גלובס - עיתון העסקים של ישראלאתר נגיש

הטכניון בחיפה / צילום: Shutterstock, Julija Sh

מתקפת סייבר על אוניברסיטת הטכניון: קבוצת DarkBit, קבוצת האקרים לא מוכרת, תקפה את הטכניון בשעות הלילה. בטכניון מבקשים מהסטודנטים לנתק את המחשבים, מומחי סייבר מצביעים על זה כמתקפת כופרה ומנסים להבין עדיין את סדר הגודל. מעבר לכך שאתר הטכניון לא זמין, נראה כי הגישה לחשבונות של עובדים נשלטה על ידי גורם חיצוני.

● דיווחים בעולם: מטא מתכננת פיטורים נוספים
● מכירת חיסול: שלוש עסקאות מהשבועיים האחרונים מסמלות את העידן החדש בהייטק | ניתוח
● להתראות סטארט־אפ ניישן? ישראל מסתכנת באיבוד השליטה על התדמית שלה בעולם | טור סופ"ש

הקבוצה עצמה לא מוכרת ולא הופיעה בשם הזה בעבר - אך מיוחסים אליה מניעים אידיאולוגים נגד ישראל. על פי גורמים ביטחוניים, המתקפה היא תגובה איראנית לתקיפות שמיוחסות לישראל נגד מרכזי מחקר איראנים. לצד זאת, אותם גורמים מציינים כי מדענים מהטכניון מעורבים גם בפרויקטים ביטחוניים. לדבריהם, האפשרות הסבירה ביותר ביחס למתקפה היא שחקנים איראניים שמנסים להסוות את עצמם עם תשלום הכופר. ככל הידוע, לא דלפו מסמכים ביטחוניים.

בטכניון עדכנו את הסטודנטים כי עקב הורדת מערכת המודל, "הבחינות מחר ומחרתיים (13-14.2.2023), יידחו. מועדים חלופיים ייקבעו בהמשך וצפויים להתקיים בשבועיים הראשונים של סמסטר אביב. מקרים מיוחדים, יטופלו באמצעות וועדת חריגים בלימודי הסכמה יחד עם אס"ט (אגודת הסטודטנדטים בטכניון)".

במכתב כופרה שהתקבל מהתוקפים והגיע לידי גלובס נכתב: "אנחנו מצטערים לבשר שהיינו חייבים לפרוץ לרשת הטכניון ולהעביר את 'כל' המידע לשרתים המאובטחים שלנו. אז, תירגעו, תיקחו נשימה ותחשבו על משטר האפרטהייד שגורם לצרות פה ושם. הם צריכים לשלם על השקרים ועל הפשעים. הם צריכים לשלם על הכיבוש, פשעי המלחמה נגד האנושות, הריגת האנשים (ולא רק את גופות הפלסטינים, גם על נשמות הישראלים), והריסת העתיד והחלומות שהיו לנו. הם צריכים לשלם על הפיטורים של מומחים מאוד מוכשרים".

התוקפים בהודעתם כותבים שלאדם הפרטי אין מה לדאוג, אך להנהלה יש לשלם 80 ביטקוין לארנק שנכתב בהודעה. לפי שווי הביטקוין הנוכחי, הכופר עומד על יותר מ-1.7 מיליון דולר. לדברי התוקפים, לא כדאי לנסות לשחזר את המידע, כי ניסיון כזה יוביל להריסת והשמדת המידע בגלל ההצפנה שיש שם. התוקפים נתנו 48 שעות, ואם לא יעמדו בזה - הכופר יעלה ב-30%. תוך חמישה ימים לדבריהם, המידע יוצע למכירה. ההודעה נחתמת: "תיקחו את זה ברצינות, ואל תקשיבו לעצות אפשריות של ממשלה אידיוטית".

לפי גורמים בתעשייה שמעורבים בפרטים, לא מתנהל שום משא ומתן בין האוניברסיטה לבין התוקפים.

