"חוקרים את המקרה": H&M ישראל מתמודדת עם תקיפת סייבר איראנית

קבוצת התקיפה העונה לשם Networm העלתה לאתר שלה איום לחברת H&M ישראל וכתבה כי יש ברשותה 110 גיגה בייט של חומר שנגנב מהחברה • נציגות החברה בישראל: "חוקרים את המקרה" • מערך הסייבר הלאומי: "ההערכה היא כי הגורם האחראי לתקיפות אלה אחראי גם לתקיפות קודמות בקמפיין המזוהה עם Pay2key"

H&M / צילום: shutterstock
H&M / צילום: shutterstock

האם האיראנים ממשיכים להציק למשק הישראלי בעזרת מתקפות סייבר שמתחזות למתקפות כופרה אך הן בעצם מתקפות תודעה? מאז סוף השבוע נמצאת שורת חברות בישראל תחת מתקפת סייבר שעל-פי סימנים שונים מקורה באיראן. על-פי מערך הסייבר הלאומי, מדובר במקרים בודדים ולא במתקפה כוללת.

על-פי מידע ראשוני, מדובר במתקפות שכלפי חוץ נחזות למתקפות כופרה, אך הן אינן כאלה, וייתכן שיותר משנועדו למטרות כספיות פליליות, הן נועדו להטריד ולהביך את המשק הישראלי. במתקפות כופרה התוקפים נועלים קבצים מתוך מאגרי מידע של חברות, מצפינים אותם וסוחטים תשלום עבור שחרור ההצפנה.

שתי החברות שידוע שהותקפו הן חברת הלוגיסטיקה Veritas ואתר חברת ההלבשה H&M ישראל. ההאקרים התוקפים, קבוצת תקיפה בשם "נט-וורם" (#n3tw0rm), פועלים בשיטה דומה לזו שבה הותקפו חברות בישראל בידי קבוצת התקיפה Pay2key. שתיים מהחברות אשר התוקפים טענו בזמנו כי תקפו הן אלתא של התעשייה האווירית וקבוצת פיתוח שבבי הבינה המלאכותית "הבאנה" מבית אינטל.

יש לציין כי סכום הכסף שנסחט מווריטס הוא 3 ביטקוין "בלבד", ששווים כיום כ-150 אלף דולר - סכום נמוך משמעותית בהשוואה לסכום שדרשו התוקפים של חברת הביטוח שירביט. אלה דרשו בתחילה 50 ביטקוין, שהיו שווים בזמנו כמיליון דולר, ולאחר מכן הגדילו את הדרישה ל-100 ו-200 ביטקוין. 

במקרים שאירוע בימים האחרונים פורסמו ברשת האפלה הודעות של קבוצת התקיפה שאם לא ייענו דרישותיהם יפורסם מידע מתוך מחשבי החברה. הדד-ליין לתשלום שהוצב לווריטס יפקע מחר בבוקר, והדד-ליין ל-H&M ב-5 במאי. היקף המידע שהתוקפים טוענים שנמצא ברשותם עומד על כ-90 ג'יגה בייט במקרה של וריטס ועל 110 ג'יגה בייט במקרה של H&M.

קבוצת תקיפות הסייבר Networm פרסמה הצהרה באתר שלה וכתבה כי יש ברשותה 110 גיגה בייט של מידע שהושגה באמצעות פריצה לרשת האופנה H&M ישראל. כאמור, התוקפים גם פרסמו באתר אולטימטום: אם לא ישולם כופר עד יום רביעי הקרוב, 5 במאי, הם יפרסמו את המידע ברשת. ככל הידוע, מאץ' ריטייל, נציגות H&M בישראל, לא קיבלה כל פנייה מהתוקפים. 

על-פי גורמים בשוק, קבוצת התקיפה הזו מוכרת בשם אחר, קבוצת איראנית שפעלה כבר באזור בשם "pay2key" - שכבר זוהתה כקבוצה איראנית, כפי שחשפה חברת צ'ק פוינט בחודש נובמבר. זירת המסחר שבה הקבוצה ממירה את הקריפטו לכסף היא איראנית, והיא מדווחת לרשויות שם. לדעת אותם גורמים, המטרה של הקבוצה היא בעיקר לגרום מבוכה לישראל, ולא כפי שזה נראה כבקשת כופר רגילה למען הכסף. הקבוצה הזו פועלת בעיקר ממניעים אידאולוגיים נגד ישראל.  

