משרד הביטחון סיכל תקיפת סייבר כנגד תעשיות ביטחוניות בישראל - כך הותר היום (רביעי) לפרסום. בהודעת המשרד נכתב כי על פי החשד, התוקפים פנו לעובדי התעשיות בהצעות עבודה מפתות, באמצעות הרשת החברתית לינקדאין. זאת, במטרה לחדור לרשתות המחשב שלהם. על פי ההערכות, מאחורי האירוע עמד אותו ארגון שביצע את תקיפת הסייבר גם נגד אולפני סוני. כפי הנראה, הארגון פעל בשליחות ממשלת קוריאה הצפונית.
מחקירת הפרשה עולה כי את ניסיון התקיפה ביצע, על פי החשד, מערך סייבר בינלאומי המכונה "לזרוס" (Lazarus), שמאחוריו עומדת מדינה זרה. אנשי אותו מערך סייבר השתמשו בטכניקות שונות של הנדסה חברתית והתחזות. הם בנו פרופילים מזויפים ברשת בלינקדאין, המשמשת בעיקר לחיפושי עבודה בענף הייטק. התוקפים התחזו למנהלים, לבכירים במחלקות משאבי אנוש ולנציגי חברות בינלאומיות ופנו לעובדי תעשיות ביטחוניות מובילות בישראל בניסיון לפתח מולם שיח ולפתות אותם עם הצעות עבודה שונות.
לקריאה נוספת בנושא
בתהליך העברת הצעות העבודה ניסו התוקפים להדביק את המחשבים של עובדי התעשיות הישראליות ולחדור לתוך הרשתות של החברות במטרה לאסוף מידע ביטחוני רגיש. לצורך התקיפה, התוקפים אף השתמשו באתרים לגיטימיים של חברות ותעשיות אחרות ללא ידיעתן.
על פי משרד הביטחון, ניסיונות התקיפה זוהו בזמן אמת וסוכלו על ידי היחידה הטכנולוגית של הממונה על הביטחון במערכת הביטחון (המלמ"ב) ועל ידי מערכות ההגנה בסייבר של התעשיות הביטחוניות, מבלי שנגרם נזק. במקביל פתח המלמ"ב בחקירה טכנולוגית מתקדמת ופעילות מבצעית בשטח, בשיתוף עם התעשיות הביטחוניות וגופים נוספים בקהיליית הביטחון.
"המלמ"ב פועל וימשיך לפעול במטרה לסכל ניסיונות לחדור לרשתות המחשב של התעשיות הביטחוניות ולפגוע בעליונות הטכנולוגית של מדינת ישראל", נמסר.
כבר בחודש שעבר חברת האבטחה ESET דיווחה כי מקורה של קבוצת הסייבר לזרוס, שניסתה לפרוץ לחברות הגנה אירופאית, הוא ככל הנראה בקוריאה הצפונית. ההאקרים בלזרוס מבצעים את מתקפות הסייבר באמצעות התחזות למגייסים, תוך שהם שולחים ליעדים שלהם הודעה המכילה קישור הנראה תקין. עם זאת, בלחיצה עליו, הוא מבצע פעולות זדוניות על המחשב ומאפשר להאקרים לקבל גישה מרחוק.
בעוד שמתקפות "פישינג" נשלחות לקבוצות גדולות של אנשים, מתקפות "Spear" הן ממוקדות יותר, ומכוונות לאנשים ספציפיים שנאסף עליהם מידע מודיעיני מקדים. כך, לדוגמה, התוקף שולח הצעת עבודה שנראית לגיטימית, ותוך כדי ההתכתבות הוא שולח קישור לקובץ PDF או וורד.
בעת פתיחת הקובץ, המשתמש למעשה נותן גישה למחשב שלו עבור ההאקרים, שיכולים לנעול את המחשב מרחוק, להצפין את המידע וכן לגנוב מידע רגיש. מתקפה כזו מתבצעת על ידי ניצול פרצת אבטחה ברשת החברתית לינקדאין, וכן דרך ניצול פרצת אבטחה במערכת ההפעלה ווינדוס.
רק לפני כשלושה חודשים, ביצעו האקרים איראנים תקיפת סייבר על מתקני המים בישראל. לפי פרסומים זרים, מטרתם הייתה לשבש את פעילות מחשבי הבקרה של תשתיות המים ולהעלות בהם את כמות הכלור באופן שתסכן את חיי האזרחים. ההתקפה לא הצליחה להשיג את ייעודה, ובמהלכה, גופים שונים במערכת הביטחון לקחו חלק בהגנה על אותם מתקנים.
התקיפה האיראנית הפכה למעשה למתקפת הסייבר הישירה, הרחבה והראשונה על תשתיות קריטיות בישראל. בהתאם לכך, יצרה עניין רב בקרב ממוני הביטחון במשרדי הממשלה השונים במערכת הביטחון, תשתיות קריטיות בישראל ובמערך הסייבר הלאומי, שפתחו בתחקיר מעמיק במטרה ללמוד את תהליך ההתקפה האיראני.
לדברי גורם מקצועי הבקיא בתהליך התחקיר, עולה הערכה כי האיראנים שביצעו את המתקפה והתאמצו לא להשאיר עקבות, החלו בתהליך חודשים ארוכים ואף יותר משנה לפני שנחשפה הפעילות על ישראל.