Tal Pavel

OpIsrael 2015: סיכום ארועים

/ב /על ידי

עיקרי הדברים

  1. ב-7 באפריל הגיע לשיאו ארוע OpIsrael 2015 אשר עליו הודיעו גורמים המזוהים עם 'אנונימוס' כבר בסוף דצמבר 2014 והמתקיים זו השנה השלישית בתאריך זה.
  2. למרות תאריך היעד, הפעילות שבוצעה במסגרתו החלה לכל הפחות כשבוע לפני המועד ונמשכה בעצימות נמוכה ביותר גם זמן מה לאחר שחלף התאריך.
  3. שיאה של הפעילות היה בשעות לפנות בוקר של ה-7 אפריל וזו שכחה בהדרגה במהלך היום.
  4. יצויין כי ארועי OpIsrael מתקיימים במהלך כל השנה במועדים שונים כראות עיניהם של התוקפים וכלל אינם מוגבלים לתאריך ה-7 באפריל.
  5. עם סיומו של מבצע זה פורסמה ידיעה באתר המשוייך ל'אנונימוס' לפיה "מספר האקרים החליטו להמשיכו עד ל-20 באפריל".
  6. להלן פירוט הארועים אשר בוצעו במהלך OpIsrael 2015 בחתך נושאי וכרונולוגי בכל נושא.

הערות מתודיות;

  1. המידע המפורט בסקירה מבוסס על ריכוז הכתבות שפורסמו באתר Middleeasternet.com לפני ובמהלך המבצע וכן נטילות אחריות נוספות שפורסמו בהקשר ל-OpIsrael ב-8-10 אפריל.
  2. כל המידע מקורו באיסוף חומרים גלויים שפורסמו לפני ובמהלך הארוע בדגש על המצוי ברשתות החברתיות.
  3. לפיכך, במידה והיו ארועים במסגרת זו אשר לא היתה לגביהם נטילת אחריות שכזו, אלו לא נכללים בסקירה.
  4. במקרים רבים בוצע שימוש משני במידע שפורסם בעבר ואף במהלך המבצע. נעשה נסיון רב לסנן הודעות שכאלה ולהתייחס לכל הודעה פעם אחת בלבד ובמועד פרסומה.
  5. נעשה נסיון להקיף את כלל הפרסומים, יתכן ויש שלא אותרו.

הכנות;

  • כחלק מההכנות לארוע, הפצת הפעילות והמידע במסגרתו, החל השימוש בטוויטר בתגית  בתאריך ה-13 בפברואר, ב-30 במרץ החל השימוש בתגית #ElectronicHolocaust.
  • קריאה דחופה שפורסמה בפייסבוק מאת Electronic Palestinian resistance לתקיפת אתרי ממשל ישראליים שונים.
  • ב-1 באפריל פורסמה הודעה ובה מספר רב של כתובות אתרי אינטרנט וכתובות IP של יעדי ממשל שונים בישראל להתקפה במסגרת OpIsrael 2015.
  • ב-3 באפריל פורסמה הודעה (נמחקה בינתיים) ובה הנחיה למשלוח מסר מאיים ישירות למדפסות קורבנות המתקפה;
  • במהלך המבצע אותרה הודעה בדבר אתר בשם End of Israel ובו שעון עצר המונה את הזמן עד לחורבנה של ישראל על פי הקוראן;Capture2

