כל מה שרציתם לדעת על מתקפת הסייבר הגדולה בהיסטוריה - גלובל - TheMarker
 

אתם מחוברים לאתר דרך IP ארגוני, להתחברות דרך המינוי האישי

טרם ביצעת אימות לכתובת הדוא"ל שלך. לאימות כתובת הדואל שלך  לחצו כאן

תיק מניות

רשימת קריאה

רשימת הקריאה מאפשרת לך לשמור כתבות ולקרוא אותן במועד מאוחר יותר באתר,במובייל או באפליקציה.

לחיצה על כפתור "שמור", בתחילת הכתבה תוסיף את הכתבה לרשימת הקריאה שלך.
לחיצה על "הסר" תסיר את הכתבה מרשימת הקריאה.

לרשימת הקריאה המלאה לחצו כאן

כל מה שרציתם לדעת על מתקפת הסייבר הגדולה בהיסטוריה

למה נפגעו רוסיה והכלכלות המתעוררות יותר, מדוע בוטלו ניתוחי לב בבריטניה ואיך אפשר להתגונן מהנוזקה (malware) שנגנבה מה-NSA

22תגובות
אלון רון

מהי מתקפת הסייבר הזו שכולם מדברים עליה?

ביום שישי פרצה אחת ממתקפות הסייבר הגדולות שידע העולם, אולי הגדולה אי פעם. במתקפה הרחבה נפגעו כ-45 אלף מחשבים ב-99 מדינות על פי חברת אבטחת המידע Avast. בין היתר נפגעו בתי חולים וקליניקות שהם חלק מרשת הבריאות הממלכתית בבריטניה, מה שהוביל לקשיים בטיפול ודחיית תורים.

לפחות 16 בתי חולים ציבוריים בבריטניה נפגעו במתקפה. עוד נפגעה חברת השליחויות האמריקאית Fedex, בנק BBVA הספרדי, מפעילת התקשורת הספרדית טלפוניקה, מערכת הרכבות במספר ערים בגרמניה, מספר אוניברסיטאות, כמה סניפים של פירמת רואי החשבון KPMG ועוד ועוד. הפגיעות הקשות ביותר היו, לפי הסדר, ברוסיה, אוקראינה, הודו וטייוואן.

המתקפה זכתה לכינוי WannaCry ובשונה ממתקפות אחרות, בגלל ההיקף שלה, העניין בה חרג מגבולות קהילת הטק והסייבר. בכלל, מאז הבחירות בארה"ב, שהוטו באמצעות מתקפת סייבר (הדלפת המיילים ממטה הילרי קלינטון) וניסיון דומה גם בבחירות בצרפת, מתבהר כי הסייבר הוא מרחב בעל השלכות על העולם האמיתי ולא רק עסק של קומץ מומחי אבטחת מידע.

יו-טיוב

איך פעלה המתקפה?

התוקפים השתמשו בכלי תקיפה שכתבו אנשי ה-NSA, סוכנות הביון האמריקאית. כלי התקיפה האלו, שהם עוצמתיים ומחוכמים, נועדו במקור לשמש את הסוכנות למטרות הריגול שלה אבל דלפו לרשת. מרגע שהכלים ברשת, האקרים זדוניים התאימו אותם לצרכיהם והוציאו מתקפה רחבה.

המתקפה חדרה לארגון באמצעות אימייל פשוט - אך מרגע הכניסה התפשטה לעוד מחשבים ברשת, מה שמכונה תולעת. המתקפה התבססה על חולשה קיימת במערכת ההפעלה לשרת אירגוני של חברת מיקרוסופט, כפי שמסביר דורון סיון, מנכ"ל חברת הסייבר קרונוס: "החולשה שאותרה היתה בפרוטוקול SMB, אשר מאפשר גישה משותפת אל קבצים, מדפסות ותקשורת בין מחשבים ברשת".

מה רצו התוקפים?

כסף. בגדול זו הייתה מתקפת כופר, או כופרה. התוקפים הצפינו את המחשבים בארגון ודרשו כופר תמורת שחרורם בסכומים של כמה מאות דולרים. בעולם הסייבר יש בעיה מובנית של "ייחוס" (Attribution) - התוקפים יכולים להסתתר מאחורי שרתים בכל רחבי העולם, כך שלרוב קשה עד בלתי אפשרי לדעת מי עומד מאחורי המתקפה. "מכיוון שאיננו יודעים באמת מי ניצב מאחורי המתקפה הזו, בהחלט אפשרי שלא מדובר בגורמי פשיעה אלא בקמפיין שמטרתו מימון גופי טרור במדינות שונות", מסר מני ברזילי, ה- CTO של המרכז למחקר סייבר בינתחומי באוניברסיטת תל אביב, אבל בשלב זה מדובר רק בספקולציה.

