קבוצת האקרים, ככל הנראה איראנים, בשם Pay2Key טענה היום (ראשון) כי היא פרצה לנתוני חברת הבאנה לאבס הישראלית, העוסקת בפיתוח מעבדים ליישומי בינה מלאכותית ונרכשה לאחרונה על ידי אינטל. בציוצים שפרסמו ההאקרים, הועלו צילומי מסך המראים כי השיגו גישה רחבה למאגר מידע, אשר לטענתם שייך לכאורה להבאנה. הם תייגו את שתי החברות וכתבו "יש לנו משהו מיוחד.. בשביל מי?".

כזכור, בחודש שעבר, חשפו בצ'קפוינט את קבוצת ההאקרים המדוברת, וציינו כי הקבוצה "עושה שימוש בטקטיקת הסחיטה הכפולה בכדי להאיץ בקורבנות לשלם את הכופר – זו היא ההתפתחות האחרונה בארסנל התקפות הכופר. במודל הסחיטה הכפולה (Double Extortion), ההאקרים לא מסתפקים בהצפנת המידע ודרישת כופר עבור שחרורו, אלא גם מאיימים, ואף מקיימים, להדליף מידע שנגנב מהארגון, וזאת על מנת להאיץ את התשלום".

לוטם פינקלשטיין מנהל מחלקת מודיעין סייבר בצ'קפוינט ציין כי "בחודש נובמבר בלבד הותקפו 141 ארגונים וחברות ישראליות במתקפת כופר ((Ransomware, וזו היא עלייה של 3% ביחס לחודש אוקטובר שבמהלכו הותקפו 137 חברות ישראליות (עלייה של 7% ביחס לחודש ספטמבר במהלכו הותקפו 128 ארגונים ישראלים)". הוא הוסיף עוד כי "אף על פי שחודש דצמבר עדיין לא נגמר, אנו רואים ממוצע מתקפות של כ-30 חברות ישראליות בשבוע, אולם עוד מוקדם לקבוע כיצד יתקדם החודש".

"בחצי  שנה האחרונה אנו רואים עלייה מתמדת במספר המתקפות על ארגונים ישראלים בחודש. בעוד ביולי השנה נצפו כ-19,000 מתקפות שונות על ארגונים בישראל, בנובמבר ראינו כבר 33,600 מתקפות שונות, עלייה של 74%", הסביר, "ב-12 ימים הראשונים של דצמבר זוהו כבר 18,300 מתקפות והדבר עלול לשקף עלייה של מלמעלה מ-10% בסוף החודש לעומת חודש נובמבר".

מוקדם יותר היום, חברת השילוח והלוגיסטיקה אוריין אישרה בדיווח לבורסה כי נפגעה ממתקפת סייבר. לדברי "אוריין", היא אחת מ-40 חברות, כולן לקוחות של חברת התוכנה עמיטל, שנפגעו בפריצה שכוונה אל חברה זו. כאמור, עמיטל היא חברת תוכנה המשווקת תוכנות לחברות העוסקות בעמילות מכס, והדבר הוביל לחשש כבד לפיו המתקפה תשבש את שחרור החבילות והמשלוחים לישראל, לרבות אצל הצרכנים הפרטיים והעסקים.

ממטה הסייבר הלאומי נמסר: "בימים האחרונים הפיץ המערך התרעה וכלים שמסייעים לחברות במשק לזהות נסיונות תקיפה ולבלום אותם, לצד המלצות הגנה נוספות. המערך פועל יחד עם השוק הפרטי לחיזוק ההגנה ולבלימת מתקפות. המערך קורא לחברות שחושדות שנפגעו לפנות למערך".

המטוס שהביא לישראל את חיסוני הקורונה (צילום: מארק ישראל סלם)
המטוס שהביא לישראל את חיסוני הקורונה (צילום: מארק ישראל סלם)

העיתונאי דרור גלוברמן שוחח עם ענת דוידוב על רצף האירועים החריג: "אני חושב שמדובר בעליית מדרגה של ממש במלחמת הסייבר שמתרחשת מזה תקופה ארוכה בין ישראל ואיראן". הוא הדגיש ב-103FM כי "הרבה פרטים עוד לא ברורים אבל לפי מה שדלף או דווח או הוערך עד כה נדמה שזה סוג של שלב נוסף במלחמה שהיא כלכלית אסטרטגית, סייבריסטית, כלכלית, הכול חוץ מכדורים ויריות".

כופר?
"כן, האמת שכן. המידע שעד כה דווח לגבי הפריצה לסטארט-אפ שנרכש על ידי אינטל לפני זמן לא רב אז בעצם זה פריצה לאינטל, הוצפן או נגנב מידע רב ערך על השבבים הנחשבים שהחברה מפתחת. השבבים נגנבו, והחברה הציבה אולטימטום של שלושה ימים לתשלום הכופר אבל לא נחשף כמה כסף דורשים החוטפים. המידע הודלף חלקו בטוויטר של הקבוצה שפרצה וחלקו בדארק-נט. חברות סייבר ישראליות שניסו לנתח מהיכן מגיעה התקיפה מצאו רמזים לכך שהיא מגיעה מאיראן".