עיקרי הממצאים

הדלפות מידע

  1.  מרבית הארועים שדווחו היו מסוג של פרסום מידע אשר לכאורה הודלף בעת פריצות לאתרים ישראליים שונים.
  2. כבעבר, ניתן לחלק דיווחים אלו במסגרת מבצע זה למספר סוגים על פי שכיחותם, מהרווח לנדיר יותר;
    • מניפולציות על המידע – פרסום מידע אשר אין בו ממש, אינו מהווה הדלפה ואין מקורו בפריצה. במקרים אלו מקור המידע במינפולציה שנעשתה על נתונים כך שיראה כאילו מדובר בהדלפה של מידע ערכי.
    • פרסום מידע גלוי תוך הצגתו כהדלפה – דוגמא לכך ממבצע זה היא פרסום רשימת פרטי חברי כנסת אשר נטען כי הודלפה מאתר הכנסת. בפועל היו אלו נתונים גלויים של חברי הכנסת ה-18, אשר סיימה כהונתה באוקטובר 2012.
    • מידע אמין שאינו עדכני – דוגמא לכך ממבצע זה היא הדלפת פרטי כ-1,700 סטודנטים מאוניברסיטת בן-גוריון. על פניו כנראה כי אכן מדובר במידע אשר מקורו בפריצה למאגר והדלפה ממנו, אולם מתגובות בפייסבוק לכתבה שהכנתי על כך עולה כי רשימה זו היא בת כשנתיים.
    • מידע אמין ועדכני – מקרים אלו נדירים יחסית וקשה לאמוד לפי שעה את היקפם.

השחתות אתרים

  1. רשימות רבות כוללות אתרי גורמים המהווים לקוחות של חברות לבניית אתרים או אחסונם, אשר עם פריצתן של אלו, ניתן היה להגיע לאתרי כלל לקוחותיהן.
  2. דגימת האתרים ברשימות השונות העלתה כי רבים מהם תקינים או מצויים בשלבי בניה.
  3. בחלק מרשימות האתרים שהושחתו לא ניתן היה למצוא על פני השטח מכנה משותף מבחינת הגורם שבנה / מאחסן את האתר.
  4. חלק מהאתרים לא תוקנו ומציגים את התוכן שהציבו הפורצים גם לאחר כשבוע ימים.

פריצה

  • הכמות היחסית של פריצות מבין כלל הארועים היתה נמוכה יחסית והרשימות בדבר אתרים שנפרצו, עסקו לעיתים באתרים שהושחתו.
  • הדיווחים על פריצות היו לרוב לאתרים ומעט מהן התייחסו לפריצות ליעדים אחרים, דוגמת חשבונות פייסבוק.

מתקפות

  •  לא נרשמו עדויות לתאום התקפות מסוג מניעת שרות וזאת בניגוד בולט לארועים דומים בעבר. ההתייחסות היחידה היתה של הודעות מעת לעת על אתרי ממשל ישראליים שאינם זמינים, אולם ללא כל תאום מתקפה לפני כן, או נטילת אחריות ל"הפלת" האתר.

האקרים ישראלים

  • מלבד פעילות של Israeli Elite Force לא אותרה פעילות נוספת. גם פעילות זו היתה דלילה מהעבר והתרכזה בהדלפת מידע ובהשחתת אתר אחד.

השוואה למבצעים קודמים

  • ארועי מבצע זה היו דלים בהשוואה לאלו הקודמים;
    • ביוני 2014 הודלפו פרטי כ-900 כתובות דוא"ל של ישראלים.
    • באפריל 2014 בוצעה המתקפה השנתית שסביב תאריך ה-7 באפריל. ניתוח ארועים אלו מלמד שלפני שנה תועדו ארועים רבים נגד המגזר הממשלתי, לצד הדלפת מידע מאתרים אזרחיים רבים והשחתתם. גם בארועים אלו נרשמה תגובה מקומית מצומצמת וגם היא בדומה לזו שכעת, היתה בעיקר של Israeli Elite Force. גם במסגרת ארועי ה-7 באפריל 2014 הודלפו נתונים מאוניברסיטה ישראלית, אז היתה היעד אוניברסיטת בר-אילן. פעילות דומה נרשמה גם ב-28 ביולי 2011 נגד הכנסת ומתקפה נרחבת שתוכננה ל-5 נובמבר 2012.
    • במהלך יולי 2013 בוצעה מתקפה של האקרים ישראליים נגד יעדים מרחבי העולם תחת השם OpIslam, ארוע זה היה רחב יותר מבחינת מספר המשתתפים והיקף הפעילות הישראלית מזו שאותרה במהלך המבצע הנוכחי.
    • במהלך מבצעים קודמים נרשמה פעילות גם נגד בנקים ישראליים, פעילות שלא נמצאו לה עדויות הפעם.
    • במבצעים דומים בעבר נרשמה מעורבות של גורמים המזוהים עם תנועות טרור וג'האד עולמי, כפי שתועד באפריל 2013.

