מתקפות קיברנטיות על ערב הסעודית

ב-15 באוגוסט 2012 בשעה 11:08, אדם בעל הרשאות גישה למערכות המחשב של חברת הנפט הלאומית הסעודית Aramco, שחרר וירוס והחל בכך את מה שנחשב כארוע חבלת המחשב החמור ביותר עד אותה העת נגד חברה.

הוירוס, אשר חברות אבטחת המידע העניקו לו את השם Shamoon, התפשט במהרה במערכות המחשב של החברה אשר עובדיה היו בבתיהם בשל חג וגרם למחיקת מידע מכ-75% ממחשביה ולהשבתה מוחלטת של כ-35 אלף מחשבים באמצעות מחיקת קבצי יסוד בהם (Master Boot Record), כך שאלו הפכו לכלי חסר ערך שלא ניתן עוד להפעילו. ארוע זה הצריך כשבוע עבודה לשם השבת הפעילות לסדרה. התקשורת העולמית געשה בשל ידיעות על מתקפה קיברנטית, ממוקדת אך רחבת היקף, אשר כוונה נגד ערב הסעודית. אולם ארוע דומה חוותה גם חברת הגז הלאומית הקטארית RasGas שבועיים לאחר מכן. כל זאת תוך הפניית האצבע המאשימה לעבר איראן כעומדת מאחורי התקפות אלו. החשד היה כי פעולה זו מהווה נקמה מצידה על המתקפה הקיברנטית שבוצעה נגד מפעל הגרעין שלה שבנתנז, אשר לפי הדיווחים בוצע על ידי ארה"ב וישראל באמצעות הוירוס Stuxnet במטרה לחבל בתוכניתה הגרעינית.

כעת מתברר כי Shamoon זה שב והופיע ותקף והשמיד מערכות מחשב של "שישה ארגונים סעודיים חשובים" במחצית השניה של חודש נובמבר 2016. בסוף חודש זה פרסמה חברת סימנטק כי שבועיים קודם לכן התגלה מופע חדש של הוירוס (W32.Disttrack) אשר נועד למחוק מידע ביום חמישי 17 נובמבר בשעה 20:45 לאחר סיום שבוע העבודה, בקרב גורם לא ידוע, אך בצורה מתוכננת היטב לשם יצירת נזק רחב היקף. בדומה למופע הראשון של וירוס זה, בשנת 2012, מטרתה של המתקפה היתה גניבת מידע לצד השבתת מערכות המחשב שהותקפו.

התפתחות נוספת נרשמה ב-23 בינואר 2017 עם דיווחים נוספים על אזהרות של רשות הטלקום הסעודית מפני מתקפה קיברנטית נוספת של וירוס זה המכונה כעת Shamoon 2, והפניית קריאה לכל גורמי הממשל לנקוט בצעדים הנדרשים על מנת להבטיח את רשתותיהם, לגבות מידע קבצים חשובים ולהעלות את המודעות בקרב העובדים. זאת לאור הודעת תחנת הטלביזיה הממלכתית כי 15 סוכנויות ממשל ומוסדות פרטיים נפגעו מהופעתו המחודשת, אשר דווח כי פעל כעת בדרך שונה "אשר לא נצפתה על ידי מערכות הממשל". אכן, גורמים שונים הודיעו כי נפגעו מהוירוס ובכללם משרד העבודה וכן חברת הכימיקלים הסעודית-אמריקאית Sadara, אשר דיווחה על הפרעות ברשת מבלי לציין את אופיין, כמו גם חברות נוספות.

בנוסף לכל זאת פורסם כבר בסוף חודש אוגוסט כי ממשלת הממלכה כינסה בדחיפות מומחי אבטחת מידע לבדיקת ארועים בהם מוסדות ממשל היו נתונים להתקפות קיברנטיות בשבועות הקודמים נגד אתרי אינטרנט תוך שימוש ברוגלות, במטרה לגנוב מידע רגיש. לא נמסר מי היו היעדים שהותקפו, אולם אחד המקורות התייחס ל"תוקפים זרים אשר ניצלו פרצה בשרת הדואר". אכן, כשבוע קודם לכן פורסם כי "סוכנויות ממשל בערב הסעודית היו נתונות למתקפת וירוס עזה אשר מטרתה לפרוץ לאתרי האינטרנט שלהן באמצעות משלוח הודעות ספאם לתיבת הדואר הנכנס". הממשל הזהיר משתמשים בסוכנויות ממשל וחברות גדולות מפני דוא"ל נגוע העלול להזיק למחשביהן, לאחר שמאות כתובות זרות ממגוון מדינות תקפו רשויות ממשל באמצעות הודעות אשר כללו קבצי הפעלה אשר עם פתיחתם נועדו "לגרום לנזק הרב ביותר האפשרי".

