הצבאית הרוסית ופלישתה לגאורגיה, החלה גם המתקפה הוירטואלית. זאת בוצעה ע"י וירוסים שהושתלו במחשבים רבים ברחבי העולם ואשר כוונו להתקיף אתרים גאורגיים ובכלל זה אתרי הנשיא, הפרלמנט (אשר תמונות הנשיא בו הוחלפו באלה של אדולף היטלר), משרד החוץ, סוכנויות ידיעות ובנקים (אשר סגרו מיידית שרותיהם המקוונים). כמוצא של פתרון, החל אתר חדשות גאורגי שהותקף לדווח כבלוג באמצעות הפלטפורמה Blogger.com ואסטוניה אירחה את אתר משרד החוץ הגאורגי ושלחה יועצים בתחום למדינה.

בנוסף נפרצו כתב עת רוסי וסוכנות ידיעות אזרית אשר הביע עמדות פרו-גאורגיות. אולם בשל התפוצה הנמוכה של האינטרנט במדינה, לא השפיעה ההתקפה המקוונת רבות על גאורגיה מלבד העדר יכולת הממשל לשאת את דברו באתריו.

כבעבר, גם כאן ניתן לראות מתווה דומה; ההתקפות על אתרים גאורגיים היו בעיקר מסוג DDoS ומיעוטן מסוג השחתת אתרים. כמו כן, גם הפעם דווח על עדויות למעורבות רוסית מבחינה טכנית ואף על כך שניתן למצוא הנחיות מפורטות לביצוע תקיפה ובכלל זה אתר רוסי (stopgeorgia.ru) אשר הוקם שעות אחדות לאחר התקיפה הקרקעית הרוסית וסיפק תוכנה להורדה המאפשרת ביצוע התקפות מסוג DDoS, כמו גם סיקור האתרים הגאורגים אשר הותקפו ואלו שהופלו.

החידוש הוא בכך בוצעה התקפה מקוונת על תשתית התקשורת במדינה ורשתות הסלולר של מדינה שכנה כצעד מלחמתי המלווה התקפה צבאית בפועל. מומחים גורסים כי גם הפעם עמדה רוסיה מאחורי התקפות מקוונות אלו ולו בשל העובדה כי אלו היו מוצלחות ומקצועיות מכדי שיהיו בודדות ובלתי מתואמות. היו שהאשימו דווקא גורמים עסקיים רוסים, מאפיה מקוונת בעלת מניעים כלכליים העוסקת בפשעי מחשב שונים והיו שהאשימו "כנופיות מאורגנות של האקרים", אך זאת בקביעה כי למרות האופי העצמאי של התקפות אלו, הן היו מתוחכמות למדי.

עם זאת, קיימים ארועים של התקפות בין מדינות אשר אינן פועל יוצא של עימותים. אלה מבוצעים מעת לעת משיקולים פוליטים, מסחריים או של ריגול. במסגרת זו בוצעו מספר התקפות מקוונות במהלך השנים האחרונות המיוחסות לשלטונות סין, גם אם לא תמיד אלו הוכחו חד משמעית.

התקפות מקוונות שכאלה מבוצעות על אתרים ומערכות מידע הקשורות בממשל ארה"ב כמו גם על אלו של תוכנית הגרעין שלה. ביוני 2007 בוצעה התקפה על מחשבי הפנטגון אשר הביאה להשבתתם של כ-1,500 מחשבים לשם בדיקתם. ההאשמה הופנתה כלפי סין אשר הכחישה זאת. אף קנצלרית גרמניה הפנתה האשמות דומות כלפי סין בפני נשיא המדינה.

בדצמבר אותה שנה התבצעה התקפה מקוונת על Oak Ridge National Laboratory המשמשת מעבדה לאומית בעיקר עבור משרד האנרגיה של ארה"ב. רשויות הבטחון הפנו את האשם כלפי סין. המומחים ציינו כי עקבות ההתקפה הובילו אכן לסין, אולם לא ניתן לקבוע בוודאות שהממשל הסיני או תושביה עומדים מאחורי הפעולה הואיל ויתכן ונעשה שימוש בכתובות סיניות על מנת להסוות את זהות המבצעים האמיתיים. בעת ההתקפה, בוצעו נסיונות למול כ-1,100 עובדים לגנוב מידע באמצעים מתוחכמים למדי ובכלל זה משלוח 7 הודעות Phishing שונות, אשר כולן נראות למראית עין כחוקיות ותקינות לגמרי. ההערכה היתה כי 11 מהעובדים פתחו את ההודעות המצורפות למיילים ובכך אפשרו לפורצים לחדור למערכת ולגנוב נתונים. הכוונה לקבצים המצורפים להודעות מייל שונות אשר בעת פתיחתם הם מותקנים על מחשב המשתמש ומאפשרים גישה לנתונים מוגדרים מראש (דוגמת סיסמאות), העתקתם ומשלוחם ליעד שנקבע לשם כך מבעוד מועד. בעקבות הארוע, נחשפו פרטיהם האישיים של כל המבקרים במעבדות בין השנים 1990-2004. עם זאת, מומחים טוענים, כמו במקרים רבים אחרים, כי יתכן בהחלט שמאחורי התקפות אלו עומדים לא יותר מאשר כמה פורצי מחשבים חובבים.

