הרשות הלאומית להגנת סייבר סיכלה בימים האחרונים מתקפת סייבר מתוחכמת ורחבת-היקף על גופים ממשלתיים וחברות תעשייתיות בישראל - כך אמרו היום (ד') במטה הסייבר הלאומי שבמשרד ראש הממשלה.
המתקפה זוהתה כבר ביום חמישי שעבר, כשברשות הצטברו עדויות שמצביעות על הודעות דואר אלקטרוני חשודות שהגיעו לכ-120 גופים גדולים במשק, ובהם משרדי ממשלה, מערכת הבריאות, מרכזים אקדמיים, חברות תעשייתיות ומשתמשים פרטיים. בשונה מניסיונות תקיפה אחרים שהופנו בעבר כלפי גופים ישראליים, התקיפה נעשתה תוך ניסיון להחדיר לרשתות ארגוניות תוכנות זדוניות ש"רוכבות" על תכתובות אותנטיות של דואר אלקטרוני.
המשמעות היא שתוכנות אלה הוחדרו לרשתות המחשב של אותם ארגונים, תוך שהן "מתחפשות" להודעות דואר אלקטרוני תמימות שמועברות באמצעות חליפת מסרים בין אנשים או ארגונים שמכירים אחד את השני, ולפיכך אין לכאורה סיבה לחשוד במקור ההודעה המתקבלת.
"יש לתקיפה כזאת כמה מטרות", אמר היום ל"גלובס" ראש אגף בכיר למשק במטה ברשות להגנת סייבר, רפי פרנקו: "שיבוש מידע שמאוחסן במחשבים, לרבות ראיות, מסמכים ונתונים, מחיקת מידע והדלפה של מידע למקורות אחרים".
עם גילוי המתקפה החריגה בהיקפה ובתחכומה, הצליחו אנשי הרשות לכתוב בתוך זמן קצר קוד מיוחד שמהווה "חיסון" לתוכנה הזדונית. עם זאת, אין הכרח שהוא יתאים למתקפות עתידיות שיופנו כלפי אותן רשתות: "אפשר להניח שהתוקף לא ירפה וינסה לתקוף ולפגוע בנו שוב", אמר פרנקו.
ה"חיסון" הופץ בין כ 12- הגופים שאליהם נשלחו הודעות הדואר האלקטרוני החשודות, וברשות להגנת סייבר אומרים כי באותן רשתות לא נגרמה פגיעה זולת שלושה משתמשים פרטיים שהותקפו גם כן, אך לא ידעו על כך ונחשפו לפרט המטריד רק לאחר שקיבלו טלפון בהול מנציגי הרשות.
פרט מטריד נוסף שנחשף בימים האחרונים במסגרת חקירת מתקפת הסייבר נוגע לרמת האבטחה שהונהגה בחברת טכנולוגית בורסאית שגם היא היוותה יעד מצד התוקפים: "מדובר בחברה טכנולוגית בורסאית שהיא בפירוש לא חברה קיקיונית, ונמצא שרמת ההגנה שלה הייתה מאוד נמוכה", אמר פרנקו ל"גלובס", "אנחנו מצפים מחברות טכנולוגיות בסדר גודל כזה לנקוט באבטחה גבוהה יותר".
בעקבות גילוי המתקפה, הרשות להגנת סייבר פתחה בחקירה בניסיון להתחקות אחר מקורה. ברשות אמרו היום כי על פי היקף התקיפה ותחכומה ככל הנראה הגורם התוקף הוא ארגון שמחזיק ביכולות מתוחכמות, ושם לא שוללים אפשרות כי מדובר בארגון שמאחוריו עומדת מדינה.
בימים האחרונים הפיצה הרשות הוראות התגוננות מיוחדות למוסדות ולגופים ישראליים שפועלים במגזרים השונים, כדי להעמיד להם את הכלים לזהות מתקפה כזאת, להתמודד איתה ולמזער נזקים. בעקבות אותה תקיפה, גם חברת מיקרוסופט הוציאה עדכון אבטחה חשוב שמונע את חדירת התוכנה הזדונית וברשות להגנת סייבר פרסמו המלצה להתקין את העדכון בהקדם.
חלק מהחברות שהיוו כתובת למתקפת הסייבר פנו במהלך הימים האחרונים לחברת MADSEC שמספקת שירותי ייעוץ, אבטחת מידע ועוסקת בחקירת פשעי מחשב. הבעלים של החברה, דורון סיון, אמר היום ל"גלובס" כי בדיקה מקיפה אחר מקור התקיפה הובילה לכתובת IP שמקורה במזרח אירופה: "בדיקה שעשינו העלתה שמדובר בתוכנה זדונית הנשלחת לחברות ומסמנת מידע המסווג כרגיש או קריטי - ומוציאה אותו משם לכתובות IP אחרות שנמצאות מחוץ לישראל".
לדברי סיון, "לפחות בחלק מהארגונים דלף בעקבות תקיפה זו מידע עסקי רגיש. זה אומר שגם מידע רגיש מחברות שעוסקות בפיתוח דלף החוצה. מדובר בסוג מאוד מתוחכם של סוס טרויאני, וזו מתקפת סייבר ברמה גבוהה מאוד".
לתשומת לבכם: מערכת גלובס חותרת לשיח מגוון, ענייני ומכבד בהתאם ל
קוד האתי
המופיע
בדו"ח האמון
לפיו אנו פועלים. ביטויי אלימות, גזענות, הסתה או כל שיח בלתי הולם אחר מסוננים בצורה
אוטומטית ולא יפורסמו באתר.