האם אפשר היה להימנע ממתקפת הכופר?

למרבה האירוניה, כן, בהחלט. מסתבר שמיקרוסופט פירסמה כבר באמצע מארס Patch, טלאי אבטחה שסוגר את הפירצה שדרכה השתלטו התוקפים על השרת בחברות המותקפות. מי שעדכן את גרסת הקושחה שלו במועד לא היה חשוף למתקפה. השאלה המעניינת היא מדוע לא כל הארגונים עשו זאת.

סיבה אחת היא שמרנות ונהלים מיושנים. ארגונים רבים מבצעים עדכוני תוכנה אחת לחודש ואף אחת לרבעון. סיבה שנייה היא שעדכון כזה מצריך Downtime, "הורדה" של המערכות מהאוויר ואת זה קשה לעשות בבתי חולים למשל.

היעד המרכזי: רוסיה המדינות שנפגעו בתקיפת הסייבר ביום שישי

סיבה שלישית היא שבחלק מהארגונים, במיוחד במגזר הרפואי, יש עדיין שימוש במערכת הפעלה ווינדוס XP הישנה ועבורה אין בכלל טילואים. סיבה רביעית היא שבהרבה מדינות, כמו רוסיה וסין, ישנו שימוש נרחב בתוכנות פיראטיות, והן לא מקבלות עדכוני תוכנה וטילואי אבטחה.

אדם פלד, הבעלים של חברת הייעוץ CyberGrip: "חשוב לזכור שהאקרים לא מחכים. ברגע שהם נחשפים לפרצות, מדווחות או שלא, הם מתחילים בפעולה ולכן סבירות גבוהה שמדובר במתקפה שתוכננה ויצאה לפועל ימים ספורים לאחר חשיפת הפירצה באמצעות וויקיליקס. האתגר שלנו בתעשייה שפועלת להגן על המידע והפעילות העסקית, הוא לא רק לפתח כלים ומוצרים חדשים, אלא לגרום למנהלי אבטחת המידע לחשוב כמו האקרים ולהגיב בהתאם".

מדוע המגזר הבריאותי נפגע?

היכנסו לבית חולים והביטו מסביבכם - אתם מוקפים במחשבים, מהמחשב של פקיד הקבלה, דרך ה-ECG ועד מערכת ניהול התורים - הכל מחשבים. אלא שכאמור, הרבה מהמחשבים האלו הם מערכות פונקציונאליות "סגורות" ושמבוססת על גרסאות ישנות על ווינדוס. במחשבים כאלו קשה לעדכן גרסאות ולהתקין מוצרי אבטחה. בנוסף - אלו הן מערכות קריטיות, וכמובן שהמידע שמחזיקים ארגוני בריאות פרטי ורגיש במיוחד. השילוב הזה קוסם במיוחד להאקרים ולכן יש גאות של מתקפות בסקטור הרפואי. 

איך נעצרה המתקפה?

במקרה. חוקר אבטחה אנונימי חפר ומצא בנוזקה מה שמכונה Kill Switch, מנגנון עצירה של הפוגען ("מפסק פגר"). איך זה עובד? התוכנה מתוכננת לבדוק קודם כל אם אתר אינטרנט כלשהו, כתובת ארוכה ומורכבת של סימנים שקבע התוקף מראש, נמצא באוויר. אם האתר "חי" הנוזקה לא מפעילה את עצמה. כנראה התוקפים שתלו את המנגנון בתוכנה כדי לאפשר להם לעצור את המתקפה בעת הצורך. חוקר האבטחה מצא את הכתובת הזו וקנה את הדומיין תמורת 11 דולר. מרגע שהאתר עלה לאוויר (לא חייב להכיל כל תוכן), התוכנה הפסיקה את פעולתה.

האם בזאת תמו הצרות? כלל וכלל לא: "ה- Kill Switch עצר את המתקפה", הסביר מתיו סויש, מייסד קומיי טכנולוג'יס, חברת סייבר באיחוד נסיכויות המפרץ. "אבל זה רק זמני. כל מה שצריכים התוקפים לעשות הוא ליצור וריאציה של ההתקפה עם שם מתחם אחר. הייתי מצפה שיעשו זאת".

אתרו פירצה — ויצאו להתקפה נגד כל העולם

מדוע ישראל לא הותקפה?