לסיכום, בהמשך למתקפת Shamoon ממחצית אוגוסט 2012, אנו עדים למתקפות שונות על אתרי אינטרנט, תיבות דוא"ל ומערכות מחשב של גורמי ממשל בערב הסעודית, זאת במטרה לגנוב מידע רגיש ולחבל פיזית במערכות המחשב ולהביא להשבתתן המלאה. בחלק מהמקרים הופנתה האצבע המאשימה לעבר איראן, אשר כבמקרים אחרים בעבר מנצלת ככל הנראה גם את הזירה הקיברנטית כממד נוסף של לחימה באויבותיה השונות. באזורנו ומעבר לו.

האם היתה מעורבות זרה בעת ההצבעה בבריטניה על משאל העם בדבר עזיבת האיחוד האירופי ומה ניתן ללמוד מכך ?

לאחר שכבר ב-13 בדצמבר 2016 הצהיר חבר פרלמנט בריטי כי "סביר מאוד" שרוסיה התערבה במשאל העם, פורסם ב-12 באפריל כי חברי פרלמנט רומזים שיתכן ואתר האינטרנט אשר שימש את משאל העם על עזיבת בריטניה את האיחוד האירופי היה יעד לתקיפה קיברנטית זרה. זאת לאחר שהאתר קרס ב-7 ביוני 2016, זמן קצר לפני המועד בו הסתיים רישום האזרחים להצבעה.

אלו העלו את הסברה כחלק מדוח בשם "Lessons learned from the EU Referendum" שהתפרסם ב-7 במרץ על ידי הועדה למנהל ציבורי ועניינים חוקתיים בבית הנבחרים. תקציר הדוח טוען לעדויות נסיבתיות ולא עדויות מוצקות למתקפה:

"אין אנו יכולים לשלול את האפשרות שהיתה מעורבות זרה במשאל העם של האיחוד האירופי אשר נגרמה מ-DDoS (מתקפת ממניעת שירות מבוזרת) באמצעות בוטנטים, למרות שאנו לא מאמינים כי להתערבות שכזו היתה השפעה ממשית על תוצאות משאל העם. הלקח שיש ללמוד בהקשר של הגנה וחוסן מפני מעורבות זרה אפשרית במערכות ה-IT הקריטיות לתפקוד הליך הדמוקרטי, חייבות להיות מעבר לזה הטכני."

ההבנה של ארה"ב ובריטניה את ה"סייבר" היא בעיקרה טכנית ומבוססת תקשורת מחשבים, בעוד רוסיה וסין עושות שימוש בגישה קוגניטיבית בהבנת פסיכולוגיית המונים וכיצד ניתן לנצל את הפרט.

אנו משבחים את הממשלה על קידום האבטחה הקיברנטית כנושא מרכזי בבריטניה. אנו ממליצים על הקמת מנגנון קבוע לניטור פעולות קיברנטיות ביחס לבחירות ומשאלי עם, לשם קידום אבטחה קיברנטית וחוסן מפני התקפות אפשריות, ולקבוע תוכניות ומנגנונים למענה ולהכלה של התקפות אלו במידה ויתרחשו".

אולם אין בדברים אלו כדי להצהיר חד משמעית שהאתר אכן היה נתון למתקפה זרה שנועדה להפילו ובכך לשבש את הבחירות. מומחים טוענים כי יש לבחון את נתוני האתר על מנת לקבוע האם הוא היה נתון למתקפה שכזו.

אכן, משרד הקבינט קבע מפורשות בדוח משלו "היינו ברורים למדי בדבר הסיבה לנפילת האתר ביוני 2016. היה זה בשל שיא במספר המשתמשים זמן קצר לפני תום מועד ההרשמה. אין עדות המצביעה על מעורבות זדונית. ביצענו סקירה מלאה בעניין ההשבתה ויישמנו את הנדרש. אנו נוודא כי אלו ייושמו בכל המשאלים בעתיד ובשרותים המקוונים".

אתר ההצבעה קרס בשעה 22:15, זמן קצר לאחר עימות טלביזיוני ומסע ברשתות החברתיות אשר קרא לאזרחים להרשם ולהצביע בטרם המועד האחרון בחצות הלילה. המספרים הרשמיים גורסים כי כ-525 אלף איש נרשמה להצבעה באותו היום. לאחר קריסת האתר האריך ראש הממשלה את מועד ההרשמה בעוד 48 שעות במהלכם נרשמו עוד כ-430 אלף.