מומחים בתעשיית הסייבר מעריכים איך התקיפה הזו הייתה יכולה לקרות: האפשרות הראשונה שישנה חולשה מוכרת שלא טופלה או חולשה במוצר ספציפי - משמע התוקפים מצאו חולשה במערכת שלא טופלה ודרכה נכנסו. האפשרות השנייה היא שהפילו בפח מישהו עם הרבה הרשאות במערכת וכך דרכו נכנסו למערכת.

ההאקרים התחזו לנשיא הטכניון כדי לעורר פאניקה

בפוסטים שפורסמו באמצעות חשבונות עובדים צוין כי מדובר במתקפת כופר וצוינה שמה של הקבוצה הזו. התוקפים אף התחזו לנשיא הטכניון, פרופ' אורי סיוון , ופרסמו בלינקדאין בשמו כי בעקבות התקיפה, הוא יתפטר מתפקידו. חשוב לציין כי לנשיא הטכניון אין חשבון לינקדאין ולא היה, כך שמדובר בפייק מוחלט. בפוסט אחר נכתבה בשם חשבון "Technion-Jobes" ההודעה הבאה: "ההאקרים הענישו אותנו על משטר האפרטהייד. כל המערכות ללא גישה והמידע שלנו חסר. אז, אנחנו חייבים לעצור את כל תהליכי משאבי האנוש באופן זמני". כאמור, הפוסט המזויף נמחק.

מערך הסייבר הלאומי וחברות נוספות מעורבות במקרה כדי לסייע לטכניון להתמודד עם זה. כאמור עדיין לא ברור היקף דליפת המידע.

אושר עשור, יועץ סייבר למשרד הביטחון ושותף מנהל חטיבת הסייבר בפירמת הייעוץ Auren ישראל: "לאנשי הטכניון יש כמה אופציות. האחת - לשלם את דמי הכופר. עם זאת, יש הסכמה גורפת בקרב קהילת הסייבר שמדובר ברעיון רע. הרי המידע נמצא אצל התוקף וכלל לא בטוח שהטכניון יקבל אותו חזרה בעקבות תשלום. מצד אחד נגנב מידע, ומצד שני רכיבים רבים בתוכנות מוצפנים על ידי התוקף".

עשור מציע אופציה מועדפת אחרת: "צריך לחקור את תהליך הפריצה וההתפשטות של וירוס הכופר באמצעות חוקרי אבטחת מידע, ולהתחיל תהליך טיהור ושחזור המידע לאחור, הן באמצעות שימוש בגיבויים, והן בניסיון לעקוף את תהליך ההצפנה של וירוס הכופר".

רם לוי מייסד ומנכ"ל חברת ניהול משברי סייבר קונפידס, שניהלה את מתקפת הסייבר של שירביט ואוניברסיטת בן גוריון, מסר לגלובס כי "הקבוצה שלקחה אחריות, Darkbit, איננה מוכרת ואף ציינה שהישות הציונית צריכה לשלם על הפשעים שלה. לכן, בשלב זה לפי דפוס הפעולה נראה שמדובר במתקפה למטרות לאומניות ומדובר בפייק-כופרה. מניסיון העבר ההאקרים יעשו מאמץ רב כדי לעורר את כלי התקשורת לפרסם את התקיפה באמצעות הדלפות מאסיביות של מידע".

אירגוני חינוך בישראל מותקפים כפול מהממוצע

מהטכניון נמסר בתגובה: "בשעות הלילה בוצעה התקפת סייבר על ידי קבוצת האקרים על שרתי הטכניון. מערכות המחשוב נבדקות כעת ולכן נותקו באופן יזום. אנחנו לומדים את המצב, נמשיך ונעדכן בקרוב".