היו ניסיונות תקיפה מינוריים על ישראל אבל צריך לחזור ולומר: רמת מוכנות הסייבר בארגונים בישראל גבוהה יחסית לעולם. יש בארץ מודעות סייבר גבוהה עם אנשי מקצוע מהטובים בעולם, בוגרי יחידות צבאיות בתחום אבל לא רק, ולכן המתקפה על ישראל נכשלה. בישראל יש גם רגולציית סייבר מפותחת ומחמירה של השב"כ (לתחום הטלקום), המפקח על הבנקים לגבי הבנקים, המפקח על הביטוח, משרד הבריאות לגבי גופי הבריאות וכן הלאה. זה לא אומר שצריכים לשקוט על השמרים - משחק השח של הסייבר מעולם לא מגיע להכרעה.

ראש הרשות הלאומית להגנת הסייבר, בוקי כרמלי, מסר את העדכון הבא: "בישראל, כרגע לא זוהתה אינדקציה של נוזקה במערכות פועלות. מתחילת המתקפה הגלובלית, הרשות להגנת הסייבר בישראל עומדת בקשר רציף עם רשויות הסייבר ברחבי העולם ועם גורמי ההנחייה הרלוונטיים במשק על מנת למזער נזק אפשרי כתוצאה מהמתקפה הגלובלית. הערכות מצב מתקיימות כל העת.

"הרשות העבירה בשבוע החולף התרעות לגופי המשק ומעבירה בשעות אלה הנחיות נוספות. באתר הרשות ישנן הנחיות הגנה מעודכנות ועל כלל הארגונים במשק ליישמם לאלתר. בשל העובדה כי מרבית הארגונים לא פועלים בשבת, מערכות רבות אינן עובדות, אך אין זה אומר שלא תיתכן נוזקה מחר ועל כן ההיערכות".

מה צריך המשתמש הפרטי לעשות?

מתקפת WannaCry לא כוונה למשתמש הביתי אלא לשרת ארגוני אבל אולי המתקפה הבאה כן תכוון לאנשים פרטיים. לא צריך להיבהל אבל כן כדאי לנקוט צעדי זהירות בסיסים: עדכון מערכת הפעלה בכל פעם שיוצא אחד כזה (למרות שזה מעצבן), שימוש בססמאות חזקות, התקנת תוכנת אנטי וירוס ובעיקר זהירות מהודעות דוא"ל חשודות - זהו נתיב החדירה העיקרי של פוגענים. ספציפית לגבי תוכנות כופר, אנו ממליצים להתקין את התוכנה החינמית RansomFree שאגב הייתה עוצרת גם את WannaCry.

כנס סייבר טק (אילוסטרציה)
אייל טואג

מי מרוויח ממתקפת הסייבר?

קודם כל ההאקרים הרוויחו. בגלל הדרישה לתשלום כופר במטבע המבוזר ביטקוין - כמה ארגונים כבר שילמו את הכופר. בקרוב נוכל לדעת כמה בסך הכל הרוויחו ההאקרים בסיבוב הנוכחי אבל אפשר לנחש שזה הרבה פחות מהרעש שיצרה המתקפה, מכיוון שהיא נבלמה באמצע תהליך הסחיטה.

יש לציין שהנזק הכלכלי לארגון שנפגע לא שווה לרווח של הפורצים. הארגון שנפגע מפסיד שעות עבודה, נפגע במוניטין, מאבד מידע חשוב וכדומה. שנית, חברות אבטחת המידע מרוויחות. WannaCry הוא הפיץ' השיווקי הכי טוב שהן יכלו לבקש והן ירכבו על הגל כדי להציע את מרכולתן. שלישית, וזה מעט פילוסופי, אפשר לטעון שכולנו נרוויח. המתקפה הרחבה היא קריאת השכמה כללית להתמגנות טובה יותר מול איומי הסייבר המודרנים.

ברזילי מסכם: "הסיפור הזה נשמע כמו לא פחות מאשר תסריט לסרט הוליוודי. כלי תקיפת סייבר מתוחכמים נגנבים מגוף ביון אמריקאי, ומגיעים לידיהם של הפשע המאורגן. האחרונים עושים שימוש בכלים אלו בשביל להחזיק עשרות אלפי מחשבים מסביב לעולם כבני ערובה עד לתשלום הסכום הנדרש. בעוד 3 ימים, גורמים הפשיעה האלה ייעלמו עם מאות אלפי, ואולי אף מיליוני דולרים בביטקוין".

דאג מילס / ניו יורק טיימס


תגובות

דלג על התגובות

בשליחת תגובה זו הנני מצהיר שאני מסכים/מסכימה עם תנאי השימוש של אתר TheMarker

סדר את התגובות

כתבות ראשיות באתר

כתבות שאולי פיספסתם

*#