רעידת האדמה שהתרחשה בממשל האמריקאי בחודש שעבר בשל גל פריצות למחשבים של משרדי הממשל ושל צבא ארה"ב, המיוחס להאקרים רוסים, ממשיכה לעורר הדים. "זו רק ההתחלה", קובע זוהר פנחסי, בעלי החברה האמריקאית MonsterCloud, המתמחה בסיכול טרור סייבר.
הפריצה נעשתה דרך השרתים של חברת סולארווינדס, ספק מאושר של הרשויות האמריקאיות, שמספקת שירותים לרבבות ארגונים, גם בישראל. "בעקבות הפריצה, המערכות הרגישות ביותר של ישראל נמצאות בסיכון הגדול ביותר שיש. אפשר להניח שהצבא וגופים ביטחוניים אחרים גם נחשפו לפריצה, אולם בגלל הצנזורה ישראל לא תחשוף אילו מערכות נפרצו", הוא מוסיף. "ברגע שהמידע נלקח, כבר אין שליטה על היכן הוא יצוף. צריך לחכות ולראות מה ההשלכות".
בכלל, טוען פנחסי, תקיפות הסייבר נגד ישראל ילכו ויתגברו ב־2021. "המטרה המרכזית של התקיפות היא לאסוף מידע ולפגוע במתקנים אסטרטגיים, ומתוך כך לערער את התדמית הישראלית בעולם", הוא אומר ומוסיף כי איראן היא בין המדינות שהן האיום האסטרטגי הגדול על ישראל בתחום זה.
פנחסי הוא לא איש של בשורות. "מלחמת העולם הבאה לא תהיה עם רובים וטילים - היא תהיה בתחום הסייבר", הוא קובע. "מה שקרה עם סולארווינדס זה הפרומו. זו תעשייה שמגלגלת מיליארדים בשנה, ובכל פעם נפרץ שוב ושוב הגבול האנושי".
הקורונה הפכה את תקיפות הסייבר לתכופות יותר ולחמורות יותר. מדוח של MonsterCloud לסיכום שנת 2020 עולה כי במהלך הרבעון השלישי של השנה נרשמה עלייה של 50% בתקיפות הסייבר על מערכת הבריאות בארה"ב לעומת שני הרבעונים הקודמים. "קבוצות של פושעי סייבר עקבו בין היתר אחר ארגונים שניסו למצוא את החיסון לקורונה", אומר פנחסי. "שום דבר כבר לא מפתיע אותי בתחום הזה". התפשטות הנגיף הביאה חברות מכל העולם לשלוח את עובדיהן לעבוד מהבית, לעתים בלי להיות מאורגנות מבחינת האבטחה. "לפני המגיפה, אם סרקת את האינטרנט, היית יכול למצוא מספר מדויק של שרתים בעולם שפוטנציאלית יכולים להיות חשופים לתקיפה ולפריצה - המספר הזה גדל במאות אחוזים", מסביר פנחסי. "זה קורה משום שאיש מערכות המידע (IT) בחברה לא מודע מספיק לסיכונים, לא מבין מספיק בתחום ולא יודע שיש אנשים מקצוענים שרק מחכים שהוא יפתח את הדלתות".
תוכנה לכל המעוניין
ב־2012, כשחברת MonsterCloud החלה את פעילותה, המסחר במטבע הווירטואלי עדיין היה בחיתוליו. "האקרים היו מבקשים מהקורבן למלא כרטיס אשראי חד־פעמי (Green Dot) בסכום שההאקר היה דורש ולתת לו את המספר, כדי שהם יוכלו למשוך את הכסף בצד השני", מתאר פנחסי את שיטת העבודה. "כיום הם מקבלים את התשלום בביטקוין או במטבע וירטואלי אחר".
לדבריו, לאחר שהקבוצות הללו הבינו שרשויות אכיפת החוק יכולות להתחקות אחר נתיב הכסף ושהביטוקין לא מאובטח מספיק, הם עברו ל"מונרו", מטבע וירטואלי שכרגע קשה יותר לאתר את נתיב התשלום באמצעותו. "זה דד אנד", הוא קובע. "עלה רעיון של כמה רשויות ומדינות בארה"ב להפוך את תשלום הכופר ללא חוקי, אולם זה לא בר ביצוע".
התמונה שונה לגמרי מבעבר, ולא רק בשל הכסף. ההאקרים עובדים בצורה מאורגנת עם מנכ"ל ו"חיילים" לכל דבר. "חברת האקרים עם עשרה עובדים שמקבלים 5,000 דולר בחודש יכולה לייצר הכנסות של 100 מיליון בשנה", הוא טוען. "בעוד חמש עד עשר שנים, מה שקורה כיום יהיה כמו הליכה בפארק".
"בסרטים שכולנו מכירים יושב נער בחדר בבית הוריו עם קפוצ'ון על הראש וחודר למחשבים של ארגונים וחברות. במציאות, אם פושעי הסייבר יזהו את החברה כקורבן הפוטנציאלי שלהם, הם יחפשו חולשה במערכת האבטחה, ישתמשו בידע מוקדם או ישתמשו בהנדסה חברתית. כלומר, ינצלו את התכונות הפסיכולוגיות של האדם שעשויות להביא אותו לציית לבקשותיהם", מתאר פנחסי.