פירוט הארועים

הדלפת מידע

  • ב-28 במרץ פורסמה הודעה ובה רשימה המכילה לכאורה פרטי 77 כרטיסי אשראי של ישראלים, זאת כחלק ממבצע OpIsrael ותוך קריאה לעשות שימוש בכרטיסים אלו ולהעביר באמצעותם כספים לפלסטינים. הרשימה כוללת את פרטי המידע הבאים; מספר זהות בעל הכרטיס, שם פרטי ומשפחה, סוג הכרטיס, מספר הכרטיס, תאריך תפוגה, CVV. בדיקה מדגמית שנערכה על מספרי הכרטיסים לא העלתה כי אלו אוזכרו בעבר, כך שיתכן ואלו פרטי מידע שטרם נחשפו.
  • ב-30 במרץ פורסמה על ידי "OpIsrael 07.04.2015", רשימה הכוללת אתרים ישראליים בהם התגלו חולשות המאפשרות את פריצתם. הרשימה כוללת אתרי עיריות, מוסדות חינוך, רשויות ועסקים.
  • ב-31 במרץ התפרסמה הודעה וטענה בכותרתה ל-200 מספרי טלפון חשובים של גורמי ממשל בישראל. הרשימה כוללת למעלה מ-200 מספרי טלפון סלולריים בעלי קידומת של ישראל, אולם בדיקה מדגמית של חלק מהם גילתה כי מדובר במספרי טלפון השייכים לגורמים פרטיים ועסקיים בישראל אותם ניתן לאתר בדרכים גלויות ובכלל זה ברשתות החברתיות.
  • ב-2 באפריל פורסמה רשימה ובה טענה ל-4,655 כתובות דוא"ל וסיסמאות מוצפנות של ישראלים ובכללן מאות כתובות בעלות סיומת ac.il, org.il, gov.il. כחמישים רשומות ראשונות לקוחות מרשימה קודמת שפורסמה בינואר 2014, אולם בדיקה מדגמית של היתר לא איתרה מהן ברשימות קודמות. עם זאת, אותרו לפחות שתי כתובות סרק (cnrjka@pcjrjr.com, sample@email.tst) ושתי כתובות זהות (dvirmen@yahoo.com).
  • ב-2 באפריל פורסמה רשימה ובה 486 רשומות ובהן כתובות שמות משתמש, כתובות דוא"ל, סיסמאות מוצפנות וכתובות IP אשר נטען כי מקורה בשרתי חברת betagroup.co.il.
  • ב-3 באפריל פורסמה רשימה ובה טענה לפרטי 49 חשבונות פייסבוק של ישראלים שנפרצו. הרשימה כוללת כתובת דוא"ל וסיסמא.
  • באותו היום פורסמה רשימה נוספת ובה 240 פרטי דוא"ל וסיסמאות לכאורה של חשבונות פייסבוק. בהמשך כללה הרשימה פרוט אשר פורסם קודם לכן בהודעה אחרת באותו היום, וכן רשימה של 75 רשומות נוספות.
  • רשימה ובה למעלה מ-7,000 כתובות דוא"ל של ישראלים. הרשימה כוללת כתובות דוא"ל וסיסמאות לא מוצפנות וגם בה כתובות סרק דוגמת a@a.com (מספר פעמים) sc4@s.com, g@g.com, gdf@s.com, asa@aaa.com וכן המצאות כתובות כפולות, רשומות רבות החסרות דוא"ל או כאלה בהן מצויין במקום סיסמא – "לקוח קיים".
  • רשימה ובה כ-1,730 רשומות מידע על סטודנטים. הרשימה כוללת שם פרטי ומלא, מספר זהות, כתובת דוא"ל, מספר מזהה למחלקה, שם המחלקה, שנת לימודים.
  • ב-4 באפריל פורסמה רשימה ובה טענה ללמעלה מ-500 כרטיסי אשראי של ישראלים. זו כוללת 30 רשומות מפורטות, חלקה כבר פורסם בפברואר השנה וברשימה אחרת מ-OpIsrael 2014. יתר הרשימה כולל פרוט שלושה קבצים של פרטי אשראי, ככל הנראה של אזרחי ארה"ב.
  • באותו היום פורסמה רשימה נוספת ובה כ-2,800 רשומות הכוללת מספרי טלפון וכתובות דוא"ל, אולם גם כאן רשומות רבות מקורן בהודעות קודמות, לצד רשומות זבל ורשומות כפולות רבות.
  • פרסום פרטי שרת של "מרכז רפואה שיקום וסיעוד בית הדר".
