גלובס - עיתון העסקים של ישראלאתר נגיש

לאתר הרגיל | פורטל פיננסי | | |

מעקב אחר 20 בכירים במשך שבע שנים: סטארט-אפ ישראלי חשף מתקפת סייבר חובקת עולם

בעקבות הפריצה השיגו התוקפים גישה לפרטי שיחות וסמסים וכן לפרטי המיקום של מאות מיליוני משתמשים ● בפועל היכולת נוצלה על מנת לעקוב אחר 20 בעלי תפקידים בכירים בממשלות במדינות שונות ● חברות ישראליות לא נפגעו ● מנכ"ל סייבריזן: "התוקף בחר ספציפית להוציא מידע על משתמשים מסוימים"

פורסם בתאריך: 25.06.2019, 12:00 מאת: אורי ברקוביץ'

מייסדי סייבריזן. מימין לשמאל: יוסי נער, ליאור דיב, יונתן שטרים־עמית / צילום: Ryuji Suzuki

חברת הגנת הסייבר הישראלית סייבריזן עדכנה בסוף השבוע האחרון 25 מפעילות סלולר ברחבי העולם כי הן נפגעו, או כי קיים חשד שהן נפגעו, ממתקפת סייבר חמורה. האזהרה באה בעקבות חקירה שניהלה החברה ב-9 החודשים האחרונים, במהלכה התגלו מתקפות סייבר שפגעו ב-12 מפעילות ברחבי העולם. על פי סייבריזן, המתקפה אפשרה לתוקפים גישה מלאה לסיסמאות המחשבים הארגוניים של הספקיות והעניקה להם גם גישה לכל המידע על יעדי השיחות והסמסים של לקוחות החברה ואת מיקומם.

מתקפת הסייבר נחשפה, לדברי החברה, לפני כ-9 חודשים אצל ספקית סלולר בעלת עשרות מיליוני לקוחות. החברה פנתה אל סייבריזן בעקבות חשד למתקפה, חוקרי סייברזין פרשו אצל ספקית הסלולר את מערכותיהם בעשרות אלפי נקודות קצה ולאחר יומיים גילו את המתקפה. המחקר נמשך כמה חודשים ולפני כמה שבועות גילתה החברה כי הפריצה אינה מוגבלת רק לחברה שפנתה אליה, ומעורבות בה בנוסף עוד 11 חברות. סך הכל מדובר ב-12 ספקיות שמשרות מאות מיליוני לקוחות. הסיבה לפריצה לכמה מפעילות, על פי סייבריזן, היא כדי לאפשר מעקב חוצה מדינות ויבשות אחר יעדי התקיפה.

כך פעלה מתקפת הסייבר

בשיחה עם "גלובס" סיפר מנכ"ל סייברזין ליאור דיב את התגלגלות הפרשה. דיב הוא בוגר יחידת המודיעין 8200 אשר קיבל במהלך השירות צל"ש ראש אמ"ן על פיתוח טכנולוגי חסוי. "החברה הראשונה שפנתה אלינו סיפרה לנו שבידיה סימנים למתקפה שהם אינם מצליחים לחבר לכדי תמונה מלאה שתכריע האם הם אכן מותקפים אם לאו", מספר דיב. "אך ככל שהעמקנו יותר מצאנו עוד ועוד סימנים של תקיפה וסימנים שקושרים את כל הסימנים יחד. גילינו שאותו תוקף שלח הרבה נתונים החוצה ושהתוקף אמנם הצפין את המידע, אבל הצלחנו לזהות את הסיסמה שבה הוא השתמש משום שהיא היתה מקודדת בתוך הרושעה שבה הוא השתמש".