אז האם אכן היתה מעורבות זרה בהצבעה על משאל העם באמצעות מתקפה מדינתית  על אתר ההצבעה והשבתתו ? מסתבר שהתשובה אינה ברורה והחלטית גם בקרב גורמי הממשל בבריטניה.

אמנם על פניו סביר להניח כי האתר קרס בשל הכמות הרבה של המשתמשים שנענו לקריאה באותן השעות להכנס ולהרשם להצבעה באתר. עדות לכך ניתן לראות מהמספר הרב של מצביעים שנרשמו באותן 48 שעות של הארכה.

עם זאת, כדברי הדוח לעיל, ועל פי עדויות ממדינות שונות ברחבי אירופה בחודשים האחרונים, המערכת הפוליטית המערבית מהווה יעד לביצוע מניפולציות תקשורתיות ופוליטיות, בין השאר באמצעות פריצות למערכות מחשב וחשבונות דוא"ל ואף יצירת "פייק ניוז", כל זאת תוך הפניית האצבע המאשימה לעבר רוסיה.

אולם עדות לפגיעותן של מערכות מחשב שלטוניות ובעיקר בעתות בחירות ניתן לראות מארועים שונים ברחבי העולם ואף בישראל.

אלו כוללים טענה לפגיעה מכוונת של הממשל במערכות שונות כדי לשבש את הבחירות, דוגמת השבתות החשמל הכוללות בתורכיה בסוף מרץ ומחצית אפריל 2015. אשר בלוגר תורכי עלום שם טען כי אלו מעשה ידי השלטון כדי לשבש את הבחירות הקרבות. אכן, בבחירות המקומיות שהתקיימו במרץ 2014, מספר ערים סבלו מהפסקת חשמל, תוך האשמה של האופוזיציה כי הדבר בוצע על ידי השלטונות במטרה לשבש את הבחירות.

כמו גם השבתות הנגרמות בשל מתקפות קיברנטיות אשר נטען כי מקורן בשחקן מדינתי זר, דוגמת אלו אשר פגעו במערכות המחשב של גורמי ממשל בערב הסעודית באוגוסט 2016. או אף הפריצה לחשבונות המייל של הילרי קלינטון וראש מסע הבחירות שלה ג'ון פודסטה והדלפת תכתובות רבות מהם.

ועד לתקלות טכניות אשר ביכולתן לשבש את המערכת הפוליטית, דוגמת הבחירות לנשיאות ארה"ב בשנת 2000 בה קרסה אחת ממערכות ההצבעה הממוחשבות באוהיו, אשר הוסיפה אלפי קולות לג'ורג' בוש. או אף כאן בישראל: באוגוסט 2008 כשלו מערכות ההצבעה הממוחשבות בעת ההצבעה בפריימריז של מפלגת העבודה, עד כדי החלטה לקיים את הבחירות הבאות במתכונת ידנית כבעבר. ובנובמבר 2011 נרשמו תקלות גם במערכות המחשב של הליכוד בפריימריז שקיים.

מארועים אלו באזורנו ומעבר לו, בעבר הקרוב והרחוק יותר, ניתן ללמוד כי למערכות מחשב הקשורות בפוליטיקה ובממשל, ובכלל זה מערכות הצבעה ממוחשבות וחשבונות דוא"ל של גורמי ממשל, חשיבות רבה, כמעט כמו אלו בתחומי האנרגיה, תחבורה, רפואה ופיננסים לניהול פעילותה של מדינה.

לפיכך  לאור רגישותן של מערכות מחשב אלו והשפעתן על התנהלותה ואף קיומה של מדינה, יש לפעול למען הגדרת מערכות שכאלו כתשתיות קריטיות המחייבות הגנה מתאימה, הואיל ושיבוש, פריצה, התקפה או השבתה שלהן עלולים לשנות פניה של מדינה מודרנית.

איחוד האמירויות: מעצר כנופיה שפרצה לתיבות דוא"ל בבית הלבן

ב-3 באפריל פורסם כי משטרת דובאי עצרה כנופיית האקרים אשר נטען כי פרצה לחמש תיבות דוא"ל של פקידים בבית הלבן.

מפקד מחלקת מידע ופיתוח ביחידה לפשיעה קיברנטית, אמר כי התקבל מידע מהרשויות בבית הלבן לפיו הפורצים, אשר מקורם ככל הנראה באיחוד האמירויות, שלחו הודעות סחיטה וכי השיגו מידע סודי.

