תקציר מנהלים

 בתחילת שנת 2013 הודיעו שלל גורמים מקוונים, בודדים וקבוצות, על כוונתם לתקוף את המרחב הקיברנטי של ישראל ובכך "למחוק אותה ממפת האינטרנט". זאת תחת השםOpIsrael . כל זאת כוון ל-7 אפריל 2013,תאריך אשר נבחר מבעוד מועד הואיל וצויין בו ערב יום השואה. במסגרת ההכנות פורסמו הודעות מקדימות, סרטונים וכרזות שונות.

במחצית ינואר 2014 החלה להתגבש פעילות מקוונת לכדי יצירת ארוע שכזה ב-7 באפריל השנה. כבעבר, הפעילות במסגרתOpIsrael 2014  התחלקה למספר סוגים וכלפי שני מגזרים עיקריים אותם ניתן לסכם בטבלה שלהלן;

 

סוג התקפה	גורם מותקף	היקף
התקפות להשבתת אתרים	על פי רוב נגד אתרי ממשלה	מספר מצומצם של טענות. סביר כי בפועל מספר האתרים שהושבתה פעילותם, אם בכלל, נמוך בהרבה
הדלפות מידעים מאתרים ומערכות מידע	מגזר ממשלתי ואזרחי	מספר מאות כתובות דוא"ל וסיסמאות בעלות סיומת Gov.il ועשרות אלפים בודדים מהמגזר האזרחי
פגיעה במערכות מידע	מגזר אזרחי	מספר בודד של טענות בלתי מוכחות, על פי רוב לחדירה למספר מערכות מחשב

 

1. חשוב לציין כי נראה על פניו שלפחות בחלק מהדיווחים קיימת הגזמה, שלא לומר דיווחים שאינם אמת כל ועיקר, לכדי לוחמה פסיכולוגית כחלק ממערכה כוללת זו.
2. נראה על פניו ממקורות תקשורת גלויים כי הן כמותית והן איכותית היקפו של OpIsrael 2014 קטן משמעותית מזה שקדם לו בשנה שעברה, כמו גם העיסוק התקשורתי בפעילות זו, לפני מועד ההתקפה ובמהלכה.
3. לא אותרו דיווחים תקשורתיים העוסקים בפגיעה קיברנטית במערכות תשתית בישראל או במערכות ליבה אשר יש בהן בכדי לשתק את התנהלותה של מדינה או לפגוע בה אנושות.

פירוט הארועים

 הכנה תקשורתית

בשעות הערב של ה-14 בינואר פורסמה הודעת טוויטר ובה הצהרה על כוונה לקיים מבצע של התקפות מקוונות נגד ישראל בשם OpIsrael ב-7 אפריל 2014;

כבעבר, החלו לאחרונה להתפרסם סרטונים בדבר הארוע הצפוי. אחד מהם הנושא את השם"AnonGhost Launch Op Israel Birthday 07/APRIL/2014" פורסם כבר בסוף דצמבר האחרון בחשבון היוטיוב של Anonxox TN ועליו חתומים;

Mauritania Attacker – Virusa Worm – Deto Beiber – Dr.SaM!M_008 – M3GAFAB – Extazy007 – PhObia_PhOneyz – Mr Domoz – Tak Dikenal – AnonxoxTN – Raka 3r00t – PirateX – Bl4ck Jorozz – Younes Lmaghribi – Indonesian r00t – BlackBase Hacker – CoderSec – h4shcr4ck – Mrlele – Donnazmi – TheGame Attacker – Man Rezpector – SaccaFrazi – Spec Tre – HusseiN98D – HolaKo -Mr.Ajword – Root Max – Egy Eagle – THE GREATEST – BiosTeRminat0r –

בסרטון, אשר זכה ללמעלה מ-1,700 צפיות, נטען כי ה-7 באפריל בכל שנה יהיה חגיגות נצחון ובו מה שנראה כרמיזות אפשריות לפגיעה בתשתיות קריטיות ובכלל זה במערכת הפיננסית. בנוסף, פורסם באותו היום סרטון נוסף אשר כותרתו מתייחסת לארוע העתידי, אולם תוכנו מתייחס לארועי 2013, למרות שתמלול הסרטון שונה כך שיתייחס לשנת 2014.