הערכות נוספות בדבר מעורבות סינית בהתקפות על מחשבים ברחבי העולם ניתן למצוא בדו"ח של חוקרים קנדים אשר חשפו לכאורה "מבצע ריגול סיני נרחב" במסגרתו נפרצו למעלה מאלף מחשבים ב-103 מדינות. לפי המחקר, נוצרה רשת של כ-1,300 מחשבים במשרדי חוץ ושגרירויות ברחבי העולם להם הוחדרו תוכנות המאפשרות ניטור הפעילות בחדר (באמצעות הפעלה מרחוק של אמצעי וידאו ואודיו) וכן גניבת קבצים. ההערכה היא כי רשת זו הופעלה ממחשבים סיניים, אולם גם הפעם החוקרים לא הצליחו ליצור כל זיקה לרשויות סיניות כלשהן.

אצבעות מאשימות כלפי סין ופורצים מטעמה, הופנו גם בעת פריצה שבוצעה בתחילת 2008 לבסיסי נתונים מרכזיים במדינה, כמו גם באחרת שבוצעה בסוף אותה שנה לרשת המחשבים של הבית הלבן, במהלכה יורטו תכתובות דוא"ל לא מסווגות בין פקידי בממשל, במשך מספר פעמים גם אם לפרק זמן קצר כל פעם.

בסוף שנת 2007 שלח ה-MI5 הבריטי מכתב ובו אזהרה ל-300 גורמים בכירים בבריטניה; מנהלי חברות ומומחי אבטחה מפני הסכנה הגדלה מפני פורצים סינים. צעד זה הינו תולדה של פריצה לשרתי הממשלה שבוצעה מספר חודשים קודם לכן בידי פורצים שנראה כי מקורם בסין. בנוסף ארה"ב האשימה את סין בפריצה בספטמבר למחשבי הפנטגון ואף צרפת פנתה במועד זה באשמות דומות וכלפי גרמניה באוקטובר אותה שנה.

הנחת המומחים כי צעדים אלו מקורם עיסקי מעיקרו בשל רצונם של הסינים בהשגת יתרונות כלכליים לעומת עמיתיהם מהמערב.

נראה כי ברבות הימים, ההתקפות המקוונות על אתרי ממשל ברחבי העולם המערבי הולכות ותוכפות וגוברות מבחינת חשיבות האתרים המותקפים ועוצמת פגיעתן; ב-4 ביולי 2009 (יום העצמאות של ארה"ב) התבצעה מתקפה מקוונת מסוג DDoS נגד אתרי ממשל בארה"ב ובדרום קוריאה. בין האתרים שהותקפו והושבתו היו משרד האוצר, השירות החשאי, נציבות המסחר ומשרד התחבורה, הפנטגון, הבית הלבן, הבורסה בניו יורק (בארה"ב) וכן בית הנשיא, משרד ההגנה, האספה הלאומית ובנקים (בדרום קוריאה).

נמסר כי בין שלל היעדים שהותקפו היו גם אתרי סוכנות הבטחון הלאומית של ארה"ב, מחלקת בטחון הפנים, הוושינגטון פוסט, בורסת הנאסד"ק ומחלקת המדינה, אולם חלק מהיעדים הצליחו לבלום את ההתקפה ולמנוע את הפלת אתריהם.

בדרום קוריאה ובארה"ב הופנו האצבעות כלפי שכנתה מצפון, אולם אין ידיעות בנושא ולא מן הנמנע כי סין עומדת מאחורי התקפה זו. יצויין כי מועד הההתקפה נבחר לא במקרה; לא רק שבאותו היום חל יום העצמאות של ארה"ב, אלא באותו היום שיגרה צפון קוריאה 7 טילי סקאד במפגן של עוצמה נגד הקהילה הבינלאומית.

