מתקפת הסייבר | עדכונים שוטפים |

השב"כ: גל תקיפות הסייבר נמשך אך רמת האירועים נמוכה

משרד האוצר: המתקפות היתה גדולות מאלו שבוצעו בזמן עמוד ענן, אך אתרי ממשל זמין לא נפרצו או הושחתו

שתפו כתבה במיילשתפו כתבה במייל
שתפו כתבה במיילשתפו כתבה במייל
מעבר לטוקבקים

מתקפת ההאקרים המובטחת על ישראל החלה כבר שלשום, אך עד כה לא הצליחו התוקפים לשבש משמעותית את פעילות הרשת ובוודאי שלא "למחוק את ישראל מהאינטרנט" כפי שציפו. הנזק העיקרי מסתכם בינתיים בפגיעה באתרים, רובם זניחים, והשבתת אתרי ממשלה לזמנים קצרים. 

22:38 מבקר המדינה, השופט בדימוס יוסף שפירא, החליט לבדוק את נושא האבטחה הפיזית של שרתי פרויקט תהיל"ה – תשתית האינטרנט של משרדי הממשלה. זאת בעקבות תחקיר התוכנית "צינור לילה", לפיו השרתים מאוחסנים באתר בעל רמת אבטחה נמוכה יחסית וחלק ניכר מהמידע אינו מגובה.

21:17 בחשבון טוויטר המשוייך למתקפה נטען כי המתקפה הביאה להפלת יותר מ-100 אלף אתרים, פריצת 40 אלף חשבונות פייסבוק ו-5,000 חשבונות טוויטר. התוקפים טוענים כי הנזק נאמד ב-3 מיליארד דולר. מלבד זאת הם פרסמו רשימה של אתרי פורנו ישראלים שנפרצו.

20:02: ראש מטה הסייבר במשרד ראש הממשלה, ד"ר אביתר מתניה, ציין הערב כי "למתקפת הסייבר האחרונה היתה השפעה מעטה על הרציפות התפקודית של מערכות התקשוב והנזק היה מינימלי". במטה הסייבר מציינים כי גודל ההתקפה עצמה היה כמו בעת מבצע "עמוד ענן", והתמקדה במניעת גישה לאתרים.

17:49: ההאקרים שתקפו את ישראל דיווחו על מה שנראה כמו הצלחה יחסית ראשונה. התוקפים פרסמו רשימה של אלפי משתמשים באתר atrade.co.il, המאפשר לגולשים לסחור במטבע חוץ. מרק פרגמנשציק, אחד מבעלי הפרטים שפורסמו, אישר בפני "הארץ" כי מדובר בפרטים אמיתיים. לדבריו, הפרטים כוללים את שם המשתמש והסיסמה כמו גם כתובת אימייל. הוא הוסיף כי לא נכנס זה זמן רב לחשבון זה.

פרגמנשציק סיפר עוד כי נעשה ניסיון לפרוץ את תיבת המייל שלו, ככל הנראה, בעזרת המידע מהרשימה. הוא ציין עוד כי ניסיון הכניסה נעשה מהונגריה, אבל ייתכן שהוא נעשה בידי בוט, כלומר מחשב שנשלט מרחוק בידי תוקפים.

יש לציין כי רבים מהפרטים שפירסמו התוקפים במקרים אחרים היו ממוחזרים, מנופחים או מוטעים. רק היום פורסם בחשבון טוויטר הקשור לתוקפים מספר טלפון עליו נטען כי הוא שייך לאשת ראש הממשלה שרה נתניהו. ואולם מבדיקה קצרה שביצע איציק אדרי דובר ויקימדיה ישראל עולה כי זה אינו המספר שלה.

מחחברת Atrade נמסר בתגובה כי "כחלק ממהלך הפגיעה באתרים ישראלים נחשפה רשימת נתונים ישנה של החברה שכללה נתוני גישה אשר אינם רלוונטיים. חשוב לציין, כי אף לקוח לא ניזוק מהאירוע. ATRADE אשר מקפידה על נהלי אבטחת מידע מהטובים בעולם, דואגת להחליף את נתוני הגישה של לקוחותיה באופן תקופתי, מה שמנע את הפגיעה בלקוחות הקצה".

16:00 בשל ההתקפה על "הארץ" חלים שיבושים באתר. 

14:26  רוני בכר, מנהל תחום תקיפה וסייבר באבנת אבטחת מידע: "אני לא שותף לזלזול הגורף בתקיפה הזו. בהחלט היתה כאן פעולה מאוד ממוקדת ונרחבת.