  • רשימה ובה כתובות פיזיות ואינטרנטיות של משרדי ממשלה.
  • רשימה ובה 30 כתובות IP וסיסמאות.
  • רשימה ובה כ-50 רשומות של כתובות דוא"ל וסיסמאות, לכאורה גישה לחשבונות פייסבוק. בדיקה מדגמית העלתה חלק מהם במקורות קודמים.
  • רשימה ובה 52 כתובות דוא"ל וסיסמאות, לכאורה גישה לחשבונות פייסבוק. בדיקה מדגמית לא מצאה נוכחות מוקדמת לכך, אולם חלק מהרשומות כפולות.
  • רשימה ובה טענה ל-6,000 מודמים ישראליים שנפרצו.
  • רשימת כתובות אתרי אינטרנט של משרדי ממשלה, אמצעי תקשורת ואתרים עסקיים שונים.
  • רשימה ובה למעלה מ-300 כתובות דוא"ל וסיסמאות לכאורה של חשבונות פייסבוק. הרשימה מורכבת משלוש רשימות שונות ופורסמה ב-6 באפריל, אולם היא העתק מדויק של רשימה זהה אשר פורסמה שלושה ימים קודם לכן.
  • רשימה ובה פרטי חברי כנסת שלכאורה הודלפו מאתר הכנסת. בפועל הרשימה לא עדכנית וכוללת חברי הכנסת ה-18.
  • הודעה ובה שם משתמש וסיסמא של עיתון 'הארץ'.
  • מבנה האתר engiep.theory.org.il
  • רשימה ובה פרטי 21 כרטיסי אשראי, חלקם כפולים.
  • רשימה ובה פרטי 8 כרטיסי אשראי.
  • רשימה ובה טענה ללמעלה מ-700 כתובות דוא"ל. בדיקה מדגמית העלתה כי מרביתם לא פורסמו בעבר, אולם מדובר בהרשאות כניסה לאתר שנפרץ ולא בסיסמאות של תיבות הדוא"ל. חלק מהרשומות התגלו ככפולות.
  • רשימה בת ארבעה חלקים ובה טענה ל-30,00 כתובות דוא"ל, מדובר בהרשאות כניסה לאתר שנפרץ ולא בסיסמאות של תיבות הדוא"ל;
  • קובץ ובו טענה ל-150,000 פרטי מידע בקובץ מכווץ הכולל 16 קבצי txt הנושאים את השם "‪#‎op_Israel_7_4_2015‬ govil 1.txt" עד "‪#‎op_Israel_7_4_2015‬ govil 15 .txt". בהמשך פורסמה רשימה ובה הפניות לקבצים שונים הממוספרים OpIsrael1 – OpIsrael 21.
  • רשימה ובה הפניות לעשר רשימות נושאיות אחרות ובהן טענה למידע שהודלף ומבני בסיסי נתונים.
  • רשימה ובה כ-4,700 כתובות דוא"ל. עיון ראשוני מגלה רבות מהן מרחבי העולם ללא קשר בהכרח למשתמשים ישראליים.
  • רשימה ובה 2,143 כתובות דוא"ל. כמבקרים רבים אחרים הרשימה מהווה ככל הנראה מאגר רישום לאתר שנפרץ ולא סיסמאות לחשבונות דוא"ל. בין כתובות הדוא"ל ניתן למצוא; 1uhbn,
  • adf     aef, uys[uuyu@musah, funfun101, godibob@orangi, Lihi.badur.co.il, .to1..@ 012.net . il ואחרות.
  • רשימה ובה כ-300 כתובות דוא"ל השייכות לכאורה ל-Gov.il, משרד החוץ, המשרד לקליטת עליה, המוסד (5 כתובות אשר 3 מהן הופיעו בכתבה על כתובות "מוזרות" כבר במרץ 2013, אלו הופיעו גם בהודעת פייסבוק מיולי 2014), משרד הבריאות, משטרת ישראל, בנק ישראל.
  • רשימה ובה כ-810 כתובות דוא"ל וסיסמאות. גם רשימה זו היא של פרטי גישה של משתמשים רשומים לאתר ולא סיסמאות גישה לכתובות הדוא"ל עצמן. כמבקרים רבים אחרים, גם כאן כתובות משוכפלות (surpris@netvision.net.il, nir@ischool.co.il) וכן כתובות זבל שונות (AA@dd.com, JJJ@FGFG.MOM ,nnn@wae.il).
  • הודעה מה-8 באפריל ובה הפניה לרשימה ובה 31 כתובות דוא"ל וסיסמאות אשר לכאורה הודלפו ממשטרת ישראל. בדיקה העלתה כי אלה פורסמו כבר ביולי 2014 כחלק מרשימה גדולה יותר.

