המתקפה הרצחנית שנחתה על ישראל בשבת של ה־7 באוקטובר רשמה פרק מדמם נוסף ומזוויע במיוחד בתולדות הטרור – עם ממדי הרס, רצח וחורבן בהיקפים שלא ידענו מאז קום המדינה. אך אלו לא החדשות הרעות היחידות, לצערנו. פיתוח והטמעה של טכנולוגיות מתקדמות ותהליכי דיגיטציה מואצים, פתחה בפני פעילי טרור ברחבי העולם אפשרויות הרסניות חדישות והצמיחה איומים נוספים ואפשרויות תקיפה מגוונות יותר מאי פעם בעבר. כך, לצד הטרור הקונבנציונאלי המשתמש בעיקר באמצעי לחימה מזויינים – כלי נשק, מטעני נפץ, רקטות או טילים – עולה במקביל וביתר שאת בעשורים האחרונים, איום טרור הסייבר (Cyberterrorism).
יש הרואים בו את השלב האבולוציוני הבא של הטרור המודרני, השואף להגשים את אותן מטרות רק באמצעים אחרים, טכנולוגים, מתקדמים יותר – ובמידה לא מועטה אף הרסניים יותר. זהו טרור המתנהל במרחב אחר – האינטרנטי – ומשתמש בשלל פעולות סייבר התקפיות ללוחמת רשת, התקפות על מחשבים, רשתות ומידע המאוחסן בהם, במטרה להשיג את אותן מטרות טרוריסטיות: זריעת פחד ושימוש באמצעים מיליטנטיים ואלימים לקידום מטרות פוליטיות, דתיות או חברתיות.
האיום הזה בהחלט איננו דבר חדש עבור דורון אמיר, מנכ״ל־מייסד של יוניקורן הסייבר CyTaka אשר מילא בעשורים האחרונים שורה של תפקידים בתחומי הסייבר ואבטחת המידע. אמיר מתאר מגוון עצום ומטריד במיוחד של פעולות התקפיות מצד האקרים פרטיים, ארגונים או מדינות בתוך מרחב הסייבר, שכבר היום מתרחשות על בסיס יום יומי. ״המטרות עשויות להיות מגוונות ומשתנות לפי היעד הספציפי״, הוא מסביר. ״גניבת מידע מסווג מאנשים פרטים או ארגונים לצורך ביצוע הונאות, פעולות מסחריות אסורות, שיבוש פעילות גניבות או דרישת תשלומי כופר, למשל״.
התלות במרחב הדיגיטלי גדל
זירה נוספת במרחב הזה כוללת את הקרב על התודעה. "בעולם כבר מזמן מתבססים על המדיה הדיגיטלית ככלי לצריכת המידע בסיסי ביותר, ומייחסים לרשתות החברתיות אמינות גבוהה יחסית גם לאור הזמינות והוויזואליה", אומר יגאל אונא, לשעבר ראש מערך הסייבר הלאומי וראש האגף בשב"כ. "בדיוק את זה מנסים לנצל גורמים עוינים – בשגרה ובעיקר בתקופה הזו וסביב המלחמה".
אונא ,המשמש היום כחבר בוועדה המייעצת של CyTaka, מציין כי זו זירת לחימה לכל דבר. "גם בה עלינו להשיג ניצחון בקרב על התודעה ועל האמת" הוא אומר. "ניצחון שכזה אינו דבר מובן מאליו, במיוחד בשעה שנעשים נסיונות רבים לסלף את המציאות ולערער את התמיכה הנדרשת לישראל. מדינת ישראל היא מעצמה בתחום הסייבר – והגיע הזמן שנפעיל את העוצמה הזו גם אל מול מבקשי נפשנו ברשתות החברתיות".
זהו איום אמיתי שהופך לאיום גדול ומוחשי יותר, במיוחד בשבועות האחרונים עם התעצמות המלחמה. במערך הסייבר הלאומי העריכו לאחרונה כי 15 קבוצות תקיפה שונות – מכוונות בעיקר מאיראן – יוזמות מדי יום אלפי מתקפות על ישראל. במקביל דיווחה ענקית הסייבר הישראלית, צ׳ק פוינט, על עלייה של 18% בהיקף מתקפות הסייבר על מטרות ישראליות, מתחילת המלחמה וזינוק של למעלה מ־50% במתקפות כנגד מטרות ממשלתיות וביטחוניות.