בניגוד לפריצה לשירביט, הפעם זה בוודאות או ככל הנראה מגיע מאיראן? יש עוד חברה, עמיטל, ממש מכוון מטרה.
"לעמיטל יש הרבה שלוחות בתחום הלוגיסטיקה של שילוח והאמת שהיום כולנו לקוחות של שילוח בין אם מקבלים את החבילה מאסוס או מחכים לחיסונים שיגיעו, הכול זה שילוח. יש כאן דוגמה מעניינת למה קורה כשהעולם ובעיקר מדינת ישראל כולם מתחברים לכולם, קונים תוכנות, משתמשים במערכות, ככה שפריצה לאחד היא למעשה פריצה לרבים. האקרים מחפשים נקודת תורפה, נכנסים פנימה ומתחילים לשאוב מידע  על כל החברות שמשתמשות ברשת הזאת. גם שירביט היא דוגמה כזאת כי היא ביטחה עובדי מדינה, פתאום השיגו מידע על הרבה עובדי מדינה דרך חברת הביטוח שלהם, שהיא היד השנייה. לפני 20 שנה אמרו שהעובדה שישראל היא אומה טכנולוגית היא יתרון אבל גם נקודת תורפה – הנה זה קורה".

יודעים להעריך או שזה מוקדם?
"אין ספק שנגנב מידע רב ערך, בשתי הפריצות שהזכרנו ופריצות רבות שמתרחשות בשבועות האחרונים ופחות מדווחות. השאלה היא אם יש למי שגונב אפשרות להשתמש במידע הזה. הם יכולים למכור את זה ולהזיק לחברות מסחרית. גם כל הצל הסייבריסטי שמוטל על כלכלת ישראל, כי בכול העולם מדווחים על זה, אנחנו אמורים להיות בשורה הראשונה של האומות המוגנות".

מתקפת סייבר, אילוסטרציה (צילום: istockphoto)
מתקפת סייבר, אילוסטרציה (צילום: istockphoto)

פרופ' יצחק בן ישראל, ראש מרכז הסייבר על שם בלווטניק באוניברסיטת תל אביב, שוחח גם הוא על הנושא, ואמר לבן כספית ופרופ' אריה אלדד: "החיסונים לא נמצאים בסכנה. מדובר בתוכנה מסוג כופרה - מכניסים וירוס למחשב והוא מצפין את האינפורמציה השמורה בו, כך שלא יהיה אפשר להשתמש במחשב, אלא אם משלמים למי שעשה את זה, והוא ייתן את המפתח לכך".

הוא הסביר ב-103FM כי "ניסו להכניס כופרה לחברה הזאת וזה התגלה ולא הצליחו, לא הצפינו לה או לכל אלה שקיבלו ממנה את השירותים את המחשבים, זה התגלה לפני שעשו את זה". פרופ' בן ישראל הדגיש כי "ההאקרים לא נגעו בכלל בחיוסנים עצמם, הם הצליחו מהחברות שניסו להכניס בהן את תוכנת הכופרה, אך זה לא הופעל בשום מקום".

לדבריו, מדובר על סיפור הצלחה, שכן ניסיון לתקוף אותנו התגלה ולא עשה את הנזק. "אבל גם אם היה עושה את הנזק, זה היה בחברות שמתעסקות בלוגיסטיקה ולא בחברות שקשורות לחיסוני הקורונה. עוד מתקפה שלא הצליחה, מערך הסייבר התריע ושלח את סט הכלים שאם מתקינים אותו למחשב אז בעתיד מתקפות מסוג זה לא יצליחו", הדגיש.



הייתה התראה?
"ניסיונות החדירה הראשונים התגלו, ואז מיהרו לסתום את הפרצות, להודיע לכל הסביבה ולספק להם כלים - כדי שאם מישהו ירצה לעשות להם דבר כזה – הוא לא יוכל".

מה הסיכוי שזה לא האקרים שרוצים כסף אלא איראן?
"הכול יכול להיות, אני מאלה שלא מהמרים על אף אחד. בדרך כלל, קבוצות פשע או מדינות, או קבוצות פשע שמופעלות ע"י ארגוני מודיעין של מדינות, שילוב נפוץ אצל רוסיה וצפון קוריאה עושים שימוש בתוכנות כופר. לך תדע אם זה לא נמצא בשימוש גם אצל החברים שלנו מאיראן".

אם זו הייתה מדינה, היא לא הייתה מנסה לדפוק ממש את החיסונים ולא לבקש כסף?
"הכול עניין של מאמץ, לגבי החיסונים – הם פותחו במהירות כזאת שזה יותר מהר ממה שלוקח לתכנן, צריך הרבה מודיעין כדי לדעת איזה נקודות תורפה לתקוף. החיסון פותח במהירות שיא".