מיקרוסופט: איראן הגדילה פי 4 את מספר מתקפות הסייבר על ישראל בשנה האחרונה
״איראן היא שחקנית הלאום היחידה שעסקה באופן קבוע במתקפות הרסניות, בעיקר נגד ישראל, שהתרחשו באווירה במסגרתה שתי המדינות כבר החליפו מהלומות והיו במרחק קצר ממתקפה צבאית״, נכתב בדו״ח ההגנה השנתי של החברה
מנדי קוגוסובסקי
| 10/10/2021
BIGSTOCK/Copyright: karenroach
איראן הגדילה פי ארבעה את מספר הניסיונות לבצע מתקפות סייבר על ישראל בשנה האחרונה, באופן שמשקף את המתיחות בין המדינות – כך עולה מדו״ח ההגנה הדיגיטלית השנתי של מיקרוסופט, שבחן את התקופה שבין יולי 2020 ליולי 2021.
בפרק בן 134 עמודים הקרוי ״איומים ממדינות לאום״, מצייני חוקרי מיקרוסופט כי המטרות העיקריות של תקיפות סייבר על ידי קבוצות ממדינות לאום הנן ריגול ואיסוף מודיעין, באחוזים גבוהים בהרבה מהמטרה השלישית ברשימה, שעיקרה יצירת שיבושים וזריעת הרס. זאת למעט מדינה אחת חריגה – איראן.
מתקפות הסייבר – המשך טבעי למתיחות בשטח
״איראן היא שחקנית הלאום היחידה שעסקה באופן קבוע במתקפות הרסניות, בעיקר נגד ישראל. מתקפות הסייבר הללו כבר התרחשו באווירה במסגרתה שתי המדינות כבר החליפו מהלומות והיו במרחק קצר ממתקפה צבאית, כולל מתקפות הדדיות על ספינות מטען״, נכתב בדו״ח. ״כשהמתיחות נמצאת ברמה כה גבוהה, ההחלטה להשתמש בסייבר לזריעת הרס היוותה זינוק אסטרטגי קטן יותר עבור איראן מאשר הייתה מהווה למדינות כמו קוריאה הצפונית, רוסיה או סין״.
בדומה למחקרים נוספים מובילים נוספים שנערכים בתקופה האחרונה, גם מיקרוסופט מזהה את איום מתקפות הכופרה כמרכזי והמשמעותי ביותר מקרב כל איומי הסייבר, וגם כאן לא נפקד מקומן של ישראל ואיראן. ״ככל שהמלחמה הסמויה בין איראן לישראל הסלימה, שחקני סייבר התקפיים איראניים הגדילו את תשומת הלב שהוענקה לישראל והביאו עמם את כלי הנשק החדש – מתקפות כופר״, נכתב בדו״ח. ״מיקרוסופט זיהתה מיקוד גובר ממספר גובר של קבוצות איראניות המטרגטות את ישראל מאז חודש נובמבר, ויחד עם זה הגיעה שורה של מתקפות כופר״.
הדו״ח מציין באופן מיוחד קבוצה שלדעת החוקרים פועלת מאיראן וזכתה לכינוי רובידיום (RUBIDIUM), ש״כנראה ביצעה את מתקפות Pay2Key ן-N3twOrm, קמפיינים שכוונו כמעט אך ורק לישראל בסוף שנת 2020 ותחילת 2021, בהתאמה. אלמנט נפוץ של הקמפיינים של תוכנת הכופר של רובידיום הייתה טרגוט של חברות לוגיסטיקה ישראליות המערבות תחבורה ימית. מטרות אלה מצביעות על קישור למטרה הנרחבת יותר של טהרן, נקמה על לחץ ישראלי״.
ישראל אינה הקורבן היחיד: בדו״ח מצוין כי איראן ביצעה לפחות מתקפת כופר אחת נגד מדינת מפרץ יריבה. לא ברור האם האיראנים משתמשים במתקפות הכופרה עבור רווח כלכלי, כתבו החוקרים, אך הוסיפו שלפחות בפעם אחת השתמשו בה ככיסוי למתקפה הרסנית, כששתלו תוכנת wiper במחשבי חברה, במהלך מתקפה שהוסוותה ככופר.
רק בשבוע שעבר חשפה חברת הסייבר ההגנתית סייבריזן תשתית ריגול מתוחכמת המיוחסת לקבוצת תקיפה איראנית בשם MalKamak, לאחר חקירה ממושכת. הקבוצה פעלה לטובת ריגול וגניבת מידע רגיש ממדינות במזה״ת (כולל ישראל), וכן מארה״ב, רוסיה ואירופה.
