OpIsrael אפריל 2018
בימים הקרובים תחל מתקפת סייבר על ארגונים בישראל שתגיע לשיאה ביום שבת 7 לאפריל וככל הנראה גם בימים שלאחר מכן נוכל להרגיש את המתקפה.
”כמיטב המסורת” גם השנה וזאת בפעם השישית ברציפות מתוכננת מתקפת סייבר על ארגונים ישראלים ע”י קבוצות האקרים שונות בינהם Anonymous, קבוצות האקרים מוסלמיות ועוד קבוצות האקרים שמצטרפות על הדרך במטרה להיות חלק מהמתקפה המדוברת אשר נקראת מבצע ישראל (operation israel) או בקצרה opisrael.
במתקפות אשר חווינו בשנים קודמות הנזק היה יחסית לא גדול אבל עדיין נגרם נזק וישנם דוגמאות מהותיות אבל רוב הנזקים הם נזקים כדוגמת: נזק לאתרי WEB, פריצה לחשבונות פייסבוק, מקרים בודדים של דליפת מידע, מקרים בודדים של כופר, גניבת זהויות אך שוב לא משהו קיצוני. ניתן לומר שבכל שנה יש רעש תקשורתי גדול מאד סביב המתקפה שנועד להפחיד ארגונים ואזרחים ישראלים אך אפקט ההרתעה ככל הנראה גורם לתוצאה הפוכה ולכן אותם קבוצות האקרים לא משיגים ערך יוקרתי במתקפה המדוברת.
הרעש התקשורתי מגיע כמה ימים לפני המתקפה ומופץ בכל רשת חברתית, בין קבוצות האקרים, Youtube ובכל מדיה אפשרית ובמגוון שפות שהמסר בו הוא מתקפה על אתרי ממשלה, שרתים ומאגרי מידע, ובניתוקה של ישראל מרשת האינטרנט העולמית.
בדרך כלל הפרסום נועד ליצור אפקט של פחד בקרב ארגונים ואזרחים ישראלים וליידע קבוצות האקרים נוספים אודות המתקפה.
הסרטון שהופץ Anonymous – OpIsrael2018 (7 April) (קישור לסרטון שהופץ https://youtu.be/5xfnc0Fekms)
חלק מתוך הודעה אשר נשלחה ע”י קבוצת האקרים אשר מובילה את המתקפה
Greetings, citizens of the world.
We are AnonGhost.
Knowledge is free.
We are cyber security.
We are simply an evolution of the technological system.
We are fighters for internet freedom.
We are not your personal army, but we will stand and fight.
We are always here to punish you, because we are the voice of Palestine and we will not remain silent.
We are a cyber group of 0 and 1, and we are not terrorists.
We are around you
קישורים למידע נוסף אשר כולל כלי מתקפה, רשימת ארגונים ישראלים ואפילו שמות ספציפיים של נמענים https://pastebin.com/search?q=opisrael
ניתן למצוא מידע (מסוג raw) גם של בעלי תפקידים חשובים https://pastebin.com/cCHMMGym
ניתן לומר שסוגי התקיפות, הרעש התקשורתי, הארגונים שמותקפים ומבצע התקיפה זהה למה שהיה בשנים קודמות וישנו מידע שאפילו ממוחזר (ממש מידע של אחד לאחד ללא שינוי) אך עדיין בכל שנה מתווסף סוגי תקיפה חדשים.
בניגוד למתקפות סייבר בעלי אופן מתוחכם ומתקדם אשר מכוונות בעיקר נגד תשתיות קריטיות ורגישות בעלי ערך, המתקפות של אנונימוס מבוססות בעיקר על מתקפות רגילות ומוכרות ולא חזקות יחסית, כלומר לא מדובר על מתקפות כופר מתוחכמות בעלי השקעה אלא רק מתקפות אשר מתבססות על כוח המחשוב של כל אותן קבוצות האקרים במטרה לגרום לשיבוש של מרחב הרשת הישראלי. אחת המטרות הידועות של כל אותן קבוצות האקרים הוא להשתמש עם כלי DDoS ודומיהם לטובת הפלת אתרי Web.