לאחר פענוח הצופן, גילו חוקרי החברה זליגת מידע בנפח של למעלה מ-100 ג'יגה-בייטים על 20 משתמשים של אותה חברה סלולרית. "באותה רשת היו כמה מיליוני משתמשים אבל אותו תוקף בחר ספציפית להוציא מידע על משתמשים מסוימים", סיפר דיב. "מדובר היה בפרטים על כל השיחות שאותו משתמש ביצע, סמסים ששלח, וכל המידע של המיקום לאורך חצי שנה - מידע שבעזרתו אפשר להרכיב מהלך חיים שלם של אותו אדם - היכן הוא גר, לאן הוא נוסע כל בוקר, מתי הוא מחנה, למי הוא מתקשר ושולח סמסים. זו תמונת מצב מלאה שמעניקה יכולת עיקוב אחרי אותו אדם". על פי דיב, מדובר על נעקבים פוליטיים, אנשי רשויות. האינטרס למעקב אחר ה-20, הוא מסביר - "לא עסקי. כשמדינה תוקפת מדינה אחרת, יש לה אינטרס לאנשים מאוד ספציפיים באותה מדינה".

דיב מציין עוד כי בשום שלב הפורצים לא הגיעו אל מכשיר הסלולרי של הנעקב. "אם אותו משתמש היה הולך למומחה ושואל אותו האם הטלפון נפרץ, היו אומרים לו שהטלפון נקי. למעשה לא הייתה לו כל דרך לדעת שהוא תחת מעקב. אחרי שהמשכנו לחקור את הנושא זיהינו שאחד הכלים בתוך הרשת קיים בה כבר מזה 7 שנים, במהלכן התוקף ניכס לעצמו יותר ויותר נכסים מתוך הרשת הסלולרית והגיע למצב שהוא שולט עליה לחלוטין. למעשה כל שמות המשתמש והסיסמאות של כל המשתמשים בארגון, כולל אלה של בעלי התפקידים שאחראים על השליטה ברשת - אנשי הסיסטם וה-IT. כך הם יכלו להתחבר לכל אחד מהמחשבים ברשת, להוסיף משתמשים ולהסיר משתמשים".

בזכות היכולת הזו, הסביר דיב, הפורצים עשו לעצמם חיים קלים - "במקום לפרוץ בכל פעם למאגר כדי לגנוב נתונים, הם התקינו VPN על השרת הבילינג שהכיל את המידע שבו היו מעוניינים. הם התחברו אליו מרחוק, ובארבע מקרים שונים הורידו ממנו מאות ג'יגה-בייטים של מידע. התוקפים בעצם פעלו כמו רשת ריגול".

כדי להתחקות אחר עקבותיהם של התוקפים, בדקו אנשי סייבריזן כיצד התוקפים מתקשרים פנימה והחוצה מאותה רשת, ובאיזו תשתית הם משתמשים כדי לבצע את התקיפה. "בדרך כלל מה שהתוקף עושה זה להחליף את תשתית התקיפה בכל פעם, והם אכן עשו זאת, אבל מאחר שהם השתמשו בפרמטרים די דומים, הצלחנו למצוא את שרתי התקיפה ואת צורת התקיפה שהשתמשו בה, וכך גילינו שהם השתמשו בתשתית דומה, או אותה תשתית ממש, כדי לתקוף חברות אחרות. הם לקחו את אותם כלים, ארזו אותם והשתמשו בהם פעם נוספת כדי להשתלט על רשתות אחרות".

בשלב הזה, שאירע לפני כמה שבועות, פנו אנשי החברה למנכ"לים או לסמנכ"לי אבטחת המידע בחברות הנגועות ובישרו להם שהם תחת מתקפה ובשבת האחרונה הם אף נפגשו עם 25 חברות סלולר נוספות כדי לעדכן אותם בפרטי המקרה. "על חלק ממי שהיה בחדר ידענו בוודאות שהם תחת תקיפה אך לא על כולם. היכן שיכולנו פנינו גם לרשויות, כמו ה-FBI בארה"ב". דיב ציין עוד כי "אין ספקיות סלולר ישראליות בין החברות הללו אך אנו עומדים בקשר עימן ומסייעים להן לבדוק אם הן תחת מתקפה. בשבוע האחרון מתדרכים את כל מי שרק יכולים בנושא הזה. השבוע נחלוק את הסיפור על הבמה בכנס סייברוויק באוניברסיטת תל אביב וגם בבלוג שלנו. אנחנו מקווים שנגיע למקסימום חברות ושהן יעשו משהו בעניין".