"עבדנו לאחרונה עם עירייה בארה"ב שהשקיעה מאות אלפי דולרים באבטחה ברמה הכי גבוהה", מספר פנחסי. "מה שעשינו כדי לבדוק את האבטחה היה להתקשר לאחת הפקידות בעירייה, להציג את עצמנו כמשטרה המקומית ולהשיג דרכה את הססמה לרשת. זה עד כדי כך פשוט. כל אחד עם אפס ניסיון באבטחה יכול לעשות עשרות אלפי דולרים ברגע".
פנחסי מספר על לקוחה אחרת של MonsterCloud, חברת נפט מטקסס, שמגלגלת קרוב למיליארד דולר בשנה והשקיעה מיליונים במערכת אבטחה. "קבוצת האקרים עשתה מחקר על הארגון וגילתה שלמנכ"ל החברה יש רשת ביתית שמחוברת לארגון ושהבן שלו נוהג להוריד משחקים למחשב שלו. הם פרצו למחשב של הנער וכך השביתו את החברה".
ברוב המקרים הפריצה לא קורית בן רגע. "ההאקרים מתיישבים על המערכות במשך כמה חודשים, לומדים את הביזנס, אוספים מידע ומכינים את מערך התקיפה. במקרה של סולארווינדס הפריצה הראשונה למחשבי הארגון הייתה שלושה חודשים לפני שהתגלתה".
מהדוח של MonsterCloud לסיכום שנת 2020 עולה כי כנופיות עברייניות של האקרים, שפיתחו תוכנות למתקפת כופרה, מוכרות אותן בדארקנט לכל המעוניין (RaaS). כך שלמעשה כל אדם יכול לרכוש תוכנת פריצה קיימת במקום לפתח תוכנה עצמאית משלו, והספק גובה כשליש מהרווחים. לדברי פנחסי, המגמה הזו צפויה להתעצם במהלך 2021. "בן אדם עם אפס ידע במחשבים יכול לעשות מאה אלף דולר בעשר דקות", הוא מבהיר. "אפילו לא צריך ניסיון".
הרשויות ברחבי העולם שעוקבות אחרי מתקפות הסייבר יודעות לזהות את כנופיות הסייבר המובילות במכירת תוכנות הכופרה. כנופיית הסייבר DopplePaymer, למשל, סיפקה תוכנות כופרה עבור תקיפות נגד אוניברסיטאות ניוקאסל ודיסלדורף. תוכנות הכופרה של Egregor שימשו למתקפה נגד ענקית הספרים האמריקאית Barnes & Noble. חברת REvil/Sodinokibi סיפקה תוכנות שפגעו בשדות תעופה ורשויות מקומיות בארה"ב. התוכנות של Netwalker/Mailto נוצלו לתקיפות על Toll Group האוסטרלית, ו־Ryuk, שתוקפת בעצמה וגם מוכרת את שירותיה, הייתה אחראית להרבה מאוד תקיפות שנעשו בשנת 2019.
למרות העובדה שהן ידועות, רשויות אכיפת החוק לא מצליחות לשים על החברות הללו את ידן, משום שהן נוהגות לשנות את שמן לעתים תכופות. "עד 2017 פעלה קבוצת samsam, שתקפה ארגוני בריאות וארגונים שקשורים לממשל", מספר פנחסי. "לקח ל־FBI כארבע שנים לאתר אותה. התברר שהיא הגיעה מאיראן. הקבוצה היא בין עשרת המבוקשים של ה־FBI, כולל הפנים והשמות של חבריה. הקבוצה הזו הפסיקה את הפעילות אחרי שהתגלתה, וכנראה המשיכה בשם אחר. אנחנו מאמינים שהקבוצה ממשיכה בפעילותה בשם אחר. הם פונים לאותו סוג של קורבנות, רק שהפעם הכופר שהם מבקשים הוא כבר לא של 50 אלף דולר, אלא בין 200 אלף דולר ל־50 מיליון דולר".
הנושא הכספי הוא המניע העיקרי של כל הקבוצות הללו?
"לא בהכרח. היו מקרים בעבר שברגע שהלקוח שילם את דרישת הכופר, הוא קיבל מסך שעליו נכתב ***F אמריקה, ובזה זה נגמר. לא היה עניין של כסף אלא עניין לאומני נטו".
מלכודת דבש
פנחסי, מומחה עולמי ללוחמה בטרור סייבר, שירת בצבא ביחידת מחשבים. כשנשאל אם העובדה שהוא ישראלי מסכנת אותו כשהוא מתמודד עם קבוצות של האקרים לאומניים, הוא הודה שכן. "קיבלנו הרבה איומים בעבר, והיו מקרים שלקחנו חברת שמירה כי זה הגיע לאיומים ברמה של פגיעה בנפש", הוא אומר. "איומים מפורשים שהגיעו למשרדים שלנו עם שמות ותמונות. אנחנו יודעים שהכל מתנהל מאחורי מקלדת, אבל ברגע שמחברים מקלדת עם מיליארדי דולרים, הסכנה קיימת".
