זירת הקרב הבאה של החמאס / צילומים: Shutterstock ורויטרס
זה חודשים שישראל מתמודדת עם עפיפוני ובלוני תבערה בגבול עזה. מול טרור המנהרות פותח המכשול הקרקעי, טרור הספינות נחסם באמצעות מכשול ימי ואולי גם לטרור הבלונים ימצא מכשול כזה או אחר. אלא שבמקביל, בזירה הדיגיטלית, מנסה חמאס לפתח יכולות סייבר שיאפשרו פגיעה באזרחים ישראלים, מבלי שיהיה ניתן להציב מולן מכשול פיזי.
בשבועות האחרונים נחשפו שורת מתקפות שכוונו כלפי אזרחים ישראליים וכלפי חיילות וחיילים. התקיפות, שנשאו את טביעות האצבע של האקרים מהחמאס, נוטרלו, אך ניתן להניח שהן רק קצה הקרחון. הן כנראה יחזרו באמצעים טכנולוגיים משוכללים הרבה יותר, ובפעם הבאה הן יכוונו לא רק כנגד אזרחים, אלא גם כנגד מוסדות וארגונים ישראליים.
בחודש שעבר, לקראת פתיחת משחקי הגביע העולמי בכדורגל, עלתה בחנות האפליקציות של גוגל אפליקציה חינמית בשם Golden Cup. האפליקציה הציעה דיווחים חיים מהמונדיאל, תמונות מגניבות וקליפים של גולים בלתי נשכחים. האפליקציה נראתה תמימה, אך מי שהתקין אותה הפך בלא ידיעתו למקור מידע רב ערך למפעילים מהחמאס: כל שיחותיו הוקלטו, כל קבציו נגנבו, זהותו ומיקומו נרשמו, וכותבי האפליקציה היו יכולים להפעיל בכל רגע את המיקרופון ואת המצלמה ולהקליט ולצלם את סביבתו ללא ידיעתו. בהנחה שרבים מקרב מורידי האפליקציה הם חיילים, למידע הזה עלולה להיות משמעות ביטחונית מסוכנת.
ההאקרים של חמאס: עדיין רשלנים
מי שבחנו את האפליקציה והביאו להסרתה משרתי גוגל היו חוקרי מעבדת חברת סימנטק בתל אביב, רועי ירחי ואייל רינקובסקי. ירחי, ראש צוות מחקר סקיוריטי למובייל בחברה, אומר שמדובר ברוגלה שעלתה לחנות תוך עקיפת מערכות הבדיקה של גוגל. השיטה פשוטה: האפליקציה שהועלתה היתה אכן תמימה ועשתה מה שהיתה אמורה לעשות, אבל לאחר התקנתה אצל המשתמש היא הפעילה תהליך עדכון, שטען לתוכה את המנגנונים ההתקפיים.
"האפליקציה ידעה לעשות כל מה שאתה יכול לדמיין", אומר ירחי, "הקלטת שיחות, הקלטת כל מה שקורה ליד המכשיר, שימוש במצלמה לצילום רצפי תמונות, העלאת פרטי אנשי קשר, איסוף כל הודעות ה-SMS, העלאת תמונות וסרטים, הטענת קבצים שהמפעיל שלח, דיווח על מיקום GPS וזיהוי מספר הטלפון ובעל הטלפון".
לדברי ירחי, הקשר של האפליקציה להאקרים של החמאס ברור: מבנה התקשורת עם השרת זהה לזה שנמצא באפליקציות קודמות שמקורן בחמאס - למשל אפליקציית היכרויות מזויפת שצה"ל חשף לפני כשבועיים. "זה קמפיין המשך", הוא אומר, ומעריך שאינו האחרון מסוגו. "האפליקציה הופצה דרך פייסבוק לקהל רחב של ישראלים, לא רק חיילים. נתקלנו בה בחברות שלאו דווקא קשורות לצבא". בשפה המקצועית קוראים לזה "הנדסה חברתית" - שכנוע גולשים ברשתות חברתיות להתקין כלי ריגול התקפי המתחזה לתמים.
החוקרים של סימנטק מתארים עבודה רשלנית מצד ההאקרים, שהקלה עליהם לזהות כי מדובר בהונאה: למשל, אתר החברה הוקם יום לפני הפצת האפליקציה ולא הכיל כל תוכן משמעותי. מעבר לכך, הבנייה החובבנית של האפליקציה איפשרה לגלות בקלות את מטרתה. בנוסף, ההאקרים עשו טעות פטאלית: השרת שאליו הועלו הקבצים וההקלטות הגנובות נותר פתוח, ואיפשר לחוקרים להגיע ל-8 ג'יגה-בייט של נתונים שנגנבו ממכשירי טלפון של מאות ישראלים.
אפליקציית גולדן קאפ נמחקה, אבל ירחי משוכנע שבמקומה יבואו אחרות, שיהיו מתוחכמות יותר וממוקדות יותר. אנשי סימנטק נמצאים בקשרי עבודה עם יחידות אזרחיות וצבאיות להגנת סייבר, והם משתפים מידע ושיטות עבודה. אלי עמר, טכנולוג ההגנה הראשי במערך CERT של מערך הסייבר במשרד ראש הממשלה, אמר בכנס בנושא לאחרונה שהמענה למתקפות הסייבר הוא בשיתוף מידע בין כל מי שעוסקים באבטחת מידע, ושעליהם לפעול יחד כדי להעלות את המוכנות למתקפות. יש להניח שכל מה שיודעים בסימנטק יודעים במערך הסייבר הלאומי, וככל הנראה הרבה יותר.
