קבוצת ההאקרים Black Shadow שמזוהה עם איראן פרצה לחברת שרתים גדולה והשביתה כך אתרים ישראליים רבים - וכעת מדליפה מידע ראשוני. ההאקרים שדרשו הלילה מהחברות לפנות אליהם, ייתכן שבמסגרת דרישת כופר לשחרור המידע שעליו השתלטו, פרסמו לקראת הצהריים נתונים על מה שמסתמן כאלפי לקוחות של חברת התחבורה הציבורית "קווים" - שגם אתרה נפרץ והושבת. גם אתר היכרויות הלהט"ב המוביל "אטרף" ככל הנראה נפרץ במתקפה, וגם הוא מושבת כבר כמה שעות. עקב כך ישנו חשש מדליפה של פרטי מנויים, חלקם אולי עדיין בארון.
האגודה למען הלהט"ב מסרה בתגובה לפריצה ל"אטרף": "קוראים וקוראות למטה הסייבר הלאומי לפעול בדחיפות למניעת דליפות המידע. דליפת פרטיהם האישיים של המשתמשים היא סכנה לפגיעה נפשית". עוד נמסר מהאגודה כי כל מי שמעוניין יכול לפנות לקו הקשב "יש עם מי לדבר" שייפתח הערב החל מהשעה 19:30 בטלפון 2982*.
"הם לא יצרו איתנו קשר... אז המידע הראשוני הוא פה", כתבו ההאקרים בחשבון הטלגרם שלהם - בהודעה שלה צירפו קובץ אקסל ובו רשומות של יותר מ-28,000 בני אדם, ככל הנראה לקוחות של חברת "קווים", או כאלו שהתקשרו למוקד הלקוחות שלה. "אם לא תיצרו איתנו קשר, יהיה עוד", איימו ההאקרים. ברשומות מצוינים פרטיהם של הלקוחות - כולל כתובות מגורים מלאות, מספרי טלפון, כתובות דואר אלקטרוני ואף מספרי תעודות זהות.
לצד הנתונים הללו צורפו במסמך האקסל הענק הערות על חלק מהאנשים. על אחת מהם נרשם כי היא "גברת מאוכזבת", על אחרת "נוסעת מאוכזבת מאוד" ועל אדם נוסף נכתב: "חרש!". על אחד הלקוחות נכתב כי הוא "צ'רקסי". ללקוח אחר צורף מה שנראה כמו הערה המסכמת את תלונתו לשירות הלקוחות: "אי הופעת אוטובוס מבאר יעקב לשוהם קו 23 מספר תחנה 33149 קו 23". בחברה אמרו כי מדובר בכינויים שהלקוחות בחרו בעצמם, ולא בהערות שרשם מי מהעובדים.
קבוצת ההאקרים, שבשנה האחרונה הייתה אחראית גם למתקפות על שירביט ועל חברת המימון ק.ל.ס, הודיעה אמש כי פרצה לשרתי החברה הישראלית Cyberserve ושיתקה אותם. היא ציינה כי הוציאה מידע על לקוחות אותה חברת שרתים - בהם חברת התחבורה "דן", חברת התחבורה "קווים", מוזיאון הילדים, חברת הטיולים המאורגנים "פגסוס", הבלוג של תאגיד השידור הציבורי "כאן" ועוד.
חברת Cyberserve היא חברת אירוח אתרים, כלומר על שרתיה יושבים האתרים של הגופים הנ"ל. ברגע שקבוצת ההאקרים הצליחה לפרוץ לשרת, הגישה לשאר האתרים משתבשת גם היא. חלק מהאתרים מושבתים במשך ארוכות מאז אמש, כולל אתר חברת Cyberserve.
החברה, שפועלת מאז 1997, מגדירה עצמה כאחת הגדולות בתחומה בישראל, ועוסקת גם "בפיתוח פתרונות אפליקטיביים על פלטפורמות אינטרנטיות וסלולריות, בניית אתרי אינטרנט, עיצוב אתרים ופיתוח מערכות Web חכמות". לפי חשבון הפייסבוק של החברה, "בין לקוחותיה גופים מובילים במשק הישראלי בתחומים שונים".