מה חדש השנה מאשר שנים קודמות? בניגוד לשנים עברו ועל סמך מידע לא רשמי שפורסם ברשת, מבצע התקיפה קיבל רוחב גבית על סמך המתקפות האחרונות בעולם ובעיקר מתקפות אשר קרו בחודש האחרון (מרץ 2018) ולבצע מתקפת סייבר משולבת של הפלת אתרים, גניבת זהויות ובדגש על כופר. (לדעתי אין כל חדש וכל אותן מתקפות מוכרות עד כה כולל הכופר הידוע Reveton של קבוצת אנונימוס)
הכלים אשר מופצים לקבוצות האקרים בחלקם מפורסמים ברשת וכל אחד יכול להוריד את הכלים, בין היתר ניתן למצוא אתרים כדוגמת PasteBin שכל יעודו לפרסם כל פרט ומידע בנוגע למתקפה כולל פרטים אודות אתרים, נמענים, ארגונים ועוד.
כיום ישנם קבוצות האקרים רבות אשר מזוהות עם המבצע אך ישנם מספר קבוצות עיקריות אשר מובילות את המתקפה:
קבוצת Anon – האקרים ראדיקלים שלרוב משחיתים אתרי אינטרנט ועיקר מטרותיהם הן מערביות.
קבוצת MinionGhost – האקרים אקטיביסטיים שהתפרסמו בשל מתקפות כנגד המגזר הפיננסי ברחבי העולם.
קבוצת LulzsecZombie (בעבר LulzSec) – האקרים שהתפרסמו בשל שורה של פריצות גדולות, בהן פריצה לאתרים ממשלתיים ופדרליים ופריצות למאגרי מידע של חברות ותאגידים.
קבוצות נוספות שנוטלות חלק במבצע הקרוב: Scode404, NamaTikure, ANONSPAIN2 , GhostPalestine , Dunia Hacker
פרסום המבצע בפייסבוק ע”י קבוצת MinionGhost וע”י קבוצת Dunia Hacker ושימו לב לתאריכים המצוינים
https://www.facebook.com/events/135611853669135/
אנונימוס ויתר קבוצות ההאקרים תוקפים לרוב בשתי שיטות שמטרתן למנוע גישה לשירות וליצור פחד על בסיס אותן מתקפות
Defacement שנועדה להשחתת תוכן המוצג בדפי האתרים או להחלפתו בתוכן שונה כחלק מאפקט הפחדה
DDOS מתקפה שנועדה להוציא מכלל שימוש אתרי אינטרנט
בתקיפות אלה עלולים אותם קבוצות האקרים לגרום לשיבוש אתרי אינטרנט בכדי לגרום להסחת דעת למתקפה גדולה יותר מאחורי הקלעים וסביר להניח שזה לא יקרה.
איך להגן? טיפים והמלצות
הפעולות שצריך לבצע הם פעולות מנע שחייבות להיות בכל ארגון ובכל עת ולא רק כאשר ישנו אירוע כדוגמת opisrael ולכן הפעולות צריכות להיות על בסיס הדגשים הבאים:
- לנטר ולזהות אירועי אבטחת מידע ברשת הארגונית על בסיס מערכות firewall, routers, ids\ips וכן הלאה
- לסגור פרוטוקולים שאינם נדרשים, “רשתות זמניות” ואובייקטים חסרי משמעות ברמת מערכות ההגנה בארגון
- ליידע משתמשים אודות המתקפה כלומר לא לפתוח מיילים חשודים ולהיזהר בכל פעולה שאינה מוכרת
- היערכות ברמת תחנות קצה ככל האפשר החל מעדכוני מערכת הפעלה ועד לחתימות אנטי וירוס וכן הלאה
- מעקב אחר מכשירים חכמים ע”י מערכות בעלי אופי לזיהוי פעולות חשודות
- מעקב אחר מערכות הדואר וניטור פעילות בעלת אופי חשוד
- לוודא שבעלי תפקידים מוגדרים עם הזדהות חזקה כדוגמת MFA
- מעקב אחר פעולות חשודות ברמת מערכות פנים ארגוניות
לסיכום
אומנם המתקפה מתוכננת ליום שבת 7 לאפריל אך יכול להיות שתגיע קצת לפני ותהיה קצת אחרי ולכן חשוב להיות ערוכים לקראת המתקפה ועיקר ההגנה צריך להיות מול משתמשים ומול מערכות חשובות בארגון, כמו כן יצאו תזכורות שונות של גורמי סייבר מרכזיים עם המלצות שונות מול המתקפה.
לדעתי האישית אין חדש במתקפת הסייבר הקרובה בגלל סיבות שונות בין היתר מוכנות הסייבר של ארגונים ישראלים למתקפות מהסוג הנ”ל אך כמו תמיד עדיף לנהוג במשנה זהירות.
אלי רציתי לומר לך שהמאמר פשוט מעולה, ענייני וממוקד בנושא. כל הכבוד!
מידע חיוני תודה