השחתת אתרים

  • פריצה והשחתת אתרים עסקיים שונים ובכללם; News.co.il, פורטל המקינטוש של ישראל, אתר חברת הונדה.
  • רשימה ובה כעשרים אתרים אשר הושחתו (חלקם במצב זה גם לאחר כשבוע ימים) ובהם אתר מפלגת מר"צ. בשעות הערב של ה-4 באפריל פורסמה הודעת טוויטר לפיה אתר האינטרנט של מפלגת מר"צ הושחת;

Capture

פריצה

  • פריצה למספר חשבונות פייסבוק (כלילא רדיאנו, Eva Oster, ביטוח בריאות פרטי)
  • ב-4 אפריל פורסמה הודעה בחשבון פייסבוק המזוהה עם AnonGhost ובה הטענה כי הם תורמים כספים אשר נגנבים מישראלים באמצעות גנבת פרטי האשראי שלהם. זאת לצד דיווחים לפיהם הזכום שנגנב והועבר בדרך זו לארגוני פלסטיניים עומד על 18 אלף דולר.Capture90
  • רשימה ובה 47 אתרים שנפרצו.
  • רשימה ובה כמאה אתרים מסחריים שונים אשר נטען כי נפרצו.
  • רשימה ובה כ-90 אתרים מסחריים שונים אשר נטען כי נפרצו.
  • הודעה ובה סרטון המתעד לכאורה פריצה לחשבון הפייסבוק של רס"ן אביחי אדרעי מדובר צה"ל (בדיקת החשבון וברור הנושא העלו כי לא בוצעה כל פריצה).