"שוב שלום! יש לנו חדשות בשבילכם", פרסמה אמש קבוצת ההאקרים בטלגרם. "כנראה שלא הצלחתם להתחבר לאתרים רבים היום. חברת Cyberserve ולקוחותיהם נפגעו מאיתנו", הודיעו. ב-Black Shadow איימו: "אתם בטח שואלים מה עם הנתונים? כמו תמיד, יש לנו הרבה מהם. אם אתם לא רוצים שהם ידלפו על ידינו - צרו איתנו קשר בהקדם".
הקבוצה זוהתה בתקיפות הקודמות כקבוצה איראנית, שמאחוריה מטרות שאינן כספיות. בתקיפה על חברת הביטוח "שירביט" דרשו התוקפים כופר של 50 ביטקוין ואולם מומחי הגנת הסייבר הישראלים טענו אז שמטרת התוקפים היא מדינתית, ונועדה להציג את הסייבר הישראלי כבלתי יעיל, ולא לקבל את הכופר.
מערך הסייבר הלאומי: "הזהרנו שהחברה חשופה לתקיפה"
ממערך הסייבר הלאומי נמסר בעקבות התקיפה על חברת Cyberserve: "בשנה האחרונה התריע מערך הסייבר הלאומי לחברה מספר פעמים על היותה חשופה לתקיפה. כמו כן, למערך תוכנית מיוחדת להענקת 'תו חוסן' לחברות אחסון אתרים אשר יעמדו בסטנדרטים של הגנה. חברות שיצטרפו לתוכנית ויעמדו בסטנדרטים שהציב המערך יצמצמו את הסיכוי להיפגע ממתקפת סייבר. בנוסף, המערך המליץ לחברה שנפגעה ליידע את לקוחותיה על הדלף. לאזרחים אשר פרטי הטלפון והדוא"ל שלהם דלפו, מומלץ לגלות ערנות רבה יותר להודעות דוא"ל ולמסרונים חשודים, להחליף סיסמה ולהטמיע אימות דו שלבי בכל האפליקציות כגון הרשתות החברתיות ואפליקציית הבנק".
ד"ר הראל מנשרי, ראש תחום סייבר במכון הטכנולוגי חולון, וממקימי מערך הסייבר בשב"כ, אמר כי "קבוצת ההאקרים Black Shadow הוא שם כיסוי לקבוצת תקיפה איראנית, הפועלת בכסות פלילית שהצליחה להשתלט על מערכות חברת שירותי האינטרנט Cyberserve, ובדרך זו להשבית אתרי אינטרנט של ארגונים ישראליים שונים אשר מקבלים ממנה אישור".
מתקפות הסייבר בישראל: ריאיון עם בכיר בשיבא על ניסיונות פריצה לבתי החולים
(צילום: משי בן עמי)
לדבריו, "בדומה לאירוע התקיפה על שריביט וק.ל.ס - גם הפעם מנסים התוקפים האיראניים להפעיל השפעה תודעתית תוך שהם פונים לנתקפים בהצעה 'להחזיר' כביכול את הנתונים שנגנבו על ידם בתמורה לכופר". הוא ציין כי איראן פועלת מתוך "ראייה אסטרטגית", באמצעות מערכי הסייבר של משמרות המהפכה ושל משרד המודיעין בטהרן, במטרה לפגוע במערכות תשתית (מים, אנרגיה וכדומה), וכן במגזר הפיננסי של ישראל - וכדי לאסוף מודיעין.
בשבוע שעבר הכריזה חברת הגנת הסייבר קונפידס על הקמת חמ"ל סייבר, עם חיוג מהיר ושירות שפועל מסביב לשעון 24/7 ונותן מענה לחברות שמוצאות עצמן תחת מתקפת סייבר או מתקפת כופרה. לפני כמה חודשים הכריזה התאחדות התעשיינים על הקמת מטה סייבר פנימי, שנועד לתת מענה דומה לחברות ומפעלים שנמצאים תחת מתקפת סייבר.
מנתוני סקר של איגוד ההייטק בהתאחדות עלה כי מאות חברות בישראל שילמו לתוקפי סייבר כופר בהיקף שעלה על מיליארד דולר ב-2020. הנתונים פורסמו לראשונה ב-ynet. לפי הסקר, אחת מכל ארבע חברות ישראליות עברה מתקפת סייבר במהלך השנה שעברה. מתברר שכשליש מהחברות שהותקפו היו חברות ענק ישראליות, בעלות ערך של למעלה ממיליארד דולר.
פורסם לראשונה: 13:58, 30.10.21