הודעת האיום שנשלחה ל-H&M ישראל
 הודעת האיום שנשלחה ל-H&M ישראל

ממאץ' ריטייל, נציגות החברה בישראל, נמסר: "אנו חוקרים את המקרה".

ממערך הסייבר הלאומי נמסר בתגובה: "בימים האחרונים זוהתה מתקפת כופרה על מספר חברות בישראל. ביום שישי האחרון הפיץ המערך התרעה בנושא וקובץ לזיהוי המתקפה ברשת הארגונית וקורא לחברות לנטרו במערכות הרלוונטיות בהקדם האפשרי. ההערכה היא כי הגורם האחראי לתקיפות אלה אחראי גם לתקיפות קודמות בקמפיין המזוהה עם Pay2key. האירוע מנוהל במודל של הפעלת חברות IR העובדות עם הגופים שנתקפו תוך הזנה הדדית של מידע וכאשר המערך מרכז את תמונת המצב. חלק מהחברות כבר חזרו לפעילות, וחלק נמצאות בשלבי הכלה. ככל הידוע לנו, כרגע לא מדובר באפידמיה אלא במקרים בודדים". 

נציין כי דוח של חברת הסייבר הישראלית קלירסקיי חשף כבר בנובמבר 2019 כי קבוצת התקיפה Pay2key היא קבוצת תקיפה איראנית, לאחר שזו תקפה 12 חברות ישראליות. יש לציין כי לא ידוע קשר בין קבוצה זו לקבוצת התקיפה BlackShadow שעמדה מאחורי המתקפה נגד חברת הביטוח שירביט.

לוטם פינקלשטיין, מנהל מחלקת מודיעין סייבר בחברת צ'ק פוינט, אומר כי "מניתוח של הממצאים מגל התקיפה הנוכחי, אנו רואים זהות גבוהה הן בקוד, הן בטקטיקות ובמאפייני הקורבנות שמזוהים עם Pay2key מגל התקיפות הראשון בנובמבר 2020. מדובר בניסיון לשוות למתקפה זהות חדשה, אולי כדי לספק תחושה של שחקנים חדשים, אולם מדובר באותה קבוצת תקיפה עם אותם האינטרסים". 

על-פי מומחה הסייבר רם לוי, מנכ"ל חברת הסייבר קונפידס, "העובדה שהקבוצה לא תקפה עוד יעדים חוץ מישראל, והעובדה שהמאפיינים של הקבצים הזדוניים במתקפה הם של פייטוקי, מחזקות את ההשערה שמדובר בקובצה איראנית שהמוטיבציה שלה לא כלכלית".

לוי הסביר כי הסיבה העיקרית בשלה המתקפה מיוחסת לאיראן יותר מאשר לגורמים פליליים שפועלים בעבור בצע-כסף, היא שבכמה מקרים בעבר התוקפים לא שלחו לקורבנות את מפתחות ההצפנה שישחררו את המידע שהם נעלו בחלק מהמתקפה, למרות שהקורבנות נכנעו לסחיטה ושילמו לתוקפים.

לוי אמר עוד כי הוא "מעריך שאם מדובר במידע שקשור למועדון לקוחות וכולל פרטי אשראי, זה יכול להיות בעייתי. במקרה הזה H&M ישראל ככל הנראה נשענת על תשתיות של H&M העולמית, אין אתר מכירות ייעודי ל-H&M ישראל, ולכן צריך לבדוק לגופו של עניין".

לוי קרא לשפר את האופן שבו הגורמים הממשלתיים והעסקיים משתפים פעולה בעת משבר סייבר. לדבריו, "מעורבות המדינה חיובית ומסייעת, ונכון לשקול לעשות את זה בצורה שיטתית. בהרבה אירועים שאנחנו מכירים, ארגונים עובדים קשה תוך כדי משבר במתן מענה לדרישה לייצר דוחות לגופי פיקוח השונים. אין תיאום בין גופים אלה, ואין גורם אחד שמרכז את הנושא מבחינה מקצועית, ולכן העבודה כפולה ומכופלת". לכן, טען, "חשוב שהארגון ימנה 'קצין דוחות ראשי' (קד"ר) שירכז את העבודה עם הרגולטורים".