בסייבריזן חושדים כי קיימת סבירות גבוהה שמדובר בפורצים סינים. החברה זיהתה כלים וסגנון עבודה המתאימים לקבוצת תקיפה סינית בשם APT10, אם כי בשל הדימיון הרב מדי בחברה לא פוסלים את האפשרות שמדובר במתחזה שרוצה להפיל עליהם את האשמה. בכל מקרה, אומר דיב, "מדובר בפורץ מתוחכם בעל יכולות סייבר מתקדמות שמאפיינות מדינות. זו פעם ראשונה שאנחנו רואים שלקבוצת תקיפה מסוימת יש גישה להרבה מאוד חברות סלולר, עם יכולת מעקב אחרי מאוד מיליוני משתמשים, ושהם בוחרים להשתמש בה בצורה מאוד נקודתית כדי לעקוב אחרי משתמשים ספציפיים. גילינו בעצם שיש רשת מודיעין של מדינה שיכולה לעקוב אחרי כל משתמש של כל אחת מהחברות הללו במשך שנים. זה שווה בגודל שלו כמו ההדלפה של סנודן שהראה שארה"ב מרגלת אחרי אזרחיה. אז פה יש מדינה שמרגלת אחרי כולם, לא רק אחרי האזרחים שלה. אנחנו מניחים שב-7 שנים האחרונות היו להם הרבה יעדים שהתחלפו. הם בטח לא עקבו אחרי אותם 20 אנשים כל פעם". מעבר לכך, פוטנציאל הנזק מהיכולת שרכשו אותם פורצים, מסביר דיב, הוא אדיר. "הם יכלו להוריד את הרשת הסלולרית לחלוטין ולייצר כאוס".

דיב שולל את האפשרות שמדובר במחדל אבטחה. "החברות עשו את המקסימום שיכלו אל מול תוקף כזה", הוא אומר. "אבל אם מדינה זרה רוצה לעקוב, היא יכולה לעשות זאת בהינד עפעף ואתה לא תדע מזה לעולם. הדרך היחידה למנוע היא לא להשתמש בשום דבר סלולרי". לשאלת "גלובס" האם לישראלים יש ממה לדאוג הוא משיב: "לישראל יש מערך סייבר מתוחכם עם ידע עמוק. במדינות אחרות שאיתן אנחנו בקשר, המצב הוא לא כזה".

סייבריזן הוקמה ב-2012 על ידי ליאור דיב, יונתן שטרים־עמית ויוסי נער. החברה גייסה עד כה כ-190 מיליון דולר. לחברה למעלה מ-400 לקוחות, ביניהם לוקהיד מרטין, שגם השקיעה בחברה, מוטורולה, חברת התעופה הבריטית Flybe והמרכזים הרפואיים של RTI surgical. באוקטובר 2015 הצטרפה למשקיעות בסייבריזן קרן ההשקעות היפנית סופטבנק, שהשקיעה בשלב ראשון כ-60 מיליון דולר. ביוני 2017 המשיכה סופטבנק והשקיעה עוד 100 מיליון דולר בסייבריזן במסגרת סבב גיוס. כיום מעסיקה החברה 500 עובדים. כמחצית מהעובדים הם אנשי פיתוח שעובדים במרכז הפיתוח של החברה בתל אביב.

עוד כתבות

השת"פ בין וולט לסיבוס בצומת דרכים: עשויים להיפרד ברבעון הבא

שיתוף הפעולה בין חברת המשלוחים לענקית כרטיסי ההסעדה נבחן מחדש ועשוי להסתיים כבר בחודשים הקרובים ● לגלובס נודע כי בעקבות שיחה בניהן הוחלט כי לעת עתה שיתוף הפעולה יימשך כסדרו

דוד צרויה, מנכ''ל פלוס500 / צילום: נתנאל טוביאס

שוקי החיזוי מגלגלים מיליארדים בניבוי העתיד, אך בישראל אין עליהם פיקוח

שוקי החיזוי דוהרים למחזור של טריליון דולר והופכים ללהיט התורן של עולם ההשקעות ● הכניסה של Plus500 הישראלית מעוררת את המשקיעים, אך בישראל הרגולציה נותרה מאחור

שוק הקריפטו איבד 2.2 טריליון דולר משוויו, מה אומרת ההיסטוריה ומה צפוי בהמשך?

