הערכה: מאחורי מתקפת הסייבר - האקרים מטורקיה ועזה

לאחר שאלפי אתרים ישראלים, בהם אתרים של חברות גדולות ומרכזיות במשק, הושחתו בעקבות תקיפה שבוצעה בידי גורמים אנטי-ישראלים נגד חברת אחסון האתרים יופרס (uPress), במערך הסייבר הלאומי פתחו בחקירה ובדקו האם קיים קשר למלחמת הסייבר בין ישראל לאיראן. עם זאת, הדעה הרווחת בקרב מומחי הסייבר היא שאיראן אינה עומדת מאחורי המתקפה.

החברה שהותקפה: "אירוע קשה, התקדמות בשחזור - עד הערב"

נכנסתי לאתר שהותקף. יש סיבה לדאגה?

לוטם פינקלשטיין, מנהל מחלקת מודיעין סייבר בחברת צ'ק פוינט, אמר שמאחורי המתקפה עומדת כנראה קבוצת האקרים דוברת ערבית שמקום מושבה בטורקיה, צפון אפריקה ועזה, ולמרות עיתוי התקיפה ב"יום ירושלים האיראני" - אין קשר לאיראן.

"זה לא אומר שאין איראנים בכלל שקשורים למתקפה, אבל אין אינדקציה שמאשרת מעורבות איראנית", הסביר פינקלשטיין. "בכל מקרה לא מדובר במתקפה מתוחכמת. מדובר בקבוצת האקרים שהוקמה בפייסבוק ב-11 באפריל ויש בה תשעה חברים שמדברים ביניהם בערבית. ההצלחה שלהם נובעת מזה חברת השרתים נפרצה לחלוטין אז הרבה אתרים שהיו עליה שילמו את המחיר. אבל זו חברה אחת".

קבוצת ההאקרים שעומדת מאחורי המתקפה מכונה "ההאקרים של המושיע". בסרטון שהעלתה לפייסבוק יש לא מעט שגיאות כתיב כגון "היפה" במקום "חיפה" ו"ישראל לא תראה את 25 השנים לבאות".

התקפת סייבר על אתרים ישראלים

התקיפה השביתה כאמור את השרתים של חברת Upress, ובמקום התוכן הרגיל של האתרים הופיע מסך עם תוכן הקורא להשמדת ישראל. בנוסף, האתרים מבקשים מהגולשים אישור להשתמש במצלמה על מנת לצלמם. בשלב זה לא ברור אם מאגרי הנתונים של החברה נפרצו או שמדובר בהשחתה בלבד.

במסגרת המתקפה שותקו אתרים של חברות פרטיות אך גם אתרים של רשויות מקומיות כמו רמת השרון ומצפה רמון וכן אתר הגוף המתאם של קרן ההלוואות בערבות מדינה. לצד זאת, גם באתר רשות הכינרת הוטמעו המסרים מטעם ההאקרים. באקדמיה נפגעו גם כן מהמתקפה: אפליקציית הפודקסטים של אוניברסיטת בר אילן, "בר דעת", נחסמה לכניסה לאור הפריצה. באתר המידע של הדסה למאבק בקורונה, אתר נפרד מהאתר הרשמי של בית החולים, הושתלו מסרים דומים. גם האתר של תנועת אור, שמכיל מידע על 600 יישובים בנגב ובגליל, הושחת.

מערך הסייבר הלאומי מסר כי "מחקירה ראשונית של האירוע מדובר בפגיעה שטחית באתרי אינטרנט של גופים פרטיים בישראל שנעשתה באמצעות חברת אחסון אחת המארחת את אותם אתרים. המערך ממשיך לסייע לטיפול באירוע.

"מערך הסייבר הלאומי התריע לפני שבוע על צפי להשחתות אתרים שייעשו במטרה ליצור הד ולהפיץ מסרי תעמולה לרגל יום ירושלים האיראני, כפי שנעשה מדי שנה בתאריך זה. המערך ממליץ לבעלי אתרי אינטרנט להתקשר עם חברות אחסון של אתרים שמשתמשים ברמת אבטחה נאותה על פי המלצות המערך. יודגש כי מדובר בפגיעה באתרים פרטיים וכי לא נגרם נזק לתשתיות מדינה. מקור המתקפה בבדיקה".

במערך הסייבר ציינו, כי הם לא מוצאים שהאירוע מסכן באמת משתמשים שנכנסים לאותם אתרים. "עם זאת, ממליצים שלא ללחוץ על שום לינקים. לפעמים הדפדפן מבקש לאשר גישה למשאבים פנימיים של המחשב. ככלל ממליצים שלא ללחוץ על קישורים כאלה".

גורמים במערך הסייבר אומרים, כי כדי לבצע אירועים כאלה צריכים יכולות מאוד נמוכות ומטרת ההתקפה היא ליצור אנדרלמוסיה ולהפיץ תעמולה. הגורמים ציינו כי היקף הפגיעה חריג אך הדבר נובע מ'ההצלחה' להגיע לאחת מחברות האחסון הגדולות שמארחת מאות ואלפי אתרי אינטרנט.

במערך הסייבר מדגישים כי לא זיהו נסיון חדירה לאתרים ממשלתיים ואף אתר ממשלתי לא הושבת.

גורם במערך הסייבר אמר: "אני מופתע מהרוחביות של התקיפה אבל עם זאת, זה היה צפוי שיהיו נסיונות תקיפה וכמו תמיד שיהיו הצלחות מסויימות בהשחתה של עמודי אינטרנט. יש פה אלמנט של מזל או להגיע למקום מרכזי שבמקרה או לא במקרה מאחסן מספר רב של אתרי אינטרנט. בשנים קודמות גם היו אירועים כאלה. לפני 4-3 שנים היתה מתקפה בהיקף נרחב יותר".