חברת הגנת הסייבר הישראלית סייבריזן חושפת הבוקר (יום ה') סדרה של תקיפות סייבר שמכוונות לגורמים בכירים ברשות הפלסטינית. מדובר במתקפת ריגול, שמטרתה לעקוב אחד פעילות הבכירים ולחלץ ממכשירי הטלפון שלהם קבצים, צילומי מסך, ולהאזין לשיחות טלפון והתכתבויות.
שיטת העבודה משלבת כלי ריגול מתקדם בשם Pierogi, שנשתל בתוך מכשירי הטלפון באמצעים פשוטים ביותר כמו דיוג (פישינג) ופוסטים ברשתות החברתית. התוקפים משכו את הקורבנות לפתוח את כלי שתילת הנוזקה באמצעות דיווחים על נושאים בכותרות כמו ״עסקת המאה״ של דונלד טראמפ, ההתנקשות בגנרל האיראני קאסם סולימאני, המתיחות בין חמאס לפתח, והסכסוך הישראלי-פלסטיני.
אבו מאזן בישיבת המועצה המרכזית של אש"ף ברמאללהאבו מאזן בישיבת המועצה המרכזית של אש"ף ברמאללה
אבו מאזן. מי מרגל אחרי הבכירים הפלסטינים?
(צילום: רויטרס)
קבוצת המחקר נוקטורנוס של חברת סייבריזן מצאה טביעת אצבעות ברורה של קבוצת ההאקרים ״MoleRATs" הידועה גם בשמה "The Gaza Cybergang". הקבוצה פעילה מאז 2012 ומזוהה עם ארגון החמאס ועם גיבוי ותמיכה של יכולות סייבר איראניות. שיטות העבודה וגם כלי פריצת הסייבר במקרה הנוכחי כבר שימשו את הקבוצה בעבר, אם כי הפעם החוקרים מצאו תחכום רב יותר בהפעלתם.
בעבר כבר היו מקרים שבהם הרשות הפלסטינית פרצה לטלפונים של הנהגת חמאס בעזה ובחו"ל. בשני הצדדים נוהגים להדליף לרשתות החברתיות ומשם לתקשורת הערבית שיחות טלפון מביכות של בכירים, שבהם נאמרים דברים מביכים מבחינתם, בין השאר על השקפותיהם ועל דעותיהם על חבריהם בהנהגה ואפילו הדלפות בעלות תוכן מיני.
עם זה, לא בלתי עולה על הדעת שמאחורי המתקפה נמצאים גורמי סייבר התקפי מנוסים ומשוכללים הרבה יותר, שמבקשים להבין את המהלכים בצמרת הרשות הפלסטינית אבל מסווים את עצמם כאילו הם אנשי סייבר החמאס. יכולות סייבר מתקדמות כאלה יש בסין או ברוסיה, אבל גם בארה"ב ובישראל, שעשויות להתעניין בתכנים האלה. בין הסימנים שיכולים להעיד על כך הם ממצאי צוות המחקר שמהם עולה כי במתקפות הנוכחיות יש עליית מדרגה ביכולות ההתקפיות ויש שיפור של מערך הנוזקות. בין השאר נמצא, כי הנוזקה תוכננה כך שתפעל רק נגד מכשירים של דוברי ערבית, ואם הושתלה בטעות במכשיר של דובר עברית או אנגלית היא לא תפעל כלל.
סייבריזן קמפיין תקיפת סייבר הרשות הפלסטיניתסייבריזן קמפיין תקיפת סייבר הרשות הפלסטינית
ככה מפתים את בכירי הרשות הפלסטינית
(צילום: סייבריזן)
מכל מקום, בסייבריזן לא מצביעים על הגורם שמאחורי המתקפה אלא על שיטות העבודה שמאפיינות את קבוצת "כנופיית הסייבר של עזה". גורם בסייבריזן אומר בתשובה לשאלה בעניין זה: "כתבנו במפורש, שיש הרבה קבוצות שפועלות במזרח התיכון, ויכול להיות שכאן מדובר בקבוצה איראנית, אולי ממצרים שיכולה להתעניין בדברים האלה. אנחנו מעלים את האפשרות שיש גורם שמתחזה אל החמאס אבל מה שיש לנו הם הנתונים, שמסתדר טוב ומצביעים על קבוצת MoleRATs ואם מישהו ניסה לחקות אותם הוא עשה עבודה מאוד טובה.
האם בישראל אנחנו צריכים להיות מודאגים?
"כן, מאוד מודאגים. אנחנו ציינו כאן שני קמפיינים אבל יכול להיות שקיימים עוד קמפיינים שמכוונים נגד ישראלים ונגד מקומות אחרים בעולם. אני בטוח שגופי הביטחון שלנו מודעים לשיטות האלה. להבין את שיטות התקיפה של האויב זה סופר חשוב, כדי שנדע להיזהר מהשיטות האלה.ואנחנו תמיד גם מעדכנים את מערך הסייבר הלאומי".
תקיפת מבנה מערך הסייבר של חמאס ברצועת עזהתקיפת מבנה מערך הסייבר של חמאס ברצועת עזה
תקיפת מבנה מערך הסייבר של חמאס ברצועת עזה
(צילום: דובר צה"ל)
יצויין כי בחודש מאי 2019 חיל האוויר תקף את עזה ובין השאר פגע ומוטט בניין שהוגדר כ"תשתית סייבר התקפית של חמאס, שנועדה לשבש את מרקם החיים בישראל". במערכת הביטחון קבעו אז כי יכולות הסייבר של חמאס נפגעו אנושות, ובכיר במערכת הביטחון אמר: "החמאס ניסה לבסס יכולות התקפיות בסייבר ופעל מרצועת עזה בניסיונות לפגוע במרחב הסייבר הישראלי. כלל הפעולות והניסיונות התגלו וסוכלו מבעוד מועד והתשתית לא הצליחה לממש את תוכניותיה".