חורף הקריפטו חוזר: הביטקוין קרס ב-48% משיאו לרמה של 65 אלף דולר למטבע ● בשוק נותנים שלל הסברים מדוע המטבעות הדיגיטליים מתמוטטים עכשיו, ומנסים להעריך האם מדובר בהזדמנות קנייה או בתחילתה של תקופה ארוכה של חולשה. ומה קרה בפעמים הקודמות שהביטקוין קרס? ● גלובס עושה סדר

ארגוני הפשיעה מצאו שיטה חדשה לגנוב מיליארדי שקלים מהמדינה

הכתבה הזו הייתה הנצפית ביותר השבוע בגלובס ועל כן אנחנו מפרסמים אותה מחדש כשירות לקוראינו ● רשות המסים בלמה לאחרונה חשבוניות פיקטיביות בהיקף של 25 מיליארד שקל, וארגוני הפשיעה החלו לחשב מסלול מחדש: לפרוץ למערכות של חברות אמינות, לגנוב זהויות ולהנפיק חשבוניות "רפאים" באישון לילה ● מקבלנים שחשבונם הוקפא ועד מילואימניקים שנפלו קורבן - כך עובדת שיטת העוקץ

קריית שמונה. תצליח איפה שחיפה ובאר שבע נכשלו? / צילום: Shutterstock

בין פנטזיה למציאות בגליל: אוניברסיטה ושדה תעופה הם לא תמיד תרופת קסם

ההכרזות על שדה תעופה ואוניברסיטה בקריית שמונה מצטיירות כהבטחה למהפך בצפון ● בפועל, ניסיון העבר מלמד שנגישות ולימודים לבדם אינם משנים מגמות הגירה ● בלי תעסוקה, שירותים ואקוסיסטם עירוני מתפקד, קריית שמונה עלולה להישאר תחנת מעבר זמנית

מכה לרשות המסים: פסק דין חדש קובע כי תשיב מאות מיליוני שקלים לקבלנים

ועדת הערר למיסוי מקרקעין קבעה כי על רשות המסים להשיב לקבלנים שזכו במכרזי מחיר למשתכן את מס הרכישה ששילמו ● זאת, לאחר שהתקבלה עמדת הקבלנים לפיה זכייתם במכרז אינה מהווה רכישה של זכות במקרקעין, אלא הסכם למתן שירותי בנייה למדינה, שאינו מחייב במס רכישה

כלים בלתי מאוישים במצעד צבאי בבייג'ינג, ספטמבר. גרסאות חמושות של כלבים רובוטיים וכטב''מים / צילום: Reuters, Sheng Jiapeng/China News Service/VCG

סין ערכה מצעד מרהיב של זאבים רובוטיים - הנשק החדש שלה למלחמה

מהנדסים סינים שרצו לאמן כלים לא מאוישים בלחימה החליטו לשאוב השראה מהטבע ● התוצאות הכניסו את המדינה למרוץ, שבסופו נחילי רחפנים שמדמים יונים, להקות זאבים רובוטיים ומערכות דומות יציפו את שדה הקרב העתידי במדינה ● המודל שואף לשפר את כשירותו של הצבא, שלא נלחם כבר 50 שנה

מגמה שלילית בתל אביב; מדדי הקלינטק והביטחוניות ירדו ב-3%

מדד ת"א 35 ירד בכ-1.9% ● טאואר זינקה לאחר שהודיעה על שת"פ עם אנבידיה, אך מחקה את העליות זמן קצר לאחר מכן ● מג'יק ומטריקס התאוששו מעט לאחר הצניחה במניות ה-IT אתמול ● הביטקוין יורד לשפל של כשנה וחצי ● וגם: בבנק אוף אמריקה מצפים שהטלטלה בתחום הטכנולוגיה תייצר הזדמנויות במניות השבבים

מרטין שלגל, נגיד הבנק המרכזי השוויצרי / צילום: Reuters, Maximilian Schwarz

הדילמה השוויצרית: איך להגן על הכלכלה, לשמור על הפרנק ולא לעצבן את טראמפ

בעוד שהדולר מוסיף ונחלש, והעולם מחפש יציבות, שווייץ ניצבת בפני "צרות של עשירים": המטבע המקומי בשיא של עשור, האינפלציה במדינה אפסית, והחשש מפגיעה ביצוא גובר ● האם הנגיד מרטין שלגל יחזור לריבית שלילית ויסתכן בעימות חזיתי מול ממשל טראמפ?