ההאקרים מאיראן: תוקפים תשתיות עסקים
ירון עידן, מומחה סייבר בעל חברה לאבטחת מידע וראש החוג ללימודי סייבר במכללת INT, אומר שמהחקירות שהוא מנהל עולה שמתקפות סייבר על ישראל מצד גורמי טרור הן עובדה קיימת. כבר לא מדובר רק בהשבתת אתרים ישראליים או השחתתן - פעולות מרגיזות, אך כאלה שאינן גורמות נזק מוחשי וכמעט ואינן דורשות ידע טכני. "התופעה רווחת, וממד הסייבר הפך לזירה לכל דבר ועניין. יש התקפות מצד גורמי חמאס ברצועה, ולא רק מהם, והן מופנות בשני מישורים - במישור האישי ובמישור המסחרי. רואים עליה של התופעה ברשתות החברתיות, שאני מזהה כחזית גם בנושא תקיפות בממד הקיברנטי".
עידן אומר שההאקרים של חמאס רחוקים מהיכולת ההתקפית שקיימת בקרב מדינות. הסינים נחשבים למובילי יכולות הסייבר ההתקפיות, המופנית בדרך כלל למוסדות כלכליים ופיננסיים; הרוסים תוקפים מערכות פוליטיות, עם יכולות פחות ממוקדות; ומה שאולי צריך להדאיג אותנו במיוחד: לפי עידן, האיראנים הולכים ומפתחים יכולות סייבר התקפי מתקדמות, אם כי בשלב זה הן אינן מופנות כלפי ישראל. "בניגוד לחמאס, אצל האיראנים אלה אינן תקיפות ספורדיות אלא מאורגנות, מיליטנטיות, עם מטרות ברורות של תשתיות עסקים, גורמי ביטחון, ארגונים סמי-בטחוניים".
האם הטכנולוגיה האיראנית עלולה לזלוג לידי החמאס? עידן אומר שבשלב זה היכולת הטכנולוגית של החמאס בסיסית להפתיע, אך הדבר עשוי בהחלט להשתנות. "הם יכולים לפתח יכולת בזכות כלים ברשת האפלה ואפילו ברשת הרגילה, שעמוסה וזמינה וכל אחד יכול לרכוש בה כלי סייבר. אין לזה גבולות ויש בהחלט זליגה".
החברות הפרטיות אינן לבד במאמץ להתמודד עם הבעיה: צה"ל מפעיל אף הוא מערך התגוננות סייבר, ומדי פעם מתפרסמות ידיעות על היבטים של עבודתו. בינואר 2017 חשף צה"ל כי חמאס ניסה לאסוף מודיעין על חיילים, באמצעות זהויות מזוייפות ברשתות החברתיות. בינואר 2018 החלה מחלקת ביטחון מידע בצה"ל לקבל פניות מחיילים וחיילות על פעילויות חשודות ברשתות החברתיות, מה שהוביל למבצע "לב שבור" שחסם את מתקפת האפליקציות להיכרויות. גם בשב"כ קיימת פעילות ערה של מעקב והתגוננות סייבר, ואולם שם סירבו להתייחס לכל היבט של פעילות זו.
מערך הסייבר משדר עסקים כרגיל
מדינת ישראל מודעת לאיומי הסייבר וכדי להתמודד עימם הקימה בעבר את מטה הסייבר (שהיה אחראי לפעולות מניעה) ואת רשות הסייבר (שהייתה אחראית לקביעת מדיניות). שני אלו אוחדו בהמשך לגוף אחד, מערך הסייבר הלאומי, שבראשו עומד עתה יוצא השב"כ יגאל אונא. כל הגורמים הרשמיים שפנינו אליהם נמנעו מהתייחסות ישירה לנושא, והמסר הכללי שהעבירו הוא שמדובר באירועי חדירה חובבניים, כאלו שהמערכות הקיימות יכולות לנטרל ללא מאמץ.
נדמה שהגורמים הרשמיים מודאגים מיכולות הסייבר של חמאס פחות מהגופים הפרטיים, לפחות כלפי חוץ: הם משוכנעים שהמתקפות על ישראלים הן חלק מתופעה עולמית של מתקפות סייבר באמצעות אפליקציות מתחזות ובאמצעות רשתות חברתיות, וכי לפלסטינים אין יכולות ייחודיות או מסוכנות. הדרך להתגונן היא, בפשטות, לא להוריד אפליקציות חשודות, לא להעניק להן את ההרשאות שהן מבקשות, ולפנות למערך להתרעה וקבלת סיוע במידת הצורך.
גורם מוכר בעולם הסייבר הישראלי, שמכיר את התחום ההתקפי היטב, אומר: "לחמאס אין יכולות של מעצמה, אלא רק התחלה של יכולות. אבל הם עושים מאמצים, משתמשים בעיקר בכלים שהם מורידים מהאינטרנט, ועובדה שיש להם הצלחות. הם יודעים לגרום לאנשים ללחוץ על כל מיני לינקים, להוריד כל מיני דברים למחשב וגם לפרוץ למערכות שלא עדכנו את השרתים שלהן". לדבריו, ייתכן שמקור המתקפות כלל אינו בעזה או בגדה, שכן תשתית האינטרנט שלהם משותפת עם ישראל ומקלה מאוד על איתור המתקפות. סביר מאוד להניח שמדובר בתאי חמאס בחו"ל.
לכל מבצע התקפי יש מטרת-על, וניתוח של דפוסי המתקפה וחתך האנשים שהיו מטרתה יכול להוביל לגילויה. אם כן, מה מטרת-העל המתקפות הנוכחיות? הגורמים שפנינו אליהם משכו כתפיים כשנשאלו על כך זה. אם לרשויות המוסמכות יש מידע בנושא, בשלב זה הן לא חולקות אותו עם הציבור.