יום חמישי בערב - כמעט תמיד זה קורה בחמישי - הגיע למוקד החירום של מערך הסייבר הלאומי הישראלי, דיווח מגוף ממשלתי שאי-אפשר לנקוב בשמו, על התרעה שצצה בכמה מחשבים שלו: משהו עוין מסתובב שם. בשישי על הבוקר זה כבר התפשט לעשרות מחשבים. ח', ראש אגף המבצעים של מערך הסייבר, נדרך. הוא הקפיץ שני צוותים: צוות מחקר למעבדה, וצוות התערבות לשטח.
עוד כתבות למנויים:
חמושים בארגזי מבצעים עם ציוד אלקטרוני, גרסה דיגיטלית של סיירת מטכ"ל, מגיעים אנשי צוות ההתערבות למרכז המחשבים של הגוף הממשלתי. ר"מ, ראש הצוות, מדווח שבינתיים הפולש כבר הגיע למעל מאה מחשבים. אנשי הצוות סורקים את כל המערכות בארגון, ומזהים וירוס תולעת שהולך ומתפשט במהירות. הם משגרים את הקוד של הווירוס למעבדה, ושם מנתחים ומאתרים את נקודות החולשה שלו. אנשי הצוות שולפים את הנשק הסודי - קוד נגדי שפותח ביחידה, שחוסם את פרצת החדירה של התולעת למחשבי הארגון, ומנקה את כל המחשבים שהודבקו.
4 צפייה בגלריה
האנשים של חמ''ל הסייבר. ''זה 'המקדש' שלנו. יש הרבה אנשים במערך הסייבר הלאומי שלא ביקרו כאן ולא יכולים לבקר''
(צילום: חיים הורנשטיין)
מאחורי המתקפה נמצא פושע סייבר אלמוני ממדינה שאפשר רק לנחש איזו היא. ההישג הגדול שלו היה במציאת הפרצה בהגנת המחשבים, שדרכה היה יכול לשתול תוכנות ריגול, לשאוב מידע, לחסום את הקבצים ולדרוש כופר. צוות ההתערבות סתם את הפרצה ולמד להכיר את שיטת החדירה של הפושע. "בעשר בלילה יכולנו לצאת משם בהרגשה טובה, שעשינו משהו למען המשק הישראלי ולטובת הגוף הממשלתי", אומר ר"מ, "ביום ראשון הוא פתח את המשרדים שלו בצורה בטוחה. אחר כך, כשזיהינו את התולעת בעוד שני ארגונים, יכולנו להשתמש בכלי שפיתחנו כדי להגן עליהם מרחוק".
מטה מערך הסייבר הלאומי יושב בבניין משרדי בבאר-שבע, ולא הרבה ידוע על אגף המבצעים שלו - הסיירת של מערך הסייבר. מה שאתם עומדים לקרוא כאן זו חשיפה ראשונה של פעילות האגף, יכולותיו וכמה אירועים שבהם היה מעורב.
ויש בזה חשיבות רבה לכולנו: מערך הסייבר פועל מסביב לשעון כנגד אלפי התקפות סייבר נגד ארגונים שונים במשק, שאינן פוסקות לרגע, אבל הוא לא יכול להגן על כל מחשב במדינת ישראל. חברות, ארגונים, גם אנשים פרטיים, חייבים לדעת שעליהם להתגונן. "צריך להיות ערניים ודרוכים, להבין שאנחנו מוקפים בסכנות, אבל מי שפועל לפי ההמלצות שלנו מצמצם את פוטנציאל הסיכון שלו דרמטית", אומר ראש מערך הסייבר, יגאל אונא, בראיון ראשון לתקשורת.
חמ"ל מערך הסייבר ספון בין מסכי תצוגה גדולים. על אחד מהמסכים רואים את מפת העולם, ישראל במרכז, ומכל עבר נורים מטחים לעברה. כל מטח כזה מייצג מתקפת סייבר שמתרחשת עכשיו. המתקפות נמשכות ללא הרף, רובן המוחלט נחסמות ומתפוגגות. אבל התמונה ברורה: ישראל תחת מתקפת סייבר בלתי פוסקת. בסוף מישהו ייפגע.
