מאז מתקפת החמאס על ישראל בשבעה באוקטובר ותחילת המלחמה בעזה, חוו חברות וארגונים ישראליים עלייה משמעותית במספר תקריות ותקיפות הסייבר מצידם של מגוון גורמי איום שמטרתם לגרום לנזק, לשיבושים בפעילות עסקית או בשירותים ואף לייצר תחושת אי ביטחון ואי וודאות בקרב הציבור הישראלי. בעת כתיבת שורות אלו, חלק ניכר מפעילות הסייבר הזדונית כנגד ישראל מיוחסת לקבוצות האקטיביסטים, המתמקדים בארגונים ישראליים ובמטרות במדינות התומכות בישראל מתוך סולידריות ותמיכה בפלסטינים ובעזה.
ההאקטיביזם, או הוצאה לפועל של תקיפות סייבר ממניעים פוליטיים או חברתיים, אינה תופעה חדשה. תקיפות האקטיביסטים התנהלו לאורך שני העשורים האחרונים בעיתות שלום, במסגרת סכסוכים בעצימות נמוכה וברקען של מלחמות. דוגמה בולטת היא קבוצת אנונימוס, הכוללת מספר רב של חברים מכל רחבי העולם ופועלת על פי מודל מבוזר, במסגרתו תוקפים חברי הקבוצה ארגונים וממשלות במדינות הנתפסות כמושחתות, מדכאות או הנוהגות במה שנתפס כחוסר צדק. עם זאת, בשנתיים האחרונות זוכה התופעה לתשומת לב מוגברת בעקבות המלחמה באוקראינה וכאמור, בעקבות המלחמה בעזה.
במסגרת המלחמה באוקראינה, עשרות קבוצות ותתי-קבוצות פרו-רוסיות כגון Killnet ו-Anonymous Sudan תקפו מטרות באוקראינה ובמדינות שהביעו בה תמיכה דיפלומטית וצבאית. במסגרת המלחמה בעזה, מתמקדות קבוצות שמקורן במדינות ערביות ומוסלמיות, כגון Ghosts of Palestine, Anonymous Collective ו-Mysterious Team Bangladesh במטרות ישראליות ובמטרות במדינות הנתפסות כתומכות בישראל.
מרבית התקיפות המיוחסות להאקטיביסטים הן תקיפות מניעת שירות מבוזרת (DDoS), המשמשות להשבתת פלטפורמות מקוונות החשופות ברשת, כגון אתרי רשת, השחתת אתרים ומסכים של שירותים ציבוריים במסרים מאיימים והדלפת מידע. מרביתן של תקיפות אלו אינה נחשבות למתוחכמות מבחינה טכנית, ובהיבט מדינתי הן אינן מובילות לנזק אסטרטגי מתוצאה מהשבתת שירות קריטי או חיוני. משום כך, תופעת ההאקטיביזם אינה נתפסת כאיום אסטרטגי. עם זאת, ישנן מספר התפתחויות שעשויות להעיר את התופעה באור קצת שונה.
מרחב ההכחשה של רוסיה ואיראן
ראשית, היסטורית, נהוג היה לחלק את גורמי האיום השונים על פי מניעיהם ומטרותיהם, כשגורמי איום הפועלים מטעם ממשלות זרות וגופי מודיעין נתפסו כבעלי היכולות המתוחכמות וכאיום המורכב ביותר. עם זאת, חלוקה ברורה זאת הולכת ומתערערת עקב הקשרים המתהדקים בין גופי מודיעין לבין קבוצות האקטיביסטים, או התחזותם של גורמי איום מדינתיים לקבוצות הפועלות ממניעים חברתיים ופוליטיים. דוגמה לכך, היא מחקר של חברת מודיעין הסייבר Mandiant, שמצא כי מידע השייך לארגונים אוקראיניים, שנגנב ואז נמחק במתקפות שיוחסו לקבוצת ההאקרים APT28, המקושרת למודיעין הצבאי של רוסיה (GRU), הופץ לאחר מכן בערוצי טלגרם של קבוצות האקטיביסטים פרו-רוסיים. לצד זאת, באפריל 2023, טען ראש מחלקת הגנה הסייבר ואבטחת המידע בשירות החשאי של אוקראינה, איליה וויטיוק, כי להערכת השירות, מקורן של כ-90% מתקיפות הסייבר על ארגונים אוקראיניים הוא בגורמים העובדים עבור סוכנויות המודיעין של רוסיה. גורמים אוקראיניים הדגישו כי קבוצות ההאקטיביסטים הפועלות במסגרת המלחמה משמשות כגורמי פרוקסי עבור הקרמלין וכי הקרמלין פעל לגייס גם עברייני סייבר לטובת המלחמה.