"עיקר הפגיעה היתה בחברות הוסטינג שלא ביצעו מינימום הכרחי של עבודת אבטחת מידע ובאנשים פרטיים שפשוט התעלמו מהנחיות ברורות למודעות, ערנות, החלפת סיסמה והימנעות מקבלת קבצים ולינקים ממקורות שאינם מזוהים.

"נכון לשלב זה, בקבוצת הדיון המחתרתית של ההאקרים, ישנה פעילות של 670 תוקפים שבעיקר מנסים לרכז מאמץ בתקיפה על אתר 'הארץ' מתוך מחשבה שמדובר בציר מרכזי של מדינת ישראל".

13:52 ממשרד האוצר נמסר כי יחידת ממשל זמין בתקשוב הממשלתי במשרד האוצר התמודדה בימים האחרונים עם מתקפות של מניעת שירות מבוזרות (DDos) בהיקפים גדולים יותר מאלה שבמהלך מבצע עמוד ענן, ופעלה להגנת אתרי הממשלה שנמצאים תחת פיקוחה.

חשוב להדגיש, כי אתרים שבאחריות ממשל זמין לא נפרצו, לא הושחתו ולא נגרם להם נזק כלשהו, לרבות חשיפת מידע. ביום ראשון בבוקר נפרצו שני אתרים שלא מאוחסנים בממשל זמין: אתר המכון וולקני ואתר הקרן לשיקום מחצבות. מיד עם גילוי ההשחתה, אתרים אלו הורדו מרשת האינטרנט.

13:50 השב"כ: גל תקיפות הסייבר עדיין נמשך, אך עד כה רמת האירועים נמוכה ולא נגרם נזק לאתר או לשירות לאזרח באתרי ממשל זמין. בשב"כ מוסיפים כי הכוננות נמשכת.

10:11 דובר הכנסת מבקש להבהיר כי אתר האינטרנט של הכנסת לא הופל בשום שלב והאתר פועל כסדרו למרות שהיו ניסיונות לפגוע בו כמו גם באתרים אחרים. זאת, בין השאר, הודות לצעדי מנע רבים שננקטו במהלך אתמול והלילה.

21:45 מחברת קומסק נמסר כי במהלך היום נצפתה עליה משמעותית בפניות לאתרים ישראליים, עם זאת, הם גילו יכולת עמידה ראויה אל מול מתקפות מרובות אך בעלות רמת תחכום נמוכה משלל גורמים ברחבי העולם. יחד עם זאת, ניתן היה למצוא גם התקפות מסוג שונה של השחתה אשר הפילו כמה מאות של אתרי עסקים קטנים אשר רמת ההגנה עליהם נחשבת לנמוכה מה שאפשר את הצלחת המתקפה.

לבסוף, יצויין שאמנם פורסמו מספר מסמכים המעידים, כביכול, על דלף מידע של פרטים אישיים מאתרי ממשל ומספרי כרטיסי אשראי שהודלפו, אך עד כה מידע זה התגלה כלא נכון ברובו המכריע. כנראה זהו מחזור של חומר ישן שהופץ בעבר על ידי האקרים.

לאור העובדה "שישראל לא נמחקה מהאינטרנט" כפי שהובטח לנו ע"י ההאקרים, הערכתנו היא כי ההאקרים ינסו לכבוש מטרות "איכותיות" ככל שהשעות ינקפו אל תוך הלילה ואף מחר, בכדי לא להשאיר את המערכה ללא נצחון משמעותי כלשהו ולכן כנראה שימקדו את המתקפה שלהם באתרים קטנים ובלתי מוגנים.

מארק גפן, סמנכ"ל פיתוח עסקי בחברת אינקפסולה המציעה שירות פיירוול בענן, סיפר כי למרות שחלק ניכר מההתקפות היו מתקפות DDoS פשוטות, הם הבחינו בכמה עשרות אתרים שהותקפו בשיטות יותר מתוחכמות כמו מתקפות אפליקטיביות, שנועדו לאו דווקא לסתימת "צינורות" אלא לפגיעה באפליקציות שמופעלות בשרת כמו חיפוש. התקפות אלה נועדו לפגוע במשאבי החישוב של השרת.

האזינו לשיר ההאקרים - "האקר האקר תל אביב":

20:16 האקרים פרסמו שמות וכתובות מייל של לקוחות של אתר avg-israel.co.il. מחברת AVG נמסר כי מדובר במפיץ מקומי. מהאתר עצמו נמסר כי הרשימה שפורסמה כלל אינה קשורה לאתר. AVG העולמית יצרה קשר עם בעל האתר והיא עורכת בדיקה עצמאית שלו, בשל החשש שבוצעה פריצה.