צריך רק לעיין בדוח מערך הסייבר לשנת 2019 כדי להבין עד כמה חמור המצב. בשנה שעברה זוהו אלפי מתקפות סייבר על חברות וארגונים, כולל השתלטויות שהסתיימו בגביית כופר. מערך הסייבר דיווח שטיפל בשני אירועים שהיו "על סף התפרצות רחבה (אפידמיה)" - כלומר תקיפה שהייתה עלולה להשבית מאות מחשבים, ושלושה אירועים שהוגדרו בדרגת חומרה גבוהה. ההגנה על האירוויזיון בתל-אביב הצליחה למנוע מבוכה בשידור חי, אבל מתקפת פתע סייברית על מתקני המים של מקורות, שנחשפה באפריל השנה ב-ynet, גרמה מבוכה רבה וכמעט הרעלת מים המונית.
צוותי ההתערבות של מערך הסייבר הם אלה שנמצאים בחזית, ערוכים לתת במהירות מענה לכל סכנה. "יש אינסוף תקיפות וניסיונות תקיפה כל הזמן, רובן פחות מעניין אותנו", אומר אונא. "מה שמעניין אותנו אלה המקרים שיש להם השפעה לאומית, או תוקף שיש לו כוונות לאומיות, ואז אנחנו מפעילים את הצוותים. אנחנו מסתכלים שלא ייגרם נזק, אבל המטרה של הצוות היא גם למנוע התפשטות של התקיפה, שמתנהגת כמו מגפה ומדלגת לארגונים אחרים.
"הצוות הוא עמוד התווך של המערך, אבל הוא לא עובד בוואקום, אלא הוא חלק ממה שאני קורא לו 'סל התרופות' שלנו. הקורונה עוזרת לי להסביר את עולם הסייבר: כמו בהתמודדות עם המגפה הביולוגית - גם כאן יש סדרה שלמה של כללי זהירות, אבל בסוף אנשים נדבקים. אז גם פה צריך לזהות כמה שיותר מהר את התסמינים, ואז הצוות נכנס ועושה חקירה אפידמיולוגית. לצערי, היריב שלנו הוא הרבה יותר אינטליגנטי מהיריב הביולוגי".
אונא, בן 49, נשוי ואב לשלושה, משמש בתפקיד ראש מערך הסייבר כשנתיים וחצי. תחילת דרכו הייתה בשירות צבאי כקצין ביחידת המודיעין 8200, ולאחריה הצטרף לשב"כ, שם היה בין השאר ראש חטיבת הסייבר, ועסק בהגנת סייבר ולוחמת סייבר מכל ההיבטים. הוא בעל תואר ראשון בניהול ובהיסטוריה של המזרח התיכון ותואר שני במינהל עסקים.
כשמגינים בעיקר על מטרות לאומיות, המגזר העסקי אולי לא מוגן מספיק?
אונא: "אנחנו בעולם של ניהול סיכונים, אנחנו סוכנות של ניהול סיכונים. יש מקומות שאנחנו לא לוקחים שום סיכון. אלה התשתיות הקריטיות. ויש מקומות ששם אנחנו לוקחים טיפה יותר סיכון, כשפוטנציאל הנזק קצת נמוך יותר. אני לא בא להחליף את הפתרונות העסקיים שכל גוף ממשלתי או פרטי צריך לאמץ כדי להגן על עצמו. הרי המשטרה לא שמה ניידת ליד כל בית. אנחנו כן מציעים אינסוף הנחיות והמלצות איך להימנע מפגיעה".
הנטייה הטבעית באגף המבצעים היא למלא את הפה במים כשמנסים לרדת לפרטים של תקיפה כזו או אחרת. ההסבר הוא שמדובר בשמירה על הדיסקרטיות של הלקוחות. אבל יש עוד הסבר שנעוץ בכך ששורשיו ההיסטוריים של מערך הסייבר הם בשב"כ, ורבים מאנשיו הם יוצאי שב"כ.
