האקרים איראנים, הפועלים בחסות הממשל בטהרן, פרצו למאות מערכות מחשב בישראל ובעולם והצליחו לדלות מידע מודיעיני בכמויות גדולות - כך עולה מנתונים שנחשפים היום (א') לראשונה ב-ynet. בחברת הגנת הסייבר קלירסקיי (ClearSky) מצאו שבין הארגונים שנפגעו נמצאים ארגונים ביטחוניים, ארגונים ממשלתיים וחברות בתחומי המחשבים, התקשורת, האנרגיה והתעופה.
צפו בריאיון באולפן ynet
(צילום: אלי סגל)
התוקפים השיגו גישה לתוך מערכות המחשב של הארגונים הנפגעים, ביססו את אחיזתם בתוך המערכות ולאחר מכן בנו דרכי חדירה נוספות וכך הוליכו שולל חלק מהחברות שגילו את הפריצה וחשבו שהצליחו לחסום אותה.
מנכ"ל קלירסקיי, בועז דולב, אומר ל-ynet כי הסבירות גבוהה שבחלק מהארגונים יש נוכחות איראנית פעילה עד לרגע זה. לדבריו, האיראנים מחפשים מידע מודיעיני ממוקד, ובין השאר הצליחו לגנוב מידע על פרויקטים חשובים, בהם פרויקטים ביטחוניים ומידע אישי על אנשים מסויימים. עם זאת, הוא שלל את האפשרות שאיראן הצליחה לשים את ידה על מידע בתחום הגרעין: "הם לא מצליחים אפילו להתקרב למידע כזה", אמר.
שועל-חתול
קמפיין התקיפה המכונה שועל-חתול (Fox Kitten) מתנהל בשלוש השנים האחרונות נגד עשרות ארגונים וחברות בישראל וכן בארה"ב, סעודיה, לבנון, כווית, איחוד האמירויות הערביות ומדינות שונות באירופה. הקמפיין שימש ככל הידוע לאיסוף מודיעין בלבד, אם כי התוקפים יכולים להשתמש בו להפצת נוזקות הרס והפעלתן במחשבים ישראלים.
"להערכתנו זה אחד הקמפיינים המתמשכים והמקיפים ביותר של האיראנים אשר נחשפו עד כה", נכתב בדו"ח שהחברה הפיצה היום. לפי הדו"ח, הקמפיין בנה תשתית תקשורת נסתרת שאיפשרה לבסס לאורך תקופה ארוכה יכולת שליטה ונגישות מלאה מול היעדים שנבחרו על ידם. חברת קלירסקיי הובילה לחשיפה בניו יורק טיימס של פרשת ההתקפה על המוסדות הפיננסיים באיראן שהביאה לדליפת פרטיהם של 15 מיליון כרטיסי אשראי איראניים.
דולב אומר שההאקרים האיראנים חדרו לתוך מערכות המיחשוב באמצעות ניצול של חולשות במערכות אבטחת גישה מסוג VPN. בשנים האחרונות התפרסמו חולשות בשלוש מערכות VPN נפוצות והאיראנים הצליחו לנצל אותן בתוך ימים ממועד הפרסום, לפני שהחברות הספיקו לתקן את הפרצות.
"הדבר הראשון שהם עושים מרגע שחדרו למערכת זה לבנות עוד שתיים-שלוש כניסות נוספות, כדי שגם אם תיחסם הגישה שלהם דרך הפרצה המקורית יוכלו לחזור למערכת דרך הפתחים האחרים", אומר דולב. "כך יוצא שאחרי שהארגונים חשבו שסגרו את הפירצה ההאקרים ממשיכים בעבודתם ללא הפרעה, וזה גורם לפגיעה מאוד קשה".
החוליה החלשה
לדברי דולב, בשנים האחרונות השקיעו החברות והארגונים מאמצים רבים בהגנת מערכות הדואר האלקטרוני, חומות האש והגנות האתרים ואולם הם ממשיכים לאפשר גישת VPN של עובדים למערכות המחשבים, מתוך הנחה שהן מוגנות. "אנחנו רואים שזה היה וקטור הכניסה העיקרי של ההאקרים כאן, וזו נקודה מאוד רגישה כי בחלק מהמקרים הצליחו בשיטה הזו להתחבר לארגונים נוספים שהחברה נותנת להם שירותים".
לדברי דולב, במערך הסייבר הלאומי בישראל הבינו את הבעיה ופנו לכל הגופים הרלוונטיים לחולשות שנחשפו, והתריעו בפניהם על הצורך לעדכן את ההגנות. "כל הגופים הבינו זאת ועבדו מאוד קשה שזה לא יקרה ולמרות זאת זה קרה, והיעדים של איראנים הושגו היטב".
הדו"ח שפירסמה קלירסקיי כולל תיאור מפורט של הכלים והתוכנות בהם משתמשים הפורצים. בחברה אומרים שעל בסיס מידע זה יכול כל מנהל מערכת מחשבים לבדוק את המערכת שלו נגועה, ולגלות אם אולי ההאקרים האיראנים מתארחים אצלו במחשבים ממש ברגעים אלה. "אנחנו רואים שהאיראנים משתפרים ביכולות שלהם, אם כי הם עדיין לא מפתחים יכולת חדשנות. הפרסום הנוכחי אמור לסייע ליצור גל של הידוק ובנייה מחדש של הבדיקות של חברות", אמר דולב.