19:35 מהחמ"ל אותו מתפעל הפורום הישראלי לאבטחת מידע בתיאום עם המטה הקיברנטי הממשלתי ואיגוד האינטרנט נמסר כי ההתקפה היתה גדולה בהרבה ממה שהכרנו בעבר, ואולם ההצלחות שלה היו מינימליות.

אבי וייסמן, מנכ"ל חברת שיא סקיוריטי, שאחראית לתפעול החמ"ל, העריך כי המתקפה היתה גודלה בערך פי 10 ממה שאירע בתקופת עמוד ענן. ואולם, במגזר העסקי והממלכתי הותקפו רק כמה מאות אתרים. "יחסית למה שהייתי מצפה מהתקפה כזו זה כלום. מתוכם ההצלחות הן ברמה עוד יותר נמוכה. פחות מ-100 אתרים קטנטנים ועוד כ-15 ארגונים גדולים נפגעו לפרקי זמן של דקות ספורות ועד כמה שעות. מתוכם רק שניים או שלושה נפגעו לזמן ארוך". בהם אתר משרד החינוך שנפל בלילה ולא היה זמין ואתר התעשייה הצבאית.

"אפשר לומר שההתקפה היתה חזקה מכל התקפה בה נתקלנו בעבר. למרות זאת, היא היתה מפתיעה בחולשתה האיכותית ואנחנו צופים שההתקפה הבאה תהיה חזקה בהרבה גם איכותית וגם כמותית", הוסיף.

"לא כל אתרי הממשלה הושיבו את אתרי האינטרנט שלהם אצל תהיל"ה, וזה אחד הלקחים", אמר וייסמן. "מי ששם את האתר בתהילה זכה להגנה מוגברת". הוא מתח ביקורת חריפה גם על כללי החשב הכללי של האוצר שלדבריו "מכוונים במכרזים למחיר הנמוך" ולא למומחי אבטחה בעלי הידע, "בחלק ממשרדי הממשלה יש בעיה חמורה של ידע מקצועי", אמר.

19:00 מהאוצר נמסר שוב כי  אתרי הממשלה נמצאים תחת מתקפות של מניעת שירות מבוזרות (DDoS).

"יחידת ממשל זמין בתקשוב הממשלתי ממשיכה לפעול להדיפת המתקפות ונוקטת בין השאר בפעולות יזומות כגון, ניתובי תקשורת וטיפול בהתקפות מניעת השירות וזאת בתיאום עם ספקיות האינטרנט. צפויה האטה ואי זמינות בשירות מעת לעת".

18:15 רוני בכר מנהל תחום תקיפה וסייבר באבנת אבטחת מידע מסר כי בשעות האחרונות מתגבר היקף פרסום ההישגים של קבוצות התוקפים. מרשימות הכוללות עשרות אתרים ועשרות חשבונות פייסבוק, אנחנו מקבלים בכל כמה רשומות עם מאות אתרים, מאות חשבונות פייסבוק פרוצים ואפילו אלפי כרטיסי אשראי הכוללים כתובות מלאות של בעליהן. חשוב לציין כי בשלב הזה לא מבוצע תחקיר על כל קובץ ורשימה כך שלא ניתן לומר בוודאות כמה מכרטיסי האשראי אכן פעילים.

17:35 דף פייסבוק המתחזה ל-ynet מופץ בפייסבוק ומוביל גולשים לאתר בכתובת ynetmcojf09ujfjk.kef.li. הוא מוביל ככל הנראה לאתר פישינג שמנסה לגנוב את פרטיכם. אם נתקלתם בדיווח כמו בתמונה שמצורפת לכתבה אל תלחצו על הלינק.

16:53 משרד התמ"ת לא היה זמין במשך כשעה. מהמשרד נמסר כי לא הותקף כלל ולא הופל אלא סבל מתקלה טכנית.

16:35 ממשרד האוצר נמסר כי אתרי הממשלה נמצאים תחת מתקפות של מניעת שירות מבוזרות (DDos). במסגרת זו אתר משרד החוץ לא היה זמין ברשת למספר שניות וחזר לפעולה תקינה. יחידת ממשל זמין בתקשוב הממשלתי ומטה הסייבר הלאומי פועלים להדיפת המתקפות ונוקטים בין השאר בפעולות יזומות כגון, ניתובי תקשורת וטיפול בהתקפות מניעת השירות וזאת בתיאום עם ספקיות האינטרנט. צפויה האטה ואי זמינות בשירות מעת לעת.