וכך, לקראת צילומי התמונות לכתבה מכבים את כל המסכים, או שמים עליהם תצוגות דמה. המסכות שמסוות את פני הדוברים לא נמצאות שם רק בגלל הקורונה - הם פשוט שושואיסטים, החבר'ה כאן.
4 צפייה בגלריה
''השמירה על הארגונים שאנחנו עובדים מולם היא ערך עליון במערך הסייבר, ובפרט באגף המבצעים''
(צילום: חיים הורנשטיין)
עכשיו, לראשונה, הם פותחים בפני התקשורת את מרכז השליטה של אגף המבצעים ואת אנשיו. ח', ראש האגף, בן 43, נשוי עם ארבעה ילדים, עובד בתחום אבטחת הסייבר 19 שנים. הוא עבד בחברות שונות בתעשיית ההייטק עד שהגיע למה שמוגדר "משרד ראש הממשלה", ומשם הגיע למערך הסייבר והקים את אגף המבצעים.
"באנו לספר על היחידה שהקמנו לפני ארבע שנים, שאנחנו לא נוטים לספר עליה יותר מדי. גם בגלל שאנשים קצת ביישנים וגם בגלל שאנחנו אוהבים לעבוד מאחורי הקלעים. מרכז השליטה זה 'המקדש' שלנו. יש הרבה אנשים במערך הסייבר הלאומי שלא ביקרו כאן ולא יכולים לבקר. הפעילות היא מאוד סגורה וממודרת. בגלל שאנחנו מתממשקים להרבה גופים במשק, אנחנו חייבים להיות מאוד דיסקרטיים. השמירה על הארגונים שאנחנו עובדים מולם היא ערך עליון במערך הסייבר, ובפרט באגף המבצעים".
ראש הצוות ר"מ, בן 49, נשוי עם שני ילדים, נמצא גם הוא 20 שנה בתחום, רובן במשרד הביטחון. גם ר"ר הוא ראש צוות התערבות, בן 32, נשוי עם שני ילדים. 14 השנים שלו בהגנת הסייבר מתחלקות ברובן הגדול בין חיל האוויר למשרד הביטחון. ראש צוות התערבות שלישי וחוקר סייבר במעבדת האגף הוא א', בן 31, נשוי עם שני ילדים, ו־נ' הוא חוקר סייבר בכיר, נשוי פלוס שלושה עם ניסיון של 15 שנה בצוותי התערבות בחברות הייטק. הוא נמצא באגף מאז הקמתו.
חוץ מהם יש עוד הרבה חוקרי וחוקרות סייבר ביחידה, אפילו צעיר בשירות לאומי, שביחידה מנבאים לו עתיד מזהיר בעולמות הסייבר. בסך הכל ילדים טובים. "הכוח הוא מאוד טכנולוגי. לא בושה להגיד שחלק מהאנשים, יותר קל להם לתקשר עם המחשב מאשר עם אנשים. זו סטיגמה שאני יכול רק לאמת אותה", אומר ח'.
ויש גם נשים, כמו ר', חוקרת בצוות. "הנושאים והתחום שבהם אני עוסקת מפתחים את החשיבה, את היצירתיות ואת יכולות החקירה. אני אוהבת לקחת חידה מאפס ולהרכיב את הפאזל - זה מה שאנחנו עושים בחקירת אירוע סייבר. זה ניתוח מידע וחשיבה יצירתית מחוץ לקופסה", היא מספרת.
מרכז השליטה, "המקדש", נראה כמו מעבדת מחשבים עמוסה מסכים עד התקרה. כאן עוקבים אחר התנהגות תוקפי הסייבר, מזהים אותם במהירות לפי טביעות אצבע דיגיטליות שהם משאירים אחריהם, וגם מפתחים כלי זיהוי וכלי תגובה ייחודיים למתקפות סייבר, שמאפשרים להגיב במהירות, שמפתיעה גם את התוקפים. בצד מונחות מזוודות הפעולה, מחכות להקפצה הבאה.
ח': "הצוותים האלה עובדים במוד של סיירת - קיבלנו משימה, יש גיבוש של צוות משימה, נכנסים, ותוקפים את האירוע בצורה הכי מהירה ומקצועית. עובדים 24/7, יכול להיות בלילה, יכול להיות ביום, יכול להיות בארץ, יכול להיות בחו"ל".