בתחילה נפתחו בפייסבוק שלושה ארועים לתאריך 7 אפריל 2014; האחד נפתח על ידי גורמים מאלג'יריה ובו פעילות ערה ביותר. השני היה בעל היקף מועט יותר של פעילות. השלישי נפתח על ידי"Norwegian Ghost Cyber Attackers" ובו נכללה כבעבר רשימה של אתרי ממשלה ישראליים כמטרות להתקפה במועד זה. בנוסף, נפתחה לטובת הארוע תגית בטוויטר בשם OpIsrael Birthday#.

למרות שהמידע צוטט ברחבי הטוויטר, נראה כי בתחילה הפעילות המתוכננת לא זכתה להד מקוון רב.

ב-10 מרץ פורסם סרטון ביוטיוב על ידי האקרים שמזדהים כ"אנונימוס-ערב" ובו איום במתקפה נוספת נגד אתרים ישראלים שתערך בתאריך 7 באפריל, 2014. המתקפה מכוונת כלפי "אתרים ישראלים רבים ככל שניתן", כולל אתרים ממשלתיים, ומטרתה "למחוק את ישראל מהאינטרנט".

בסרטון פנייה לכל ההאקרים המוסלמים בעולם למען יצטרפו להתקפה מקוונת זו אשר תהיה "רעידת האדמה האלקטרונית החזקה ביותר בהיקף עולמי [ובעוצמה של] 9.5 בסולם ריכטר שתכה בישראל". בסרטון משולבים קטעי וידאו שצולמו על ידי תושבי רצועת עזה לאחר תקיפות של חיל האוויר באזור, וכן כתבות המסקרות את ההתקפות הקיברנטיות שהתרחשו בעבר נגד מדינת ישראל ואזרחיה.

הסרטון הועלה לאחד מערוצי היוטיוב המזוהים עם Anonymous. הערוץ אליו הועלה הסרטון החל לפעול נובמבר 2013 והועלו אליו עד כה כ-24 סרטונים שונים, רבים מתוכם אנטי-ישראלים, חלקם מטעם ארגונים וקבוצות ג'האדיסטיות.

הדלפת מידעים

ממשל

• כהכנה לארוע המתקרב וכדי לשמר את העניין והמודעות התקשורתית בנושא,פורסמהבתאריך 16 בפברואר  על ידי AnonGhost Team רשימה ובה 25 כתובות מייל השייכות לגופי ממשל שונים בישראל ובעלות סיומתgov.il , לאלו צורפו ככל הנראה סיסמאות הגישה לכתובות המייל.
• ב-4 באפריל פורסמה רשימה על ידי האקר הסעודי המכנה עצמוSeCuRiTy_511 ובה 14 כתובותדוא"ל וסיסמאות של משתמשי מכון היצוא הישראלי. כעבור יומיים פורסמה רשימה נוספת מאת הקבוצההמכנה עצמה Bekasi X Code ובה 27 כתובות דוא"ל של משתמשי המכון. עוד עולה מהודעות אלו כי security_511 מזהה עצמו בהן כהאקר סעודי (Saudi hacker). עם זאת, בכותרת חשבון הטוויטר שלו מצויין Abu dhabi.
• ב-5 באפריל פורסמה הודעת טוויטר מאת אותו security_511 ובה טענה להדלפת מידעים מאתרי משרד החינוך ומבקר המדינה. ההודעה כוללת קישורים לשני קבצים; באחת רשימה של 14 כתובות מייל וסיסמאות השייכות ליחידות ויישויות במשרד החינוך ובשניה 13 כתובות דוא"ל וסיסמאות השייכות לגורמים במשרד מבקר המדינה (רשומה אחת כוללת מספר טלפון ואחרת כוללת שם מלא). אולם בחינת ההודעות מגלה כי אלו פורסמו זמן מה קודם לכן; זו העוסקת במשרד החינוך פורסמה כבר ב-22 במרץ וזו העוסקת במשרד מבקר המדינה שבוע לאחר מכן.