צו 8
לשם כך משתמשים התוקפים במגוון כלי תקיפה: סוסים טרויאניים, תוכנות רוגלה, וירוסים, זיוף כתובות IP וגם כתובות המוטמעות בכרטיסי רשת של מודמים ומחשבים. ״הכלים העומדים לרשות התוקפים הולכים ומשתכללים מדי שנה, בעוד התלות במרחב הסייבר הולכת וגוברת״, ממשיך אמיר לתאר את גודל האיום ומתריע מפני איום גדול נוסף – מתקפות סייבר בקנה מידה נרחב המוכוונות נגד מדינות, גופים מוניציפאליים או תאגידים גדולים. ״מתקפות בסדר גודל ועוצמה שכאלו עלולות לשבש, לשתק ולהביא להרס נרחב של תשתיות חיוניות, לגרום להרס פיזי ולנזקים כלכליים גדולים – אפילו לגרום לפגיעה ממשית בחיי אדם״, הוא מזהיר.
״מרגע האירוע אנחנו מגייסים את כל המשאבים והקשרים שיש לנו בעולם, כולל, אגב, אנשי סייבר מוסלמים ממדינות שונות. לא צריך להיות ישראלי כדי שיהיה לך אינטרס בהשמדת החמאס או דאעש. צריך פשוט להיות בן אדם"
דורון אמיר
עד לפני שפרצה המלחמה הקדיש דורון אמיר (47) את עיקר זמנו לתחומים אחרים – פיתוח תחום הסייבר בארץ ובחו״ל וקידום הסכמי אברהם במדינות מוסלמיות. הוא עשה זאת בעיקר באמצעות מיזם הסייבר שהקים ואותו הוא מנהל ־ CyTaka – אשר פועל להעצמת יכולות הסייבר במדינות התומכות בישראל. אך כמו רבים וטובים אחרים, שנקראו לדגל בעקבות מתקפת הטרור של ה־7 באוקטובר, גם אמיר החליט, בהחלטה של רגע ובאופן עצמאי, לשים את כל העסק בצד ולהתגייס למען התמקדות במטרה חדשה – מלחמה בטרור הסייבר.
״מרגע האירוע ובמהלך כל השבועות האחרונים אנו מגייסים את כל המשאבים והקשרים שיש לנו בישראל ובעולם״, הוא מספר, ״כולל אגב גם אנשי סייבר מוסלמים ממדינות שונות שהתגייסו לעזור ולהילחם יחד״. בחמ״ל מיוחד שהוקם ממש ב־7 באוקטובר החלו ׳הצוותים המיוחדים׳ לעבוד מסביב לשעון – החל מיירוט מידע קריטי ועד סיכול ממוקד של כל פעילות עוינת תומכת טרור שהצליחו לאתר.
זהו איום אמיתי שהופך לגדול ומוחשי יותר, במיוחד בשבועות האחרונים עם התעצמות המלחמה. במערך הסייבר הלאומי העריכו לאחרונה כי 15 קבוצות תקיפה שונות – מכוונות בעיקר מאיראן – יוזמות מדי יום אלפי מתקפות על ישראל
״הפלטפורמה הגלובלית בחברה שלנו קמה מלכתחילה במטרה לשתף מידע חיוני בתחום הסייבר ונועדה להילחם נגד מתקפות הכופרה והסייבר – ספציפית במרחב הסייבר האזרחי״, מסביר אמיר את הפעילות בימי שגרה. ״המלחמה הביאה את הצורך בשינוי מהיר. שילבנו את הפלטפורמה נגד טרור הסייבר – פגיעה בשכבת האמינות של המידע המגיע לתקשורת הבינלאומית וגורם להסטה ושנאה על ידי הפצת תכנים מזוייפים, לוחמה פסיכולוגית ושימוש בסייבר התקפי לסחיטת כספים המשמשים את ארגוני הטרור״.