בעקבות מתקפת הסייבר נמסר ממערך הסייבר הלאומי: "מערך הסייבר הלאומי נמצא בקשר מול הטכניון לקבלת תמונת מצב מלאה, לסיוע באירוע ולבחינת השלכותיו. מגזר ההשכלה הגבוהה מהווה יעד מרכזי למתקפות סייבר: בשנת 2022 המערך זיהה וטיפל ב-53 אירועים באקדמיה, שרובם נבלמו. המערך פועל לאורך השנה מול המוסדות לאיתור נקודות חולשה ולהטמעת הגנות. באחרונה אף התקיימו מספר פגישות עם המועצה להשכלה גבוהה ונציגי המוסדות האקדמיים מתוך הבנת האיום הדורש הידוק שיתוף הפעולה ואף לבחינת אפשרות להקמת מרכז בקרה משותף".

מנתוני ענקית אבטחת המידע צ'ק פוינט עולה שארגוני חינוך בישראל מותקפים כפול מהממוצע הכללי - 3,383 מתקפות מדי שבוע (לעומת 1,624 מתקפות שבועיות בממוצע הכללי). לדברי מומחים בחברה, ארגוני חינוך הם מטרות מועדפות לתוקפים שכן הם מאחסנים מידע אישי בעל ערך. לצד זאת, המוסדות הללו לרוב פחות משקיעים בהגנה, ותקיפה מוצלחת שלהם יכולה לייצר הד נרחב במיוחד.

ד"ר הראל מנשרי, ראש תחום סייבר ב-HIT מכון טכנולוגי חולון וממקימי מערך הסייבר בשב"כ אומר כי הכל ראשוני כרגע, אבל אפשר לזהות את כוונות הקבוצה בהתאם למעשיה: "צריך לזכור שבעבר ראינו מתקפות של פרוקסי איראניים שהתחזו למתקפות כופר כמו במקרה של שירביט. אם הם יתחילו לפרסם בעוד כמה שעות את החומרים מן המערכת, אפשר יהיה להניח שאכן מדובר בהתחזות למתקפת כופר".

עוד הוסיף: "חשוב לזכור שהמתקפה בוצעה במהלך סוף השבוע, בזמן לילה ובמהלך חופשת סימסטר, כלומר הפעילות במערכות המחשוב של הטכניון בנקודת הזמן של המתקפה נמוכה יחסית, כלומר יתכן ומידת הנזק למערכות יחסית מוגבלת. כאן צריך לראות מה מצב הגיבויים של הטכניון".

אלכס שטיינברג, מנהל מוצרים בחברת אבטחת המידע ESET אומר כי יש כמה סיבות לכך שהתוקפים ירצו לגנוב את המידע מהטכניון. ראשית, תקיפה על רקע מדיני, "מדינות כמו איראן, סין ורוסיה למשל יכולות להפיק תועלת רבה מהמידע". לצד זאת, "יתכן כי הם רוצים לגנוב את המידע כדי למכור אותו למי שיהיה מוכן לשלם עבורו וכך להרוויח". עוד טען כי "בהודעת הכופר שמופצת נראה התוקפים מבקשים סכום כספי גבוה, אך זה יכול להיות מסווה למטרות אחרות".

גיל מסינג, מנהל התקשורת התאגידית הגלובלית וראש המטה של חברת אבטחת המידע צ'ק פוינט מסביר מה הצעדים הראשונים שעל גוף מותקף לעשות: "קודם כל, כשקורה אירוע שכזה, צריך לנסות ולעצור את שרשרת ההדבקה. לכן, צריך להוריד את השאלטר מרשת, כי כך מונעים את ההידבקות של הנוזקה ממקום למקום". בכך, אפשר להבין עד כמה רחוק הגיעו התקופים, כמה מהמידע נפגע והאם המידע הזה מוגבה. "למעשה מדובר בתהליך מאוד איטי. אנחנו מדברים כאן על אירוע ארוך, לרוב ימים ובפוטנציאל אף לשבועות". השלב השני לדבריו, זה להקים רשת אלטרנטיבית ונקייה, וזה מתבסס על גיבויים טובים.