• Anonymous Ibero פרסם הודעה בטוויטר בדבר הדלפת כתובות ודוא"ל וסיסמאות מוצפנות השייכות לממשלת ישראל. הרשימה עצמה כוללת כ-80 כתובות דוא"ל של יישויות ממשרדים שונים, כאשר כל הכתובות בעלות סיומת Gov.il. לצידן של אלו סיסמאות מוצפנות.

• הודעה ובה טענה להדלפת מספרי טלפון השייכים לממשלת ישראל תוך הפניה לקובץ ובו המידע. הרשימה, אשר פורסמה על ידי AnonGhost & AnonSec, מכילה כשמונים מספרי טלפון ניידים ונייחים מישראל אשר נטען כי הם "Israel government phone numbers".
• הודעה בטוויטר בדבר הדלפת 350 כתובות דוא"ל של גורמים השייכים לממשלת ישראל, הקישור בה הוא לקובץ הכולל מידע אשר נראה כי נלקח מטבלת משתמשים מבסיס נתונים כלשהו אשר בו השדות הבאים; user_email, user_password, user_name, user_sname, pass_recovery, validation, registration_date, registration_ip, lastvisit_date, lastvisit_ip, user_urlink, visible, active.
• הודעה בטוויטר בדבר הדלפת 375 כתובות דוא"ל של גורמים השייכים לממשלת ישראל. עיון ברשימה מגלה כי זהו אותו הקובץ אשר בו 350 כתובות דוא"ל (ההודעה הקודמת), אליו התווספו 25 כתובת דוא"ל וסיסמאות השייכות ל-Gov.il.
• הודעה בטוויטר בדבר הדלפת פרטי גישה של משתמשים ממשרד החקלאות, הקובץ כולל שמות משתמש, סיסמאות גישה וכתובות דו"אל של שישה מעובדי המכון הוולקני.
• הודעה בטוויטר בדבר הדלפת 2,064 כתובות דוא"ל ומספרי טלפון של גורמי השייכים לממשלת ישראל. ההודעה כוללת הפניה לקובץ TXT אשר אינו זמין.
• פרסום בן שלושה חלקים של הדלפת כתובות דוא"ל של משרד המדע, הטכנולוגיה והחלל; הודעות הטוויטר בדבר החלק הראשון, השני והשלישי. כל אחת מפנה לקובץ ובו מספר כתובות דוא"ל בעלות סיומת most.gov.il וכן סיסמאות. בחלק מהמקרים קיימים גם שמות ומספרי טלפון. קיימת הודעה בשפה הערבית המרכזת את ההפניה לכל שלושת הקבצים.
• הודעה בטוויטר בדבר הדלפת כתובות דוא"ל של המשרד לבטחון פנים. ההודעה כוללת הפניה לקובץ ובו 8 כתובות דוא"ל וכן סיסמאות. שבע מהן בעלות סיומת mops.gov.il ואחת בעלת סיומת mop.gov.il. יתכן ובשל טעות בהזנה של מחבר ההודעה.
• הודעה בטוויטר בדבר הדלפת כתובות דוא"ל של משרד הבריאות. ההודעה כוללת הפניה לקובץ ובו 8 כתובות דוא"ל בעלות סיומת ziv.health.gov.il וכן סיסמאות. הודעה אחרת כוללת הפניה לקובץ ובו 6 כתובות דוא"ל נוספות. הפעם בעלות סיומת moh.health.gov.il.
• ב-16 באפריל פרסם security_511 סדרת הודעות בטוויטר ובהן חשיפת פרטים של עובדים בבנק ישראל ובכלל זה שם, פרטי התקשרות, דוא"ל וסיסמאת גישה; Shula Mishli, Nadine Baudot-Trajtenberg, Yoav Soffer, Etkes Haggay, Binyamini Alon (פורסם ב-13 אפריל). ריכוז של שמות העובדים שפרטיהם הודלפו פורטו בהודעה שפורסמה על ידו ב-15 באפריל ומפנה לרשימה הכוללת 21 מעובדי הבנק. יצויין כי כבר ב-9 באפריל פורסמה הודעה ממנה עולה כי היעד הבא הוא בנק ישראל.