לדבריו, קבוצת מומחים מהמחלקה עקבה תוך שעתיים אחר כתובת ה-IP לדירה בה נעצרו על ידי גורמי הבטחון שלושה אנשים. מחקירתם עלה כי היו אלו האקרים מומחים אשר מכרו את המידע שגנבו לכל המרבה במחיר.

אוסטרליה: נעצר בן 19 נעצר באשמת פריצה לשידורי מערכת התעופה

ב-28 בנובמבר פורסם כי נער בן 19 נעצר בעיר מלבורן שבאוסטרליה בשל פריצה לבקרת התעבורה האווירית ומשלוח 16 שידורים בלתי מורשים לטייסים בין ה-3 ספטמבר וה-5 נובמבר, בערוצי רדיו המיועדים לגורמי התעופה. הדבר הוביל לביטול נחיתה של אחת מהטיסות בשל הודעות מזוייפות נשלחו לטייסיו. ההנחה היא כי הצעיר מצא דרך לפרוץ לשידורים ולתקשר ישירות עם הטייסים ומגדלי הפיקוח.

פריצה לשרת פיקוד הסייבר של דרום קוריאה

ב-1 באוקטובר פרסמה סוכנות הידיעות של דרום קוריאה כי פיקוד הסייבר במדינה, אשר הוקם על מנת מנוע נסיונות פריצה חיצוניים למחשבי הצבא, נפרץ בעצמו בחודש שעבר, תוך התייחסות למעורבותה האפשרית של צפון קוריאה. את הדברים מסר איש מפלגת האופוזיציה וחבר ועדת ההגנה הלאומית של הפרלמנט בראיון טלפונית לסוכנות הידיעות וציין כי הפורצים תקפו שרת ניתוב שהותקן בפיקוד הסייבר.

הוא מסר כי  בשרת, אשר נטען כי מחוברים אליו כ-20 אלף מחשבים צבאיים, "זוהה קוד עויין אשר נראה כי ניצל חולשה בשרת הניתוב. כאמצעי זהירות הופרד השרת מהרשת". עוד הוסיף הבכיר כי קיימים סיכויים נמוכים מאוד שהארוע הוביל לדליפת מידע מסווג וציין כי רשת האינטרא-נט הצבאית אינה מחוברת לשרת. לדבריו, לא ניתן לקבוע עדיין האם צפון קוריאה מעורבת בפריצה, אולם ציין כי "הרשויות הצבאיות משאירים אפשרות זו על השולחן".

מאוחר יותר אישר משרד ההגנה את דבר הפריצה וציין כי מתבצעת חקירה לבדוק כיצד חדר הקוד העויין למערכת.

הפעולה הקיברנטית ההתקפית הראשונה של צבא גרמניה

ב-24 בספטמבר פורסם כי יחידת 'פעולות רשתות מחשב' (CNO) של צבא גרמניה ביצעה את הפעולה הקיברנטית ההתקפית הראשונה באמצעות פריצה לרשת של מפעיל סלולר באפגינסטאן לשם איתור קבוצה מקומית לא ידועה אשר חטפה צעירה גרמניה ב-17 באוגוסט 2015  ודנה עם פקידים גרמניים בשחרורה.

מטרת הפעולה, על פי הדר שפיגל, היתה לעקוב אחר מיקום החוטפים והשיח עימם על מנת לגלות האם בכוונתם למלא את חלקם בעסקת השחרור. זו אכן בוצעה כמתוכנן והצעירה שבה לביתה ב-17 באוקטובר 2015 ללא כל מעורבות צבאית.

פעילותו של האקר ישראלי נגד אתרים במזרח התיכון

ההאקר הישראלי המכונה zurael sTz פרסם בעת האחרונה מספר הודעות בדבר פריצות שביצע לאתרי אינטרנט ברחבי המזרח התיכון;

פריצה לשלטי הכוונת תנועה בטקסס

ב-11 ביוני פורסם כי שלטי דרכים בטקסס נפרצו לאחרונה והוצבו בהם בעיקר מסרים שונים כחלק מהמרוץ לנשיאות בארה"ב; בזכות ברני סנדרס ובגנות דונלד טראמפ, ארועים דומים דווחו גם ב-5 ביוני וב-31 במאי.

אלו בוצעו באמצעות פריצה למערכות המחשב של Texas Department of Transportation (TXDOT) או של צד שלישי הקשור בו.

