המתקפה על חברת עמיטל היא מתקפת כופרה, כך קובעים גורמים בכירים המטפלים באירוע. תוכנת הכופר, שמסוגלת להשבית את מערכות החברה שבה היא מופעלת, זלגה לעשרות חברות לוגיסטיקה ושילוח, בהן לפחות שלוש חברות שמטפלות בהעברת משלוחי חיסוני קורונה בישראל.
התוכנה המסוכנת הצליחה לחדור גם למחשבי חברות שלא מקבלים שירותים מחברת עמיטל, בהן חברות שמספקות שירותים למשרד הביטחון.
עם זאת, במערך הסייבר טוענים כי כל החברות שנחשפו למתקפת הסייבר קיבלו התרעה, והועבר אליהן סט כלים שמנטרל את תוכנת הכופר ועוצר את המתקפה. גורם במערך הסייבר אמר ל-ynet: "הגענו אל החברות לפני שהתוקף הצליח לממש את האיום, הכנסנו את המזהים למערכות ההגנה וכך חיסלנו את התקיפה".
מתקפת הסייבר על עמיטל החלה כבר לפני כשבועיים, אבל רק בסוף השבוע התברר היקפה בידיעה שפורסמה לראשונה היום בכלכליסט: תוכנת הכופר זלגה מחברת עמיטל – שנותנת שירותי תוכנה לחברות לוגיסטיקה – לרבות מהלקוחות שלה.
מתקפת הסייבר על שירביט
(צילום: אבי חי)
לנוכח היקף המתקפה והבחירה בחברות רגישות שעוסקות בשינוע משלוחים באוויר ובים לישראל, עולה ההשערה כי מדובר בתקיפה איראנית על ישראל. מומחי סייבר מציינים כי למתקפה יש מאפיינים של מתקפות איראניות בעבר. להשערה זו אין אישור מגורם רשמי כלשהו. אפשרות אחרת היא כי מדובר בפושעי סייבר, כמו אלה שתקפו את חברת שירביט לפני כשבועיים, והשערה זו מתחזקת לנוכח העובדה שמדובר במתקפת כופר.
בשלב זה ככל הנראה לא מתנהל משא ומתן עם התוקפים ולא ידוע מה סכום הכסף שהם דורשים אם בכלל. בחברת עמיטל שכרו שירותי צוותי התערבות ומומחי ניהול משברים כדי להתמודד עם האירוע. המאמץ העיקרי הוא בהגנת המערכת ומניעת חסימתה על ידי התוקפים. אם יצליחו התוקפים להפעיל את כלי התקיפה, עלולים משלוחים לוגיסטיים רבים לישראל להיפגע ולהתעכב. לקוחות עמיטל מהווים כ-70 אחוזים מכלל חברות השילוח בישראל.
מערך הסייבר פנה באופן יזום לכל החברות במשק שעלולות להיפגע מהמתקפה ומסר להן את הפרטים שמאפשרים לזהות את המתקפה. כמו כן נשלחו הכלים לנטרול המתקפה. חלק מהחברות שקיבלו את הפנייה הודיעו שאכן גילו במחשביהן נוכחות מכלי התקיפה של ההאקרים. יצוין כי מערכות המחשבים של חברות שילוח מתאפיינות בקישורים למערכות מידע רבות ובחיבורים פנימיים בין החברות בענף, וזו כנראה הסיבה שהתוקפים הצליחו לחדור בקלות לכל כך הרבה חברות בבת אחת.
לפי הדיווח בכלכליסט, התוקפים הוציאו מידע רב ממחשבי עמיטל - מידע שעלול גם להיות בעל ערך אסטרטגי למדינות אויב. בין השאר נגנבו רשימת הלקוחות של עמיטל וכן פרטי ההתחברות ללקוחות. לא פחות מ-40 מלקוחות עמיטל נפגעו ונגנב מהם מידע ברמה זו או אחרת. חלק מהנפגעות הן החברות הגדולות ביותר במשק הישראלי בתחום הלוגיסטיקה והייבוא, חלקן בעלות מניות בעמיטל.
חברת אוריין, אחת מלקוחות עמיטל, דיווחה היום לבורסה: "בשבוע שעבר זיהתה אוריין, לאחר קבלת התראה מאחד מספקי התוכנה שלה (עמיטל), כי כתוצאה מאירוע סייבר שהחל אצל עמיטל, דלף מידע השמור באחד משרתי אוריין, כפי שאירע, למיטב ידיעת החברה, לכ-40 לקוחות נוספים של עמיטל.
"בעקבות פעולות שנקטה אוריין, הופסקה דליפת המידע מספר שעות לאחר מועד הגילוי. אוריין ביצעה חקירה מקיפה, לרבות מול עמיטל, ויש בידה הערכות באשר לסוג המידע שדלף, אך אין בידה מידע באשר לזהות הנתונים שדלפו". החברה ציינה היא פועלת בתיאום עם מערך הסייבר הלאומי, תגברה את מערך אבטחת המידע, וכי האירוע לא השפיע על פעילותה השוטפת.
מחברת עמיטל נמסר בתגובה: "לפני כשבועיים זיהו מערכות ההגנה של החברה ניסיונות תקיפה למחשבי החברה ולחלק מלקוחותיה. האירוע מהווה חוליה בשרשרת אירועים מקבילים ברמה הלאומית שנחקרו ונמצאים במעקב של מערך הסייבר הלאומי. כחלק מפרוטוקול החברה, בוצע חיזוק בשכבות ההגנה של החברה והוקם חמ"ל ייעודי כדי לתת מענה לכל סוגיה. החברה נעזרת במומחים מתחום הסייבר על מנת להכיל את האירוע. בשלב זה ישנה פגיעה נקודתית. אנו נעדכן באופן שוטף בכל התפתחות".
גיא טברובסקי, מנהל הטכנולוגיות בחברת אבטחת הסייבר Semperis, אומר בהתייחסות לאירוע: "בכל רגע נתון יש בין אלפי לעשרות אלפי תקיפות על ארגונים ישראלים חלקם מתוחכמות יותר וחלקן פחות. אפשר לשער שאם הנושא הגיע לנקודה הזו ומתנהל למעלה משבועיים ומערך הסייבר לוקח חלק פעיל, מדובר פה בתקיפה מתוחכמת שיתכן שגם הצליחה בצורה מסוימת.
"אנחנו מאמינים שעם הזמן פרטים נוספים ידלפו החוצה. אם פעם, מטרת רב התקיפות הייתה לגרום נזק לארגון או להשיג ידע מהמתחרה, היום אנחנו רואים יותר ויותר תקיפות שמטרתן לשבש את שגרת היומיום על ידי פגיעה בארגונים שפעם לא נתפסו כקריטיים או אטרקטיביים עבור התוקפים".