13:02 התוקפים מבצעים מתקפה כנגד אתר יד ושם, כך עולה משיחה בצ'ט שלהם ומדיווח של חברת האבטחה אבנת. עם זאת, האתר עדיין באוויר (גם 50 דקות לאחר הדיווח הראשוני). אבנת מסרה עוד כי עד כה איתרה כמה מקרי דליפת מידע מאתרים גדולים אבל הרוב המכריע של המתקפות מתמקד באתרים קטנים ולא מוגנים היטב.

12:40 עד עתה הותקפו בין 300 ל-600 אתרים, כך נמסר מחמ"ל אותו מתפעל הפורום הישראלי לאבטחת מידע בתיאום עם המטה הקיברנטי הממשלתי ואיגוד האינטרנט. מאתמול בלילה מתפעלים עשרה מתנדבים את החמ"ל ומנטרים את פעילותם של האתרים הגדולים בישראל. עד עתה מדווח החמ"ל שכ-15 אתרים ממשלתיים הושבתו, חלקם לזמן קצר, ביניהם אתר משרד החינוך, חלקים מאתר משרד התמ"ת, חלקים מאתר מנהל מקרקעי ישראל ואתר הלמ"ס.

אבי וייסמן, מנכ"ל חברת שיא סקיוריטי, שאחראית לתפעול החמ"ל, ציין בשיחה עם TheMarker כי עיקר ההתקפות בוצעו בין השעה 2 בלילה לשעה 6 בבוקר. למשך פרק זמן של דקות הופל אתר משרד הביטחון ואתר דובר צה"ל. אתר הרשות לניירות ערך הופל למשך שעתיים במהלך הלילה. לפי פרסומי אנונימוס שני מאגרי מידע נפרצו, אחד מהם של משרד התמ"ת, אך הפרסום לא אומת עד כה. לעומת זאת, פרסום של אנונימוס על השגת סיסמת הכניסה של מנהל רשת באתר לרשות ני"ע אומת, אך טרם ברור האם הסיסמה היתה בתוקף כשדלפה. כזכור, ברשות דחו את הדיווח.

12:14 מדוברות האוצר נמסר:‬ נכון לשעה 12:00, אתרי ממשלת ישראל זמינים לציבור כפי שהיו זמינים לאורך כל סוף השבוע. אתר משרד החינוך לא היה זמין במהלך סוף השבוע בשל תקלה טכנית שתוקנה.‬

11:18 גורם במשרד הביטחןן אישר כי אתר המשרד הופל לפנות בוקר למספר דקות אך שב לפעילות סדירה לאחר מכן. ניסיונות נוספים לפרוץ לאתר נכשלו.

11:15 מאחת מספקיות האינטרנט נמסר להארץ כי הם חשים בעלייה משמעותית במתקפות על אתרים ביחס ליום רגיל. "אבל בשלב הזה אנחנו מתמודדים עם זה בהצלחה".  אחת מספקיות האינטרנט הקטנות בארץ, שמשמשת גם כאחד משירותי הענן הגדולים בארץ, מסרה כי "אנחנו כרגע לא מרגישים את המתקפה במלוא עוזה, אבל יש עלייה קלה בהתקפות. בינתיים אנחנו מתמודדים איתן וצופים שהן יתחזקו במהלך היום".

11:05 מארק גפן, סמנכ"ל פיתוח עסקי בחברת אינקפסולה, סיפר כי הם לא מבחינים בשעה זו שום פעילות חריגה באתרים שהם מנטרים. אינקפסולה מפעילה שירות של פיירוול בענן לכמה אלפי אתרי אינטרנט בישראל. מאתרים אישיים ועד מוסדות גדולים בישראל כמו בנקים וחברות ביטוח ואתרי ממשלה.

10:17 ספקיות האינטרנט מדווחות כי הן מותקפות בשעה זו וצפויים שיבושי גלישה קשים לאתרים בישראל בשעות הקרובות.

9:55 האקרים פרסמו רשימת כרטיסי אשראי ואימיילים מאתר israelmilitary.com. באתר טוענים כי לשמות, לכתובות האימייל ולמספרי כרטיסי האשראי אין כל קשר אליהם.

9:30 חשבון טוויטר המקושר לאנונימוס דיווח כי כוחות צה"ל בגדה מבצעים מעצרים של האקרים. דובר צה"ל דחה את הדיווח.

8:30 אתר "וואלה" דיווח הלילה כי ההאקרים הצליחו להפיל את אתר ראש הממשלה ושורה של אתרים נוספים ובהם אתר משרד הביטחון, אתר משרד החינוך, אתר המשרד לאיכות הסביבה, אתר התעשייה הצבאית, אתר הלשכה המרכזית לסטטיסטיקה. במשרד האוצר דחו את הטענה. האתרים המדוברים פועלים כעת.