במילים אחרות, פעילות אזרחית הגנתית בימי שגרה עברה מהר לפעילות התקפית בימי מלחמה ופעילות תומכת סייבר אזרחי־הגנתי הפכה לפעילות תומכת סייבר התקפי. ״אנחנו למעשה מקשרים בין האקרים שיוזמים פעולות תקיפה או מבקשים להתנדב למשימות אנטי טרור״, מחדד אמיר. ״הקבוצות הללו כוללות האקרים מוכרים מאוד בעולם, ממדינות רבות, כולל מוסלמיות, שמגנות את הטרור ומתנגדות לו. בדיוק כמו לוחמי רשת שנלחמים למען הסביבה.
לכולם ברור שלא מדובר פה במשהו פוליטי אלא במעשה אנושי ובסיסי. הרי לא צריך להיות ישראלי כדי שיהיה לך אינטרס בהשמדת החמאס ודאעש. צריך פשוט להיות בן אדם שמתנגד לטרור אכזרי״.
ואיך זה מתרחש בפועל? איך ההאקרים פועלים התקפית נגד ׳פעילי טרור הסייבר׳?
״יש מגוון פעולות התקפיות במרחב הזה. תקיפות כמו Hybrid Attack למשל, לגילוי סיסמאות של אתרים ופרופילים המפיצים מידע מסית ומעודד לטרור. הקמת אתרי Phishing המתחזים לפעילים תומכי טרור ומצליחים לאתר 'מחבלי סייבר', אשר לאחר אימות בווקטורים נוספים מאפשרים ביצוע ׳סיכול טכנולוגי ממוקד׳ נגדם.
״המידע שאנו אוספים גם משמש אותנו לבצע Social Engineering – טכניקות מיוחדות שנועדו לתמרן משתמשים חשודים לשתף מידע או לבצע פעולות שמסגירות את הקשר שלהם לפעילות טרור סייבר. חלק מההצלחות שעוד נראה בקרוב הן כתוצאה מפעולת החדרת Rootkit למערכות תומכות טרור – כלומר תוכנות שמאפשרות לצוות המבצע לשדר פעילות בהרשאות גבוהות וללא מגבלות. אנו גם משתמשים בתוכנות AI מיוחדות המאפשרות לנו לזהות במהירות יחסית פרופילים מזויפים על ידי אלגוריתמים להשוואת תמונות, כולל השוואה למידע שמופץ עם תצלומי דיפ־פייק ותצלומים ערוכים שעולים לרשתות החברתיות״.
מדבריו של אמיר, כמו גם מהלהט הבולט שבו הוא מתאר את מהלך העניינים, אפשר להתרשם בקלות כי בעיניו מדובר בשליחות. מתקפת הטרור של ה־7 באוקטובר החזירה אותו 22 שנים אחורה – לפיגוע התאומים של ה־11 בספטמבר.
"הסייבר הישראלי הוא הטוב בעולם, אבל לצערנו, הוא לא מנע את מתקפת הטרור. נרצחו כ־1,200 ישראלים. בהשוואה לפיגוע בתאומים – ביחס לגודל האוכלוסיה – מדובר במונחים אמריקניים בכ־40,000 נרצחים. באופן יחסי אנחנו מתמודדים אם משהו גדול גם ביחס לארה"ב. אבל כרגע היעד החשוב ביותר הוא החזרת השבויים".
בחזרה לעבר
כעת אמיר משתמש ביכולות הסייבר שצבר לטובת המאמץ המלחמתי ״במסגרת החוק ומבלי להפר את הכללים״, חשוב לו להבהיר. ״אנחנו לא NSO, ואין לנו תוכנות ריגול אבל יש מספיק קבוצות של האקרים חופשיים שמבינים שהטרור לא רק חסר מוסר ורחמים הוא גם חסר דת ולאום״.
כבר עתה ברור שעוד שנים רבות יעסקו בשורת המחדלים המודיעיניים שקדמו לאירועי טבח ה־7 באוקטובר. קהילת המודיעין אשר נכשלה כישלון חרוץ בקריאת המפה ובאיסוף מידע קריטי, ספגה פגיעה תדמיתית ומקצועית אנושה – אך עמה גם תדמיתה של ישראל כמעצמת סייבר עולמית.