מגזר אזרחי

• ב-6 באפריל פורסמה הודעה ובה נטילת אחריות של AnonGhost Team על פריצה לאתר "מועצה בין דתית מתאמת בישראל" במסגרת מבצע #OpisraelBirthday. ההודעה מפרטת הדלפת בסיס הנתונים של האתר ובכללו השדות הבאים;,address ,cell_phone ,city ,country ,email  ,first_name ,funds ,home_phone ,id ,ilcontact ,last_name ,password ,postal ,state  title ,userhash ,userlevel. הרשימה כוללת כ-850 רשומות של יישויות, מרביתן מארה"ב וחלקן מישראל, בריטניה וקנדה.
• רשימה נוספת מתאריך זה פורסמה על ידי AnonSec וכללה לכאורה "1381 EMAILS AND PASSWORD LEAKED". בפועל הרשימה כוללת 1,380 רשומות, חלקן כפולות, של כתובות דוא"ל אשר חלקן בעלות סיומת .il, חלקן מעידות על פי שם המשתמש, כי בעליהן לכאורה ישראלי ואחרות אשר לא נראית זיקה ברורה לישראל מהכתובת. לצד כתובות הדוא"ל קיימות סיסמאות אשר כמה עשרות מהן הן aabbccdd. כבעבר, יתכן וסיסמאות הגישה הללו מזוייפות והן נוצרו אוטומטית על ידי הפורצים, או שהן מהוות סיסמאות גישה לאתר שנפרץ. על סמך נסיון העבר, סביר מאוד להניח כי אין מדובר בסיסמאות הגישה לכתובות הדוא"ל עצמן.
• הודעה נוספת של AnonGhost טענה לפרסום רשימה ובה 1,350 כתובות דוא"ל של ישראלים. רשימה זו בעלת מאפיינים זהים לזו הקודמת שנסקרה לעיל.
• הודעה בטוויטר מה-7 אפריל ובה טענה להדלפת 25 אלף כתובות דוא"ל של ישראלים. זו מפנה לקובץ הכולל קובץTXT בלתי זמין, תוך טענה כי מקור הכתובות מהאתרים http://www.jeep.co.il, http://www.toyota.co.il.
• הודעה בטוויטר על הדלפת 1,143 כתובות דוא"ל של ישראלים. הקובץ עצמו נראה שמקורו מטבלה אשר הועתקה מבסיס נתונים שנפרץ.
• הודעה בטוויטר ובה טענה, ללא קישור, בדבר פריצה לכאורה למיליון חשבונות פייסבוק של ישראלים.
• הודעה בטוויטר ובה הפניה לקובץ TXT המכיל רשימה ארוכה של אתרים ישראלים שלכאורה נפרצו, חלקם מפריצה לשרת המארח.
• הודעה בטוויטר על הדלפת 6,766 כתובות דוא"ל של ישראלים. הקישור מפנה לעמוד הנושא את השם HusseiN98D והכולל את סיכום פעילות AnonGhost בין ה-16 פברואר וה-21 אפריל 2014. בכלל זה ארבעה חלקים של הקובץ המדובר בדבר 6,766 כתובות הדוא"ל.
• הודעה בטוויטר על הדלפת של כתובות דוא"ל וסיסמאות מעיתון "הארץ". הקובץ עצמו כולל שמונה כתובות דוא"ל בעלות סיומת haaretz.co.il וכן סיסמאות.
• הודעה בטוויטר על הדלפת כתובות דוא"ל השייכות לחברת החשמל. ההודעה כוללת הפניה לקובץ ובו 9 כתובות דוא"ל בעלות סיומת iec.co.il וסיסמאות.
• הודעה בטוויטר המפנה לשני קבצים; האחד טוען לרשימה בת 8,227 כתובות דוא"ל של ישראלים. בפועל היא מונה כ-6,400. על פניו מרביתן שייכות לישראלים ובכללן גם 8 בעלות סיומת Gov.il. הסיסמאות המצורפות מוצפנות. השני כולל לכאורה 8,227 רשומות (מספרה של זו האחרונה), אולם קיימים חוסרים רבים ודילוגים רבים במונה הרשומות. לא מן הנמנע שיש כפילות בן שתי הרשימות.