ישראל: קורבן מחד, מדינה מארחת מאידך
יצוין, כי ישראל לא מופיעה במחקר רק כקורבן, אלא גם כמדינה המארחת שחקנים תוקפניים. מיקרוסופט מציינת כי במסגרת מאמציה להגן על לקוחותיה משחקנים התקפיים במגזר הפרטי (PSOA, ר״ת של private sector offensive actors), הצטרפה בסוף 2020 כידידת בית המשפט להליך המשפטי של וואטסאפ נגד חברת NSO (יחד עם סיסקו, גוגל, לינקדאין וחברות נוספות), על מנת ״לעודד את בית המשפט לדחות את עמדת NSO לפיה היא אינה אחראית לשימוש שעושות ממשלות במוצרים שלה למטרת מעקב וריגול״.
בנוסף, נכתב בדו״ח כי מיקרוסופט עבדה יחד סיטיזן לאב להשבית ״תכנת PSOA המבוססת בישראל שכינינו SOURGUM, וסיטיזן לאב זיהתה כקנדירו״. על פי מיקרוסופט, קנדירו ״פיתחה ושיווקה חבילות פריצה כשירות (Hacking-as-a-Service) שנמכרו לממשלות ולשחקנים זדוניים אחרים. הנוזקה שימשה על מנת לטרגט יותר ממאה קורבנות ברחבי העולם כולל פוליטיקאים, פעילי זכויות אדם, עיתונאים, אנשי אקדמיה, עובדי שגרירות ומתנגדים פוליטיים.
״על חברות פרטיות לשאת באחריות כאשר הן משתמשות בכלי מעקב הסייבר שלהן על מנת להפר את החוק, או כאשר הן מתירות ביודעין פעולות כאלה, ללא קשר למי הלקוחות או מהי המטרה. מיקרוסופט תמשיך לזהות, לעקוב ולהגן על לקוחותינו ועל המערכת הדיגיטלית העולמית מהמתקפות חסרות האבחנה הנגרמות על ידי טכנולוגיות PSOA״.
*פנינו למערך הסייבר הלאומי בבקשת התייחסות לדו״ח. במידה ותתקבל, תפורסם כאן.
״איראן היא שחקנית הלאום היחידה שעסקה באופן קבוע במתקפות הרסניות, בעיקר נגד ישראל, שהתרחשו באווירה במסגרתה שתי המדינות כבר החליפו מהלומות והיו במרחק קצר ממתקפה צבאית״, נכתב בדו״ח ההגנה השנתי של החברה
BIGSTOCK/Copyright: karenroach
איראן הגדילה פי ארבעה את מספר הניסיונות לבצע מתקפות סייבר על ישראל בשנה האחרונה, באופן שמשקף את המתיחות בין המדינות – כך עולה מדו״ח ההגנה הדיגיטלית השנתי של מיקרוסופט, שבחן את התקופה שבין יולי 2020 ליולי 2021.
בפרק בן 134 עמודים הקרוי ״איומים ממדינות לאום״, מצייני חוקרי מיקרוסופט כי המטרות העיקריות של תקיפות סייבר על ידי קבוצות ממדינות לאום הנן ריגול ואיסוף מודיעין, באחוזים גבוהים בהרבה מהמטרה השלישית ברשימה, שעיקרה יצירת שיבושים וזריעת הרס. זאת למעט מדינה אחת חריגה – איראן.
מתקפות הסייבר – המשך טבעי למתיחות בשטח
״איראן היא שחקנית הלאום היחידה שעסקה באופן קבוע במתקפות הרסניות, בעיקר נגד ישראל. מתקפות הסייבר הללו כבר התרחשו באווירה במסגרתה שתי המדינות כבר החליפו מהלומות והיו במרחק קצר ממתקפה צבאית, כולל מתקפות הדדיות על ספינות מטען״, נכתב בדו״ח. ״כשהמתיחות נמצאת ברמה כה גבוהה, ההחלטה להשתמש בסייבר לזריעת הרס היוותה זינוק אסטרטגי קטן יותר עבור איראן מאשר הייתה מהווה למדינות כמו קוריאה הצפונית, רוסיה או סין״.