״הסייבר הישראלי הוא הסייבר הטוב בעולם, גם אם לצערנו הסייבר הזה לא מנע את מתקפת הטרור", הוא אומר. "למרות זאת הסייבר ההגנתי ערוך ומוכן עדיין כל העת להגנה – 24/7. אויבנו אורבים בפינה ורק מחכים שנעשה טעות. כולנו ראינו את התוצאות המחרידות המתרחשות, כשאין צבא שעומד מאחורי הגדר, אפילו ליום אחד, ואני לא רוצה לדמיין מה היה קורה אם בסייבר היום היו נעלמים אפילו לשעה אחת. לכן ברור שהסייבר הישראלי הוא עדיין החזק בעולם ומסיבה פשוטה – אין מדינה בעולם שסופגת התקפות סייבר כמו ישראל. לא באיכות ולא בכמות. מספר ההתקפות שאנחנו הודפים הוא מהגבוהים בעולם כולל מתקפות של מדינות וארגונים שתוקפים תשתיות ומערכות אסטרטגיות, ממש ללא הפסקה – וככל שמספר התקיפות גדל כך גם היכולת שלנו משתפרת״.
דע את האויב: קבוצות התקיפה הגדולות בטרור הסייבר
Cozy Bear, רוסיה 🇷🇺
קבוצת תקיפה רוסית המשויכת לארגון הביון של רוסיה, ה־SVR. הקבוצה יוזמת פעולות סייבר התקפיות ולוחמת רשת בעיקר נגד חברות מסחריות וארגונים ממשלתיים במדינות מערביות ופרו־מערביות באירופה, צפון אמריקה ומזרח אסיה. לאחרונה מתמקדת בעיקר במתקפות סייבר על מוסדות ואתרים בארה״ב ואוקראינה.
קבוצת התקיפה הייתה אחראית לשורה של תקיפות שכוונו נגד מוסדות, מכוני מחקר וארגונים אמריקאיים במהלך מערכת הבחירות לנשיאות ארה״ב ב־2016, במטרה להשפיע ולתמרן את דעת הקהל באמריקה.
במרץ 2020 הייתה אחראית קבוצת התקיפה על פריצה ליותר מ־200 חברות וגופי ממשל בארה״ב, במה שנחשב עד היום למתקפת הסייבר החמורה בהיסטוריה.
Rocket Kitten, איראן 🇮🇷
קבוצת תקיפה איראנית, המבצעת פעולות סייבר התקפיות המוכוונות בעיקר נגד ישראל, ארה״ב וסעודיה. הקבוצה משתמשת בעיקר בטכניקת תקיפות פישינג (Phishing) ממוקדות כדי לתקוף בעיקר חברות ביטחוניות ומסחריות ואתרי ממשלה לצד תקיפת אתרי חדשות, עיתונאים, מתנגדי משטר ופעילי זכויות אדם.
בעבר דווח, כי הקבוצה, אשר מקבלת חסות ומימון ישיר מממשלת איראן, אספה פרטים רגישים מאלפי משתמשים מסעודיה, ארה״ב, ישראל, הולנד ואיראן (בעיקר של גורמי אופוזיציה ומתנגדי משטר) באמצעות שימוש בדפי Phishing ממוקדים.
באוגוסט 2016 דווח כי קבוצת ההאקרים האיראנית פרצה לחשבונותיהם של כ־15 מיליון פעילי אופוזיציה ומתנגדי משטר איראניים באמצעות תוכנת המסרים המיידיים ׳טלגרם׳.
Red Apollo, סין 🇨🇳
קבוצת תקיפה סינית. מבצעת פעולות סייבר התקפיות נגד יפן, הודו, ארה"ב וגורמים מערביים. הקבוצה מתמקדת בעיקר בהתקפות לצורך ריגול וגניבת קניין רוחני של חברות תעופה מסחריות, חברות הנדסה וטלקום. על פי ה־FBI, משנת 2006 פועלת הקבוצה תחת משרד ההגנה הסיני.
יחידה 180, צפון קוריאה 🇰🇵
קבוצת תקיפה צפון קוריאנית. מבצעת פעולות סייבר התקפיות נגד גורמים אמריקאים ומערביים. התקפות הממוקדות בעיקר נגד מוסדות פיננסיים וחברות מסחריות, באמצעות הנדסה חברתית, שימוש לרעה בפקודות מאקרו, הפצת נוזקות וכופרות.