אלף פניות ביומיים: מי מחפש את נפגעי רפורמת הרווחים הכלואים?

למרות שצלחה את ועדת הכספים ושרדה את בג"ץ, רפורמת הרווחים הכלואים נתקלת במאבק חדש: רואי חשבון ובעלי חברות מתארגנים להקמת לובי נפגעים בכנסת, במטרה לעקר את החוק מתוכן

מחקר מצא: 100 עורכים בכירים הפכו את ויקיפדיה לנשק נגד ישראל

מחקר מצא כי 100 עורכים בכירים בוויקיפדיה פועלים בנחישות כדי לייצר נרטיב אנטי־ישראלי מובהק - ומתנכלים למי שעומד בדרכם ● הערך "ציונות", שעורר סערה בעבר ואף הוגבל לשינויים לפני שנה, ייפתח החודש שוב, והצדדים מתכוננים לחידוש הקרבות ● כשמודלי AI מסתמכים על האנציקלופדיה השיתופית - האיום הופך גדול הרבה יותר

נעילה מעורבת בתל אביב; מניות השבבים עלו, מניות הנדל"ן איבדו גובה

מדד ת"א 35 עלה בכ-0.3% ● וול סטריט סגרה יום שלישי רצוף של ירידות, ה-S&P 500 עבר לתשואה שלילית מתחילת השנה ● אמזון צנחה אתמול במסחר המאוחר בכ-10%, בעקבות דוחות מעורבים שפרסמה ● הביטקוין צנח אתמול בכ-10% ונסחר הבוקר סביב 65 אלף דולר ● וגם: הכירו את מניית ה-AI החדשה שתיכנס היום למדד ה-S&P 500

חומרים: Shutterstock, אילוסטרציה: טלי בוגדנובסקי

התמכרנו ל-AI: מנוע הצמיחה של וול סטריט הפך למשקולת

וול סטריט בפאניקה ● תחנת הרדיו שרק רוצה לעשות נעים ● והחוק שגוזר עלינו ביצים יקרות ל–17 שנה ● זרקור על כמה עניינים שעל הפרק

שילוט של פולימרקט לקראת הבחירות לראשות עיריית ניו יורק / צילום: ap, Olga Fedorova

"מכונת האמת" של פולימרקט: איך פלטפורמת ההימורים הפכה לענקית בשווי 9 מיליארד דולר

שיין קופלן, מייסד פלטפורמת ההימורים פולימרקט, הצליח להפוך מיזם קריפטו שנוי במחלוקת לאחד המדדים המשפיעים ביותר באמריקה ● בין הימורים על מלחמות לטענות על מניפולציות בפרסי נובל, הפלטפורמה שהוגדרה כ"מכונת אמת" כבשה את המיינסטרים והכניעה את הרגולטורים ● האם זהו עוד קזינו או עתיד המידע?

מנכ''ל אמזון, אנדי ג'סי / צילום: Reuters

אמזון מגדילה את ההימור על AI, והמשקיעים מודאגים; המניה נופלת

אמזון רשמה שיא רבעוני בהכנסות של 213 מיליארד דולר, מעל התחזית ● הרווח למניה, 1.95 דולר, היה מעט מתחת לצפי ● הכנסות הענן היו 35.6 מיליארד דולר, מעל התחזיות, עם צמיחה שנתית של כ־21% ● המניה נופלת במסחר המאוחר בעיקר בשל תחזית השקעות חריגה של כ־200 מיליארד דולר לשנה הקרובה, שמעוררת חששות לגבי הלחץ על התזרים והרווחיות