להערכתי, התקפה זו מהווה הצלחה גורפת ותהווה ציון דרך ואף קפיצת מדרגה בכל האמור בהתקפות מקוונות והיא ללא ספק נועדה להוות אזהרה חמורה למערב ולארה"ב בפרט, זאת לאור מספר נתונים;

  1. ההתקפה בוצעה ביום העצמאות של ארה"ב.
  2. ההתקפה בוצעה נגד מטרות איכותיות בעלות חשיבות עליונה במעלה ונראות גבוהה באינטרנט ובכלל זה אתרי ממשל שונים ורבים, אתרי זרועות הבטחון ומוסדות פיננסיים.
  3. ההתקפה היתה מתואמת ובוצעה נגד שתי מדינות בו זמנית.
  4. ההתקפה הצליחה להשבית מספר לא מבוטל של מערכות מחשב בקרב היעדים שהותקפו וזאת למשך מספר ימים.[5]

פריצה מטעמים כלכליים מהווה נדבך חשוב בהתקפות המקוונות בעולם, ובמידה פחותה בהרבה במזרח התיכון. ברבות השנים התקיימו ארועים רבים בהם הותקפו יעדים ונפרצו אתרים על מנת לזכות ברווחים כלכליים;

במרץ 2007 דווח על שלושה הודים אשר הואשמו בארה"ב לחשבונות בחברת ברוקרים על מנת להקפיץ את ערך מניותיהם. בפעולה היתה מעורבת לא רק פריצה, אלא גם 'גניבת זהות', דבר שהביא להפסד של לפחות שני מיליון דולר לחברת ברוקרים אחת.

בכיר ב-CIA בתחילת שנת 2008 כי בידי הארגון עדויות על מספר פריצות מקוונות לאתרים של רשתות חשמל מחוץ לארה"ב תוך הפרעה ואף הפסקת אספקת החשמל במקרה אחד למספר ערים. לא ידועה זהות התוקף, אולם נמסר כי כל התקיפות המעורבות בוצעו דרך האינטרנט וכי ההתקפות לוו בסחיטה כספית.

בארה"ב נעצרו במרץ 2008 שלושה והואשמו שגנבו מיליוני דולר מחשבונות לקוחות CitiBank לאחר שמצאו דרך לחדור לתהליך עיבוד העברות של משיכות כספים באמצעות 'כספומטים' (ATM) וכך לגנוב את המספרים הסודיים של הלקוחות אשר עשו שימוש בכרטיסי האשראי שלהם ברשת חנויות 7-11. הפריצה היתה ככל הנראה לרשת המחשבים של 7-11 ולא לבנק עצמו.

באוסטרליה בוצעה פריצה בינואר 2009 לחברה המעניקה שרותי טלפוניה על גבי האינטרנט (VoIP) וניהלו במשך 46 שעות 11 אלף שיחות בינלאומיות ובכך גרמו לחברה לנזק בסך 120 אלף דולר.

[1] "After all, for people here the Internet is almost as vital as running water; it is used routinely to vote, file their taxes, and, with their cellphones, to shop or pay for parking."

http://www.nytimes.com/2007/05/29/technology/29estonia.html

[2]" The 10 largest assaults blasted streams of 90 megabits of data a second at Estonia’s networks, lasting up to 10 hours each. That is a data load equivalent to downloading the entire Windows XP operating system every six seconds for 10 hours."

http://www.nytimes.com/2007/05/29/technology/29estonia.html?_r=1&pagewanted=2

[3] דובר מרכז המיחשוב באסטוניה אמר כי מחשבי המדינה הותקפו ע"י 178 מדינות.

http://www.ft.com/cms/s/0/57536d5a-0ddc-11de-8ea3-0000779fd2ac.html?nclick_check=1

[4] בעת ההתקפה על מגדלי התאומים, יכול היה אתר ה-CNN להציג חדשות רק באופן טקסטואלי, זאת בשל העומס הרב שנוצר על שרתי החברה מהפונים הרבים שביקשו להתעדכן במתרחש דרך האתר.

http://www.hs.fi/english/article/Virtual+harassment+but+for+real+/1135227099868

[5] "מומחים המכירים את פרטי המתקפות ציינו כי העובדה שאתרים סובלים מבעיות גם ארבעה ימים לאחר שהמתקפה החלה מעידה על כך שמדובר בהתקפה יוצאת דופן באורכה ועוצמתה."

http://www.haaretz.co.il/captain/spages/1098664.html