התוקפים מאיראן עושים זאת שוב - והפעם הם גורמים מבוכה קשה לתעשיית הסייבר הישראלית: קבוצת ההאקרים Pay2key פרסמה הערב (יום ה') מסמכים רבים שהצליחה לגנוב לכאורה ממחשבי חברת אבטחת הסייבר הישראלית פורטנוקס (Portnox), מהחברות הבולטות בתחום.
(צילום: משי בן עמי)
התוקפים פרסמו באתר שלהם בדארקנט קובץ ובו רשימת כל לקוחות פורטנוקס והסיסמאות שלהם, וכן רשימה ארוכה של מסמכים של לקוחות החברה, בהם חברות כמו רפאל, אמדוקס, בזק, אלביט, אל-על, סופרפארם, קופת חולים הכללית, מוסד יד ושם, האוניברסיטה הפתוחה, חנות ג'יימס ריצ'רדסון (הדיוטי פרי) ועוד. התוקפים טוענים כי הדליפו בשלב זה רק 3 גיגה-בייט של נתונים אך כמות הנתונים הכללית שבידם מגיעה לטרה-בייט והם מכילים מסמכים, פרוייקטים, קוד מקור ועוד.
מפורטנוקס נמסר: "בשעות האחרונות פורסם כי בוצעה פריצה לשרתים פנימיים של החברה, על ידי קבוצת האקרים המזהה עצמה כ- Pay2Key. החברה נמצאת במהלכה של חקירה אינטנסיבית על מנת לברר לעומק את פרטי האירוע". במערך הסייבר הלאומי נמנעו מהתייחסות לפריצה.
קבוצת Pay2key היא קבוצת ההאקרים האיראנית שתקפה בתחילת השבוע את חברת אלתא של התעשייה האווירית ולפני כן את חברת הבאנה לאבס של אינטל וחברות ישראליות נוספות. אתר הקבוצה בדארקנט משמש את ההאקרים כדי לפרסם את הקבצים שגנבו, במה שנראה כמו מתקפת השפלה והשפעה תודעתית על הציבור הישראלי.
לקמפיין ההשפלה נלווים טקסטים לעגניים כמו "פורטנוקס מספקת את הדור הבא של הגנת רשת... נשמע טוב. אז בואו נבדוק את האבטחה של אלה שביקשו להגן על הרשתות שלהם... האם ידעתם שרוב הלקוחות השתמשו בקווים מאובטחים לפורטנוקס והעלו את הנתונים שלהם לניתוח בפורטנוקס? מגניב, אז זהו בעצם רק קצה הקרחון".
הבוקר פרסמה קבוצת Pay2key ציוץ בטוויטר ובו הלוגו של חברת פורטנוקס. לתמונה צורפה שאלה לעגנית: "מי מכיר את הלוגו הזה? כשאתה צריך להגן על רשתות של אחרים אבל לא מצליח להגן על שלך..." הציוץ גרר מסכת של תגובות מצד עוקבי הקבוצה ומומחי הסייבר הביעו דאגה לחברה וללקוחותיה. בחברת פורטנוקס גייסו את משרד ייעוץ התקשורת "שלום תל אביב" לסיוע.
על בסיס המידע שנחשף קשה לדעת אם בידי התוקפים מידע שעלול לפגוע משמעותית בחברה או בלקוחותיה, בדומה להתקפה המסיבית על לקוחות סולרווינדס האמריקאית. המסמכים שהודלפו כוללים מעקב מפורט אחר תקלות בתחום התקשורת ואבטחת הגישה אצל כל חברה וחברה. לדברי בועז דולב, מנכ"ל חברת הגנת הסייבר קלירסקיי, המידע הראשוני אינו מכיל מידע משמעותי. מדובר במסמכים מהשנים 2016-2019, מה שלהערכתו מעיד על כך שהפריצה למחשבי פורטנוקס התבצעה ב-2019. התוקפים שחררו קובץ גדול נוסף, שתוכנו טרם נבדק.
קלירסקיי פרסמה מסמך בתחילת השבוע, בו ניתחה את מתקפות Pay2key והגיעה למסקנה כי מדובר בחלק מקבוצה איראנית רחבה יותר שמכונה "גור שועלים" (Foxkitten). לדבריו אין לקבוצה מטרות כספיות אלא פגיעה מוראלית: "מדובר בקמפיין תודעה איראני, שנעשה על ידי קבוצת Foxkitten", אמר.
לפני הפריצה לתעשייה האווירית התוקפים ניהלו משחק ניחושים עם העוקבים אחריהם ושאלו מי החברה הכי מאובטחת לדעתם. לאחר מכן כתבו: "לפי בחירתכם, למערכת התעשייה האווירית יש את הרשת המוגנת ביותר. אולי הם חושבים כך, אבל צריך להוכיח את זה". עוד נאמר בהודעה כי החלק המעניין ביותר יהיה הגישה לשרתי הקבצים של החברה, שמכילים מסמכים טכניים, סרטי וידאו, מחקרים ופרויקטים. "האם הם בידיי, מי יודע?". יום לאחר מכן פורסמה רשימת כל עובדי החברה והסיסמאות שלהם.
דפוס התקיפה של קבוצת Pay2key, כפי שאפשר היה לראות במתקפה על אינטל ואלתא, הוא חשיפה ראשונית של מעט מידע, ולאחר מכן דרישת כופר שנמסרת לקורבן באופן חשאי. אינטל סירבה לשלם והתוקף חשף בדארקנט מקבץ מסמכים גדול שלה. בשלב זה התוקף לא מסר אם הוא דורש תשלום כופר מהתעשייה האווירית או מפורטנוקס והוא מסתפק בתיאור כללי המסמכים שיש בידיו.
פורסם לראשונה: 21:05, 24.12.20