דוגמה נוספת היא קבוצת ההאקטיביסטים הפרו-פלסטינית Cyber Av3ngers. על פי התרעה משותפת שפרסמו סוכנויות אבטחת הסייבר והמודיעין של ארה"ב ומערך הסייבר הלאומי, הקבוצה, שמאפייניה פעילותה וכן דפוסי פרסום תקיפותיה בערוץ הטלגרם שלה דומים לאלו של קבוצת האקטיביסטים, היא למעשה קבוצת האקרים איראנית, המקושרת ישירות למשמרות המהפכה. לקשרים אלו בין גופי המודיעין לקבוצות האקטיביסיטים, או להתחזות של גורמים מדינתיים להאקטיביסטים עשויים להיות מספר יתרונות. גיוסם של האקרים וקבוצות תקיפה פטריוטיות עשוי להגדיל את כוח האדם ההתקפי העומד לרשות סוכנויות הביטחון והמודיעין, תוך מעקף של תהליכי גיוס והעסקה סבוכים, חשיפה של תהליכים או מידע מודיעיני ועוד. כמו כן, קשרים אלו עשויים לייצר "מרחב הכחשה" עבור המדינות העומדות מאחורי קבוצות אלו וכן לייצר הסחת דעת, במסגרתה פעילותם "הרועשת" של האקטיביסטים אלו מסיחה את דעתם של צוותי האבטחה הארגוניים מפעילות מתוחכמת יותר המתחוללת במקביל.
מסרים אנטי-ישראליים
התפתחות נוספת, היא ההתמקדות של קבוצות אלו, לא רק בארגונים ישראליים, אלא גם במוצרים ומערכות מתוצרת ישראלית, המותקנים בקרב ארגונים ברחבי העולם. דוגמה לכך היא קבוצת Cyber Av3ngers הנזכרת לעיל, שהודיעה בסוף נובמבר כי תתקוף ציוד ומערכות מתוצרת ישראלית. בסוף נובמבר ובתחילת דצמבר, תקפה הקבוצה בקרי PLC המכונים Unitronics Vision מתוצרת חברה ישראלית והשתלטה על עמדות ממשק אדם-מכונה (HMI) לשליטה מרחוק בציוד תפעולי בקרב תשתיות לאספקת מים בארה"ב. במרבית המקרים, השחיתו התוקפים את מסכי העמדות עם מסרים אנטי-ישראליים, אולם במקרה בוחן אחד, הצליחו התוקפים להשתלט על מערכת משאבות מים במתקן מים בעיר אריס (Erris) שבאירלנד, ושיבשו את אספקת המים לתושבי העיר. חקירת התקיפות בארה"ב העלתה כי בחלק מהמקרים, נמצאו הבקרים חשופים לאינטרנט ומוגנים בסיסמת ברירת מחדל בלבד, אותה הצליחו התוקפים לנחש על מנת לקבל אליהם גישה. ממצאים אלו מוכיחים כי גם גורמים בעלי יכולות טכניות נמוכות עלולים להוביל לנזק משמעותי בהיעדר הגנה מספקת.
לסיכום, הפעילות הסייבר המיוחסת להאקטיביסטים מהווה חלק ניכר מפעילות הסייבר הזדונית המתנהלת במסגרת עימותים בין-לאומיים, ובהם המלחמות באוקראינה ובעזה. בשל הנזק הנמוך באופן יחסי הנגרם כתוצאה ממנה ובשל חוסר האמינות של חברי הקבוצות השונות, הנוטים להפריז ואף להציג תקיפות שלא בוצעו, ארגונים רבים ומקבלי ההחלטות פיתחו תחושה של זלזול באיום ההאקטיביזם. עם זאת, קשרים בין קבוצות אלו לבין ממשלות זרות וכן ניסיונן לאתר חולשות ונקודות תורפה בתשתיות קריטיות המספקות שירותים חיוניים לציבור, עשויים להעיר את האיום הישן באור חדש.
הכותב הוא חוקר במרכז למחקר סייבר בין-תחומי ע"ש בלווטניק וחוקר בכיר בסדנת יובל נאמן למדע, טכנולוגיה וביטחון באוניברסיטת תל אביב