 תקיפות אתרים

ממשל

• הודעת טוויטר ובה טענה להפלת אתר "על הגובה: ממשל זמין לילדים";

• ב-7 באפריל פורסמה הודעה בטוויטר ובה הנחיות לתקיפת אתרי ממשל ישראלים. ההודעה מנחה את המשתמש לבחור בכתובת אתר של משרד ממשלתי מעמוד המרכז כתובות אלו (רשימה הנושאת את התאריך 23 פברואר 2013) ולהדביקה בקישור אחר המהווה עמוד ליצירת התקפת ה-DDoS בפועל.

• זמן קצר לאחר מכן פורסמה הודעה בטוויטר ובה טענה כי לכאורה הופל אתר בית הנשיא. בפועל הכתובת שניתנה (http://president.gov.il) אינה מובילה גם היום לאתר זה, כך שנראה שזו כתובת לא פעילה וגם במקרה זה יתכן ואין כל ממש בטענה בדבר הפלת האתר.

• הודעה אחרת טענה לפריצה לאתר הממשלתי של "המכון הוולקני" במסגרת התקפות AnonGhost על אתרי הממשלה.
• טענות להפלת אתר רשות השידור, משרד הכלכלה, משרד הבטחון, משרד החינוך, משרד החוץ ומשרד ראש הממשלה, אתר המוסד, אתר הרשות השופטת.

מגזר אזרחי

• רשימה ובה טענה להפלת 30 אתרים ישראלים באמצעות מתקפת DDoS, תוך הצבת התגית #OpIsraelBirthday בראש ההודעה.
• הודעה על פריצת 478 אתרים ישראליים, אשר מפנה לרשימה הכוללת אתרים אשר לכאורה נפרצו במסגרת מבצע זה. עיון מדגמי ברשימה מגלה כי אלו הם עסקים קטנים אשר אתריהם נבנו על ידי חברת interclick על בסיס פלטפורמת WordPress.
• הודעה בטוויטר על השחתת למעלה מאלפיים אתרים ישראליים. עיון ברשימה מגלה כי זו מונה כמה מאות אתרים ישראליים בלבד של עסקים קטנים.

 

מערכות מחשב

• ב-24 מרץ פורסמו שתי הודעות בחשבון הטוויטר של ההאקרים התוניסאים XhàckerTNשתיהן חסרות קישורים או הוכחות כלשהן לאימות הטענה.האחת טוענת כי 4,890 מחשבים ישראלים הודבקו על ידי הקבוצה בסוס טרויאני;

והאחרת טוענת להדלפת 101 בסיסי נתונים של אתרים בעלי סיומת il

כמו כן פורסמה הפניה לעמוד הפייסבוק של קבוצה זו המוקדש להתקפה הקיברנטית נגד ישראל ב-7 אפריל.

• הודעה בטוויטר ובה הפניה לאחרת הטוענת להדלפת פרטי גישה של 43 אלף נתבים ומודמים במסגרת מבצע זה. האחרונה כוללת קישור לקובץ TXT.

• ב-9 אפריל פורסמה הודעה בטוויטר ובה טענה לפריצה לנתבים של מערכת לינוקס;

תגובה ישראלית

בתגובה לשלל הפעילות במסגרת מבצע זה, ביצעו האקרים ישראלים מספר תקיפות נגד יעדים ברחבי המזרח התיכון והעולם האסלאמי. במסגרת זו פרסמה ב-6 אפריל קבוצת Israeli Elite Forceהודעה בעמוד הפייסבוק שלה בדבר השחתת 111 אתרים מאינדונזיה. זאת לצד מספר ארועים נוספים.

המשך פעילות ?

ב-16 באפריל פורסמה הודעת טוויטר על ידי AnonGhost ממנה עולה כי אלו מתכננים תקיפה נוספת נגד ישראל בתאריך ה-7 יוני. למרות שההודעה היא מהתאריך 16 אפריל 2014,  צויין תאריך המבצע המתוכנן ל-7 יוני 2013. יתכן ובשל טעות סופר. הודעה שצוטטה ברחבי הטוויטר.

ההודעה מפנה לאתר http://opisraelbirthday.com אשר כלל אינו קיים לפי שעה.