Capture114

 

אזרח איראני לדין בארה"ב באשמת פריצה לחברת תוכנה בתחום הנשק

ב-2 דצמבר פרסם ה-FBI הודעה בדבר משפטו של Nima Golestaneh בן 30 בעל אזרחות איראנית באשמת הונאה וגישה בלתי מורשית למחשבים. זאת בהקשר של מעורבותו לפריצה שהתבצעה באוקטובר 2012 לחברת תוכנה בשם Arrow Tech Associates שמקום מושבה וורמונט על מנת לגנוב את תוכנה של החברה ומידע עסקי רב ערך שלה.

תפקידו של האיש היה להשיג שרתים במדינות אחרות על מנת שיתר החברים בכנופיה יוכלו להשתמש בהם לביצוע חדירה מרוחקת למחשבי חברת היעד, ובכך להסוות את מקומם וזהותם האמיתיים.

בנובמבר 2013 הוא נעצר בתורכיה והוסגר לארה"ב בפברואר 2015.

אולם עיון באתר החברה מגלה כי מיומנותה ב"ניתוח מבני, ניתוח דינאמי, סימולציה של מערכות נשק וכל ההיבטים של עיצוב וניתוח של תחמושת".

גורמים פלסטיניים השתלטו על חשבון הטוויטר של "הארץ" לציון הצהרת בלפור

ב-3 נובמבר נפרץ חשבון הטוויטר של עיתון "הארץ" והוצבו בו 11 הודעות בין השעות 15:07-15:28, זאת לציון הצהרת בלפור אשר חלה יום קודם לכן;

 

הדיווחים הוסרו רק לאחר כשעה ממועד פרסומם, ובשעה 16:22 שב החשבון לפעול כסדרו לאחר שההודעות נמחקו והוצבה בו ההודעה הבאה;

המודיעין הבריטי פרץ נתבים בפקיסטאן למעקב אחר גורמי טרור

ב-7 אוקטובר פורסמה באתר חדשות פקיסטאני הטענה כי אדוארד סונאדן הצהיר שלבריטניה היתה היכולת להשיג כמות משמעותית של מידע באמצעות פריצה לשרתים המפוזרים ברחבי פקיסטאן, זאת על מנת לזהות גורמי טרור המתגוררים במדינה. הפעולה בוצעה על ידי ה-GCHQ אשר פרץ נתבים תוצרת חברת Cisco כדי להגיע למידע המצוי בהם.

הדבר התגלה במהלך ראיון ברשת הטלביזיה BBC, והוסיף כי הדבר בוצע לאחר קבלת רשות מממשלת בריטניה וכי המטרה העליונה היתה זיהוי גורמי טרור המוצאים מחסה בפקיסטאן.

עוד טען כי ביכולת סוכנות המודיעין לפרוץ לטלפונים מבלי ידיעת בעליהם ולעשות בטלפונים כבשלה.

גילו פרצות אבטחה באתר סטארבקס

ב-16 ספטמבר פרסם חוקר אבטחה מצרי Mohamed M .Fouad כי הוא גילה כשלי אבטחה קריטיים באתר סטארבקס, אשר מאפשרים להאקרים לגנוב את פרטי האשראי של המשתמשים ולבצע הרצה מרוחקת של קוד באתר.

בפוסט הוא מסביר ומדגים כיצד גילה חולשות אבטחה רבות באתר החברה, אשר להן השלכות חמורות על המשתמשים, באמצעות אילוצם להחליף סיסמאות, הוספת כתובות דוא"ל חלופיות, או אף שינוי תכולת הפרופיל שלהם וגנבת פרטי האשראי השמורים באלו, לצד שתי חולשות קריטיות המאפשרות ביצוע מתקפות פישינג עליהם והרצה מרוחקת של קוד על שרתי סטארבקס.

על חולשות עלה הוא דיווח לחברה ב-29 ביוני 2015, אולם ללא כל מענה וב-4 יולי 2015 לשרות הלקוחות של החברה באמצעות חשבון הטוויטר שלה. באותה העת הוא דיווח על כך גם ל-US-CERT.

ב-20 באוגוסט הוא קיבל תשובה מ-US-CERT לפיה החברה מאשרת את קיום שתי החולשות שמצא וכי היא מבקשת 30 יום נוספים כדי לטפל בכך בטרם הפרסום.

לדבריו החולשות תוקנו לפני עשרה ימים וכי הוא עדיין ממתין לפרסום של החברה ולתמורה שלו בגין איתור החולשות.

last reply