אחד האירועים שעליו מספרים אנשי האגף היה פריצה לחברה שנותנת שירותים לארגונים ממשלתיים. החקירה של צוות ההתערבות העלתה, שהתוקף התנחל במחשבי החברה, וממנה יצא למתקפות על הארגונים הממשלתיים.
לחברה לא היה מושג שיושב במחשבים שלה תוקף מסוכן?
ר"ר: "יש לא מעט תקיפות שבהן החברה לא יודעת שהיא תחת תקיפה. אולי ברוב המתקפות האלה החברות בכלל לא מודעות".
אתם יודעים מה הייתה המטרה של התוקף?
ח': "אנחנו יודעים שהמטרה הייתה להשיג נתונים מהגופים שקיבלו שירותים מהחברה".
זו הייתה תקיפה על רקע מסחרי או מודיעיני?
"תקיפה לתכליות שונות".
באירוע אחר התקבלה התרעה על עוד מתקפה בארגון, שוב ביום חמישי בערב. בשישי בבוקר יוצא צוות ההתערבות למקום ומגלה למנהלי הארגון שהם תחת מתקפה. ביחד עם אנשי המחשבים של הארגון הם סורקים את המערכת, בונים "מפת חום" שמלמדת באילו מערכות יש פעילות חשודה, מאיפה חדר התוקף למערכת, מה הוא עשה מרגע שחדר, איזה מידע הגיע לידיו.
"ואז מתברר שהתוקף כבר מוכר לנו מאפיזודה קודמת", מספר ר"מ, "ברגע שעשינו מיפוי ובדיקות עומק ראינו שזה התוקף של אותה חברת השירותים, שהמשיך להשתמש בנתוני הכניסה שהיו לו. הוא לקח את כל הסיסמאות של הגופים שהחברה נתנה להם שירות, ואחרי זה אנחנו פוגשים אותו תוקף בגופים האלה עצמם".
או אז בנה צוות ההתערבות חסימה שסילקה סופית את התוקף מכל הגופים שהצליח לחדור אליהם. "לדאבוננו התוקף היה במחשבי החברה פרק זמן מאוד ארוך, והגיע ממנה ללא מעט חברות. הטיפול באירוע השני סגר לנו פינות של אירועים פתוחים קודמים, שעכשיו הצלחנו להבין איך חדרו בהם".
אתם יכולים לייחס את התקיפה למישהו מסוים?
ח': "לפעמים. על בסיס פרסומים בעולם והניסיון שלנו עם סוג כזה של מתקפות, אנחנו יודעים מי בעל העניין".
אז מי היה התוקף?
שתיקה.
באחד המקרים, הם מספרים, מגיע הצוות בעקבות קריאה, פותח את ארגז המבצעים עם הציוד, שולף מערכת שמאפשרת לראות מה קורה בתוך מחשבים של חברה, ו"פתאום אתה רואה את התוקף עובד אונליין בזמן שאתה מסתכל על המסכים", מספר נ'. "שואב קבצים, מעלה קבצים חדשים, משנה נתונים, מאפס סיסמאות. התחיל משחק חתול ועכבר, כשהוא לא יודע שאנחנו מסתכלים עליו. כך למדנו המון על שיטת העבודה שלו, ראינו אותו מקים תשתית חדשה של תקיפה, מוחק קבצים כדי לטשטש ראיות".
היה לכם דיאלוג איתו?
ח': "אנחנו גוף הגנה. אנחנו לא מתעסקים בתוקפים אלא בתקיפות. אנחנו יודעים לייחס את התקיפה, אבל פחות מתערבים. אם מחר יהיה מצב שמתקפות כופר יתחילו להתפשט בצורה מטורפת במדינת ישראל - אני מניח שנתערב. אם אנחנו נאלצנו להגיע לאירוע, אפשר להניח שאלה לא ילדים שמשחקים בקוד, אלא מישהו שתוקף חברות לעומק, מישהו שעשה עבודה רצינית ומאורגנת".
פורסם לראשונה: 06:55, 14.08.20
