להפיל את האתר ולברוח: מתקפות סייבר בשיטה ישנה ואפקטיבית מתרחבות

מתקפת סייבר לא צריכה להיות מתוחכמת כדי להצליח לעורר פאניקה, כך ראינו השבוע סביב המתקפה על חברות התשלומים והסליקה HYP וקרדיט גארד. עסקאות אשראי רבות נבלמו למשך מספר שעות, שכן תוקפים המזוהים עם איראן השביתו את הפעילות לשירותי הסליקה של קרדיט, בעזרת תקיפת סייבר חזקה ופשוטה. בשביל להבין מדוע מתקפות מניעת שירות הן יעילות, צריך להבין מה המניעים והאינטרסים של אויבי מדינת ישראל. 

● מתקפת הסייבר ששיבשה את המשק: כמה קל להשבית שירותי תשלום, ומהו הנזק?
● מבקר המדינה: ברפאל לא תחקרו כראוי מספר אירועי סייבר 
● מתקפת ביפרים אבל הפוך. האם גם ישראל חשופה? 

מתקפות מניעת שירות, מה שמכונה DDoS, נועדו להעמיס על המערכות של שירות מסוים, והמערכת קורסת בניסיון לשמור על עצמה. המתקפה עצמה היא מתקפה "טיפשה": להבדיל ממתקפות סייבר מתוחכמות, שם התוקף נכנס ממש למערכות - כאן מדובר בהעמסה לשם קריסה רגעית. המומחים מסבירים שזו מתקפה הוותיקה ביותר בספר, וגם אותה מצליחים לשכלל ולהוסיף התחכמויות.

"מתקפות DDoS הן בעצם אי-ספיקה של המערכת", מסביר רפאל פרנקו, מייסד שותף ומנכ"ל חברת ניהול משברי הסייבר Code Blue, ולשעבר סגן ראש מערך הסייבר הישראלי. "אני מדמה את זה להעברת מים מצינור של 4 צול לצינור של 2 צול, וזה יוצר הצפה במערכת. וכדי להתמודד עם זה, המערכת משביתה את עצמה, כדי להגן על עצמה, כמו גוף שמתעלף כדי לשמור על עצמו".

שולחים תעבורה לקורבן

במתקפה טיפוסית כזו, מספר רב של מכשירים (המכונים בוטים), בדרך כלל מכשירים שנפגעו מתוכניות זדוניות ונשלטים מרחוק, שולחים במקביל המון תעבורה נגד הקורבן. אושר עשור, מנהל חטיבת הסייבר ב-Auren ישראל, מסביר כי "ברמה הטכנית המתקפה עצמה אינה מתוחכמת; רוב התחכום מגיע בשלב ההכנה ו'גיוס' רשת הבוטים (Botnet). עם זאת 'האומנות' של התוקף היא לייצר כמות גדולה של בוטים בכמות ובפיזור הגיאוגרפי רחב, מה שהופך את החסימה שלה לאתגר מורכב עבור המגן. ככל שמקורות ההתקפה יהיו מבוזרים יותר, במיוחד ממדינות שונות, כך קשה יותר לסנן ולעצור את שטף התעבורה".

בעולם הסייבר מורכב לגלות בדיוק מי עומד מאחורי המתקפה, ולכן צריך לאסוף מודיעין ולראות דפוסי התנהגות שיכולים לזהות קבוצות מסוימות. פרנקו מסביר: "במקרה של תשלומי האשראי השבוע, אפשר היה לראות רתימה של משאבים שהכינו אותם מבעוד מועד - ולכן אין ספק שזה מיוחד לאיראן. זה אירוע מתוכנן ומתוזמן", מסביר פרנקו. וכדי להבין את המשמעות, צריך להבין את הסיבה והמוטיבציה של התוקפים. "אנחנו לפני שנה כלכלית חדשה, ואנחנו בין מלחמות, ויש כרגע סיפורים סביב לשכת ראש הממשלה. ואם רואים את זה, אז אין ספק שיש פה מטרה אחת ברורה - לפגום ולפגוע באמון הציבור במדינה ובממשלה. חומר בעירה נגד מדינת ישראל".

לדבריו, "באיראן מאמינים שאם יפגעו ברציפות תפקודית, בסמלי שלטון ובפעולות בסיסיות לאזרח, זה כלי נוסף בתוך המערכת שבין ישראל לאיראן. אם אני לא יכול לשלם, זה אומר שהמדינה לא יכולה לשמור עליי, ושהכסף שלי לא בטוח ואז גם אני לא בטוח. הדבר שהכי קרוב לחיי אדם, זה בריאות וכסף".