מתקפות

האקרים ישראלים 

  • כמענה לפעילות שהחלה להווצר במסגרת OpIsrael 2015 פורסם ב-12 במרץ סרטון בשם "Israel Message To Anonymous 7 April 2015 #Op_israel" ובו אזהרה לכאורה מאת האקרים ישראלים לכל אותם אלו העתידים לתקוף את ישראל, תוך איום בפגיעה בפעילות המקוונת של גורמים ערביים ופלסטיניים וכן אלו הקשורים ב'אנונימוס'.
  • רשימה ובה טענה להדלפת מידע מאתר ממשלתי פלסטיני (לא צויין המקור). הרשימה כוללת שם, מספר טלפון, מקום עבודה, כתובת דוא"ל, כתובת פיזית.
  • פריצה לאתר הרשות לאיכות הסביבה של הרשות הפלסטינית, הדלפת פרטי משתמשים באתר והשחתתו;Capture1
  • הודעה ובה פרטי גישה של שני תושבי טייבה ובקה אל-ע'רביה מאתר eranit.co.il המספק "שירות התחייבות לפירעון צ'קים".
  • הודעה על פריצה לאתר הסורי documents.sy (אינו פעיל) והדלפת עשר רשומות. במרץ 2014 דווח כי "הצבא הסורי האירופי" פרץ לאתר זה והדליף את מבנה בסיס הנתונים ומידע ממנו.
  • הודעה על פריצה לאתר של "השער להכשרה טכנולוגית בפלסטין" והדלפת כארבעים רשומות.
  • הודעה על פריצה לאתר ממשלתי פלסטיני לחיפוש עבודה והדלפת מבנה בסיס הנתונים ומספר רשומות.
  • הודעה על פריצה לאתר רשות המיסים הסורית והדלפת כ-1,600 רשומות. בנובמבר 2014 דווח כי גורמים המזוהים עם 'אנונימוס' טענו לפריצה לאתר זה ולהדלפת מידע ממנו. יתכן והדיווח הנוכחי נסמך על ההדלפה הקודמת.
  • הודעה על פריצה לאתר האוניברסיטה לחינוך ולמדעי העולם האסלאמי המצויה בירדן, תוך פרסום מבנה בסיס הנתונים וחלק מתכולתו.
  • הודעה על פריצה לאתר חברת התקשורת הפלסטינית Call U, תוך שינוי פרטי הגישה לנתבים.
  • הודעה על פריצה לאתר חברה מאיחוד האמירויות בשם Trakker (האתר אינו פעיל) והדלפת פרטי הגישה של מנהל המערכת.
  • הודעה על פריצה לאתר "הגוש לשינוי ורפורמה – המועצה המחוקקת הפלסטינית" והדלפת פרטי גישה של מנהלי המערכת וכ-160 רשומות מידע. המידע הקריא היחיד הוא כתובת הדוא"ל.
  • הודעה על פריצה לאתר החדשות הסורי Syria Now והדלפת מבנה בסיס הנתונים, תוך הפניה לקובץ ובו טענה לפרטי למעלה מ-8,000 כתובות דוא"ל. אולם כבר בנובמבר 2013 ובמרץ 2014 נדונו פריצות לאתר זה.
  • הודעה על פריצה למספר מאגרי מידע ברשות הפלסטינית וברצועת עזה. זו כוללת את המידע הבא, כמצוטט מההודעה עצמה;
    • "מסד נתונים נתונים המכיל את כל תושבי רצועת עזה והרשות הפלסטינית (כ-4 מיליון רשומות)"
    • "מסמך המכיל 58,125 רשומות המכילות מידע פרטי אודות תושבי הרשות הפלסטינית"
    • "מסמך המכיל 36,795 רשומות המכיליות מידע אישי אודות תושבי הרצועה"
  • הודעה על פריצה לאתר Bahria בפקיסטאן, תוך הדלפת פרטי מנהל המערכת ושמות 341 אנשים מבסיס הנתונים, לצד תאריך ההרשמה. קבוצה זו פרצה מספר פעמים בעבר לאתרים פקיסטאניים ובכלל זה באפריל 2013, ואף לאתרי חינוך במדינה.
  • טענה לחשיפה של גורם אשר לכאורה מעורב בתקיפות המקוונות נגד ישראל. גם במאי 2013 פורסמה על ידם הודעה בדבר חשיפת פרטיו לכאורה של האקר פקיסטאני.
  • הודעה על פריצה לאתר בשם "Municipal Development and Lending Fund" של הרשות הפלסטינית, תוך הדלפת כ-190 רשומות ובהן שם משתמש, מספר טלפון, שם פרטי ומשפחה, שם הישוב, כתובות דוא"ל.