MonsterCloud אף הפכה פעמים רבות ליעד לאיומים מצד קבוצות אלו, שיצרו קשר עם החברה וניסו להבין בדרכי רמייה את שיטות העבודה שלה. "אנחנו יודעים לזהות מיהו תוקף ומיהו קורבן", מחייך פנחסי.
מי שעומד בראש הוועדה המייעצת בנושא לוחמת טרור בסייבר לחברת MonsterCloud הוא סגן ראש ה־FBI לשעבר ג'ון פיסטול. יחד הם מתמחים בנטרול מתקפות כופרה ולוחמה בטרור סייבר. הם מסייעים בהסרת תוכנות כופר, בשחזור קבצים מוצפנים ובמניעת ארגונים מלהפוך לקורבנות כופר. עם לקוחותיהם נמנים תחנות משטרה, מוקדי חירום ורשויות מקומיות בארה"ב. נוסף לכך הם מסייעים לרשויות אכיפת החוק בארה"ב ול־FBI בבלימת תקיפות הכופר. למעשה, MonsterCloud הייתה בין חברות הסייבר הראשונות שזיהו את הצורך של גופי אכיפת חוק בהגנה מפני פריצה ונטרול מתקפות.
שיטות הפעולה שלהם כוללות בין היתר "מלכודת דבש" - אלפי שרתים בכל העולם שמשמשים פיתיון לכנופיות העברייניות. ברגע שההאקרים פורצים אל השרתים, הפעולות שלהם מצולמות ומנוטרות, וכתוצאה מכך החברה יודעת לזהות את דרכי הפעולה שלהם ולהגן על קורבנותיהם. לחברה יש גם רשת נרחבת של מודיעין סייבר. "זו הסיבה שאנחנו מצליחים להציל חומרים ולהחזיר את החברות שנפגעו לפעילות. כל יום שהשרתים לא פועלים שווה מאות אלפי דולרים לחברות שמגלגלות מיליונים", הוא מסביר. "היו מקרים שחברות נסגרו בעקבות הפריצה למחשבים שלהן. כמות הכסף והמשאבים הנדרשים כדי להתאושש היא לא הגיונית. אנחנו מצליחים לאתר את התוקף בתוך 24־48 שעות. ואם יש צורך, נפנה אליו ונשחרר את המערכות".
מה עוד צפוי לקרות בתחום ב־2021?
"בעקבות מגיפת הקורונה גדל מספר השרתים שחשופים לפריצה בצורה דרמטית - ולכן גם מספר תקיפות הכופרה יגדלו במאות אחוזים. תקיפות הכופר לא יפסחו על אנשים פרטיים בבתים שלהם או על עסקים קטנים, בניגוד לדעה הרווחת שזה קורה רק לחברות גדולות. ואומנם, בחודשים האחרונים קיבלנו מבול של טלפונים מאנשים פרטיים שטוענים שהטלפונים, המחשבים הביתיים או המחשבים של העסק הקטן שלהם נעולים, ועבריינים מבקשים כופר כדי לפתוח אותם. זה קרב אבוד, הפריצות הללו רק ילכו ויתגברו".
איך בכל זאת אפשר להתגונן?
"היריעה קצרה מכדי להכיל את כל האמצעים שיש ליישם כדי להגן על הרשת. קודם כל, לחשוב לפני שלוחצים על לינקים לא ידועים. גם סוגיית הגיבויים היא קריטית. הגיבוי חייב להיות מאובטח בכמה רמות. רק בדרך זו יתאפשר לך לשחזר מידע, גם אם נפרצת. מלבד זאת, 90% מהפריצות בארה"ב מתרחשות בגלל חוסר ידע באבטחה. אנשים משקיעים הרבה כסף בחומרה ובתוכנה ולא משקיעים בלמידה של איש ה־IT שלהם, וזה נכון לכל העולם".
"ישבתי בבניין של ה־FBI בפגישה עם הקודקודים, ואמרתי להם שהייחודיות של מומחי טרור הסייבר שלנו היא שהם חושבים כמו קרימינלים", הוא ממשיך. "אתה יכול ללמד אדם איך לאבטח, אבל אם אין לך דפוס חשיבה של קרימינל, אם אתה לא נכנס לראש שלהם, לומד אותם ואת האופן שבו הם חושבים, אתה לא יכול לתת פתרונות נכונים ויצירתיים מספיק כדי לאבטח את המערכת ולמנוע את התקיפה הבאה".
"ברגע שארגון מותקף, רבים מביאים חברה שמתעסקת באבטחת מידע וזאת טעות כי צריך חברה שמתמחה בלוחמת סייבר", הוא מוסיף. "והכי חשוב, לא צריך לחשוש מעלויות האבטחה, בתנאי שהאדם הנכון מנהל לך את האבטחה. זה יכול לחסוך לך עלויות גבוהות, בעיקר בסיכול תקיפות כופרה פוטנציאליות".