"משך המתקפה משתנה"

רון מירן, סמנכ"ל מודיעין סייבר בחברת Radware, חברת סייבר המגינה מפני התקפות באינטרנט, מסביר כי "יש תוקפים שמבינים שמספיק להפיל את האתר לעשר דקות, ויש כאלה שצריכים לחלק את המשאבים שלהם בהרבה מקומות. יכול להיות שהתוקפים יחליפו וקטורים של תקיפה, והמתקפות יהפכו לחכמות יותר".

מירן משתף עוד, כי יש קבוצות אקטיביסטיות שעושות מזה מוניטיזציה, כסף. "הקבוצות האלו תוקפות כדי להראות יכולות, ויש להן מחירון למי שרוצה. המחירון שלהם ליום עומד על 50-70 דולר עבור מתקפה, ואפילו כ-100-200 דולר עבור שבוע של מתקפות. כל שעל הלקוח לעשות זה להכניס את שם הקורבן, באיזה היקף תעבורה לתקוף ומתי, ולהעביר את הכסף".

אומנם מדובר במתקפה "מיושנת", אבל זו התקפה שנועדה לעשות רעש והיא אפקטיבית במיוחד. אומנם אין הגנה של 100%, אבל בהחלט אפשר להתמגן.

"ארגון צריך להבין אילו נכסים פגיעים וחשופים למתקפה. כל חברה צריכה לעשות הערכת סיכונים זהירה, ואז להצטייד בטכנולוגיות הרלוונטיות", טוען פרנקו יתרה מכך, "על כל ארגון לייצר חלופות ואלטרנטיבות לעבודה בצורות אחרות, לדעת לעשות הסטה ולפעול לפי הצורך כדי לייצר המשכיות עסקית חלופית".

"משחק חתול ועכבר"

עשור מסביר, כי "ההגנה מפני מתקפות DDoS מתבצעת לרוב בשכבות, כאשר הרחבת משאבים ופיזור עומסים בין שרתים מהווים אסטרטגיות מרכזיות. עם זאת, המתקפות יוצרות 'משחק חתול ועכבר' מתמשך בין התוקף והמגן. לא פעם מה שמכריע הוא לאו דווקא הטכנולוגיה אלא המשאבים הכלכליים והיכולות התשתיתיות. ארגונים בעלי תקציב רחב מסוגלים להתמודד מול מתקפות בקנה מידה גדול, לעומת עסקים קטנים אשר מתקשים לעמוד בהוצאות".

כמה המתקפות האלו נפוצות? לפי נתוני Radware, מספר מתקפות ה-DDoS נגד גופים ישראליים מתחילת 2024 עומד על 1,534, בהשוואה ל-1,212 ב-2023. שלושת הסקטורים המותקפים ביותר השנה בישראל במתקפות מניעת שירות הם השכלה גבוהה, פיננסים (בנקאות וביטוח) וסוכנויות ממשל. עוד עולה מנתוני החברה, כי ב-2023 ישראל תפסה את המקום הראשון במתקפות.

כדי להבין בדיוק למה זה קורה, צריך להבין את המוטיבציה של קבוצות שונות. המרכזיות שבהן, שתוקפות כיום את ישראל, אלו קבוצות אקטיביסטיות, אסלאמיות ופרו-רוסיות. "אקטיביסטים משתמשים במתקפות מהסוג הזה כדי לייצר עניין ציבור ולתקשורת, כי זו המטרה שלהם - להעביר מסרים. זאת הסיבה לכך שראינו את זה באירוויזיון בשבדיה או במשחקים האולימפיים בפריז. במקרה של ישראל, כשיש עימות או ההתפתחות בקרב, אז האקטיביסטים מייד פועלים".

המטרה היא התקשורת והרעש שנוצר. לדוגמה, סביב המחאות באוניברסיטאות נגד מדינת ישראל, כשהאוניברסיטאות ניסו לבלום את המחאה, קבוצות תקיפה השביתו ושיתקו את מערכות המידע שלהן. "הם התנקמו בזה שניסו להשתיק את המחאה. ולמה? כי המתקפות האלו רועשות, ואפשר לראות את זה בישראל", אומר מירן.