00:00 האקרים טוענים כי הפילו את אתר המוסד, והם הציגו שני צילומי מסך משני דפדפנים שונים כראיות לכך. בשעות הבוקר האתר פעל כסדרו. עוד נטען כי ההאקרים הדליפו פרטים של סוכני מוסד. ואולם כבר בחודש שעבר היו טענות דומות, ונראה שזהו מחזור של חומר ישן. כפי שצויין כבר אז ב-middleeast-internet-monitor.com, מדובר ככל הנראה בפרטים של ישראלים, אבל קשה מאוד להאמין שמדובר בפרטי סוכני מוסד.

למחוק את ישראל מהרשת

התוקפים, שמבקשים למחות על מדיניות ישראל בעזה ובגדה, איימו כמה פעמים למחוק את ישראל מהאינטרנט. "כפי שגופי מדיה מרכזיים רבים יודעים, ישראל הפרה את הפסקת האש מה-21 בנובמבר בתקיפות אוויריות בצפון עזה. מה שגופי חדשות אלה לא הרשו לכם לדעת הוא שישראל הפרה את הפסקת האש יותר מ-100 פעמים, הרגה יותר מארבעה פלסטינים בעזה ופצעה עשרות מה-21 בנובמבר ועד היום", כתבו בהודעתם.

"לממשלת ישראל: את לא הפסקת את ההפרות הבלתי נגמרות של זכויות אדם. את לא הפסקת את ההתנחלויות הבלתי חוקיות. את לא כיבדת את הפסקת האש. את הוכחת שאת לא מכבדת את החוק בינלאומי. לכן, ב-7 באפריל, יחידות עלית מיוחדות מכל העולם החליטו להתאחד כאקט של סולידיות עם העם הפלסטיני נגד ישראל, כדי לפגוע ולמחוק את ישראל מהרשת".

את המתקפה שעליה הוכרז כבר בחודש שעבר יזם האקר ותיק בעל הכינוי AnonGhost. אליו הצטרפו קבוצות כמו V!rus No!r, Gaza Hacker Team ו-Mauritania Attacker700. המארגן AnonGhost התפאר בפני אתר Hacker Post בחודש שעבר כי "זה יהיה המבצע הגדול ביותר שאי פעם בוצע נגד מדינה. זה יהיה ענק". ההאקרים הפיצו שורה של רשימות של אלפי אתרים שנועדו להתקפה בהם בין היתר אתרי ממשל אך גם אתרים נוספים.

מומחי אבטחה שונים הסבירו ל"הארץ" לפני תחילת המבצע שצפויות בעיקר מתקפות מניעת שירות מבוזרת (DDoS) - כלומר הפלת והשחתת אתרים על ידי הפצצתם במידע אך גם מתקפות נוספות, כמו חשיפת הפרטים על ידי חדירה למאגרי מידע כמו גם החדרת קוד לאתרים תמימים (SQL Injection). "אלה לא האקרים מתוחכמים שממציאים תקיפות 0day (פירצה שלא היתה ידועה קודם לכן). הם רק ממחזרים כלים קיימים על המדף", אמר בחודש שעבר רביב רז, מנכ"ל חברת הייבריד סקיוריטי.

המתקפות להפלת אתרים מבוצעות באמצעות רשת של מחשבים של משתמשים תמימים שעליהם השתמשו ההאקרים - מה שמכונה בוטנט. מומחי אבטחה ציינו כי מתקפת ה-DDoS עשויות להיות חמורות במיוחד אם הן מבוצעות ממחשבים שעליהם השתלטו ההאקרים בתוך ישראל. זאת מפני שרוחב הפס שעומד לרשותם ביחס למחשבים אחרים בישראל גדול יחסית מאשר מחשבים מרוחקים, כמו כן הדבר עשוי להקשות על חסימתם. דברים דומים כתבו האקרים בצ'ט של Opisrael (שם המבצע). האחד כתב "אנחנו צריכים להיות בוטנט מתוך ישראל", ואחר השיב לו "אל תדאג, אנחנו תוקפים מתוך ישראל".

בממשל זמין מסרו כי הם נערכים למתקפה בשיתוף גורמי הביטחון והמודיעין. בצה"ל אמרו כי באגף התקשוב, האמונים על הנושא בצבא מקיימים הערכות מצב שוטפות, בין היתר עם ארגונים כמו תהילה ורא"ם (הרשות לאבטחת המידע) העוסקים בתחום הקיברנטי.

תגובות

הזינו שם שיוצג באתר
משלוח תגובה מהווה הסכמה לתנאי השימוש של אתר הארץ