בדומה למחקרים נוספים מובילים נוספים שנערכים בתקופה האחרונה, גם מיקרוסופט מזהה את איום מתקפות הכופרה כמרכזי והמשמעותי ביותר מקרב כל איומי הסייבר, וגם כאן לא נפקד מקומן של ישראל ואיראן. ״ככל שהמלחמה הסמויה בין איראן לישראל הסלימה, שחקני סייבר התקפיים איראניים הגדילו את תשומת הלב שהוענקה לישראל והביאו עמם את כלי הנשק החדש – מתקפות כופר״, נכתב בדו״ח. ״מיקרוסופט זיהתה מיקוד גובר ממספר גובר של קבוצות איראניות המטרגטות את ישראל מאז חודש נובמבר, ויחד עם זה הגיעה שורה של מתקפות כופר״.
הדו״ח מציין באופן מיוחד קבוצה שלדעת החוקרים פועלת מאיראן וזכתה לכינוי רובידיום (RUBIDIUM), ש״כנראה ביצעה את מתקפות Pay2Key ן-N3twOrm, קמפיינים שכוונו כמעט אך ורק לישראל בסוף שנת 2020 ותחילת 2021, בהתאמה. אלמנט נפוץ של הקמפיינים של תוכנת הכופר של רובידיום הייתה טרגוט של חברות לוגיסטיקה ישראליות המערבות תחבורה ימית. מטרות אלה מצביעות על קישור למטרה הנרחבת יותר של טהרן, נקמה על לחץ ישראלי״.
ישראל אינה הקורבן היחיד: בדו״ח מצוין כי איראן ביצעה לפחות מתקפת כופר אחת נגד מדינת מפרץ יריבה. לא ברור האם האיראנים משתמשים במתקפות הכופרה עבור רווח כלכלי, כתבו החוקרים, אך הוסיפו שלפחות בפעם אחת השתמשו בה ככיסוי למתקפה הרסנית, כששתלו תוכנת wiper במחשבי חברה, במהלך מתקפה שהוסוותה ככופר.
רק בשבוע שעבר חשפה חברת הסייבר ההגנתית סייבריזן תשתית ריגול מתוחכמת המיוחסת לקבוצת תקיפה איראנית בשם MalKamak, לאחר חקירה ממושכת. הקבוצה פעלה לטובת ריגול וגניבת מידע רגיש ממדינות במזה״ת (כולל ישראל), וכן מארה״ב, רוסיה ואירופה.
ישראל: קורבן מחד, מדינה מארחת מאידך
יצוין, כי ישראל לא מופיעה במחקר רק כקורבן, אלא גם כמדינה המארחת שחקנים תוקפניים. מיקרוסופט מציינת כי במסגרת מאמציה להגן על לקוחותיה משחקנים התקפיים במגזר הפרטי (PSOA, ר״ת של private sector offensive actors), הצטרפה בסוף 2020 כידידת בית המשפט להליך המשפטי של וואטסאפ נגד חברת NSO (יחד עם סיסקו, גוגל, לינקדאין וחברות נוספות), על מנת ״לעודד את בית המשפט לדחות את עמדת NSO לפיה היא אינה אחראית לשימוש שעושות ממשלות במוצרים שלה למטרת מעקב וריגול״.
בנוסף, נכתב בדו״ח כי מיקרוסופט עבדה יחד סיטיזן לאב להשבית ״תכנת PSOA המבוססת בישראל שכינינו SOURGUM, וסיטיזן לאב זיהתה כקנדירו״. על פי מיקרוסופט, קנדירו ״פיתחה ושיווקה חבילות פריצה כשירות (Hacking-as-a-Service) שנמכרו לממשלות ולשחקנים זדוניים אחרים. הנוזקה שימשה על מנת לטרגט יותר ממאה קורבנות ברחבי העולם כולל פוליטיקאים, פעילי זכויות אדם, עיתונאים, אנשי אקדמיה, עובדי שגרירות ומתנגדים פוליטיים.
״על חברות פרטיות לשאת באחריות כאשר הן משתמשות בכלי מעקב הסייבר שלהן על מנת להפר את החוק, או כאשר הן מתירות ביודעין פעולות כאלה, ללא קשר למי הלקוחות או מהי המטרה. מיקרוסופט תמשיך לזהות, לעקוב ולהגן על לקוחותינו ועל המערכת הדיגיטלית העולמית מהמתקפות חסרות האבחנה הנגרמות על ידי טכנולוגיות PSOA״.
*פנינו למערך הסייבר הלאומי בבקשת התייחסות לדו״ח. במידה ותתקבל, תפורסם כאן.
