בתוך מטה שב"כ, אי שם בצפון תל-אביב, פועל אחד החמ"לים הפחות מוכרים והיותר חשובים לביטחון ישראל. קוראים לו "האורגן", והוא מנהל בשנה האחרונה מלחמה נפרדת, חשאית, שרק מעטים נחשפים אליה - מלחמת הסייבר של ישראל נגד חיזבאללה ואיראן.
- לא רוצים לפספס אף כתבה? הצטרפו לערוץ הטלגרם שלנו
עוד כתבות למנויים:
סביב שולחן השליטה שבמרכז "האורגן" יושבים נציגי שב"כ, המוסד, צה"ל ואמ"ן, מלמ"ב (הממונה על הביטחון במערכת הביטחון) ומערך הסייבר הלאומי. לפני המלחמה, "האורגן" היה מתכנס פעם בשבוע, לישיבת הערכה. עכשיו הוא פועל ברציפות 24/7, ומתנהל באופן דומה לבור הפיקוד בקריה: על המסכים מוצגת תמונת מלחמת הסייבר הנוכחית, דיווחים של גורמים אזרחיים וצבאיים על תקיפות שכבר מתרחשות ומודיעין על אלו שנרקמות. מומחי הסייבר שיושבים ב"אורגן" מקטלגים אותן לפי דרגות חומרה: החל מתקיפות שמהוות מטרד לא מאיים, דרך תקיפות תודעה וניסיון לגייס מרגלים וסוכנים, ועד לתקיפות שעלולות להפוך לסכנה אמיתית למדינת ישראל, כמו פגיעה בתשתיות חשמל, מים ותקשורת או ניסיונות פריצה למאגרי מידע רגישים וסודיים.
בהתאם לסיכון, אנשי "האורגן" מחליטים בזמן אמת מה עושים בכל מקרה ומקרה. תקיפות של תשתיות אזרחיות, למשל, מועברות לטיפול של מערך הסייבר הלאומי. ניסיונות לגייס מרגלים או לייצר פעולות טרור - לשב"כ ולמוסד. כאשר מצליחים ב"אורגן" לזהות את מקור התקיפה, הם יכולים להורות על מתקפת נגד. ברוב המקרים זוהי מתקפת סייבר; אבל יש אירועים שבהם "האורגן" יבקש מצה"ל הפצצה של מקום מסוים – נניח, חוות שרתים – או חיסול פיזי של מומחה סייבר. "במקרים האלו", אומר גורם ביטחוני בכיר המעורב ב"אורגן", "הם פוגשים את הטילים של חיל האוויר". לכן מערך הסייבר של חמאס – שמראש לא היווה איום גדול מדי – חוסל למעשה לחלוטין; המערך של חיזבאללה נפגע, אבל עדיין פעיל מאוד ומייצר תקיפות סייבר; וכמובן, המערך הפעיל המשמעותי מכל, של האיראנים, שלפי ההערכות, עדיין לא השתמש במרבית יכולותיו האמיתיות.
המספרים מטורפים. מתחילת המלחמה, מדובר באלפי ניסיונות תקיפות סייבר בכל יום. רובן, כאמור, לא קריטיות, אבל בהחלט מלמדות על היקף המלחמה החשאית הזו, שמתנהלת לצד המלחמה הגלויה. קחו, לדוגמה, את אחד היעדים המרכזיים למתקפה: משרד ראש הממשלה. באפריל השנה פירסם מבקר המדינה דוח על הגנת המידע במשרד ראש הממשלה. מתברר שעוד בטרם פרצה המלחמה, בחמשת החודשים הראשונים של 2023, היו 49 מיליון ניסיונות לפריצת החיבור מרחוק למשרד ראש הממשלה, יותר ממיליון מתקפות מניעת שירות (DDoS, תקיפה שחוסמת את האפשרות לקבל שירותים מהאתר המותקף), כ-9,000 ניסיונות לניצול פרצות בהגנת המערכת ויותר משישה מיליון הודעות דואר אלקטרוני שהכילו נוזקה (תוכנה שמאפשרת פריצה למחשב) או קישור זדוני. משרד ראש הממשלה דיווח שכל הניסיונות נבלמו, אך המבקר מצא שרמת ההגנה של המשרד אינה מספקת ו"עלולה להביא לפגיעה מהותית במדינת ישראל בהיבטים מדיניים, ביטחוניים, כלכליים ותדמיתיים".
הדוח אינו מזכיר אירוע חריג במיוחד שהתרחש באפריל השנה: פריצת סייבר איראנית לחשבון הפייסבוק של ראש הממשלה, שבמהלכה הועלה בשמו של נתניהו סרטון שמשמיע פסוקים מהקוראן וטקסטים בפרסית. הפוסט הוסר כעבור דקות ספורות, וככל הנראה לא נגרם נזק, מלבד המבוכה.
"מאז תחילת המלחמה היו פי שבעה יותר תקיפות קיברנטיות מאשר לפני כן", אומר ל"ידיעות אחרונות" הבכיר שמעורב ב"אורגן", "וזה במקביל למלחמה הקינטית (הכינוי המקצועי ללחימה ה"מסורתית", באמצעות ירי ופצצות למשל, להבדיל מלחימה קיברנטית - ט"ש). "החפ"ק מזהה את התקיפות, בולם ומסכל עשרות תקיפות ביום. אלה דברים שלא מגיעים לידיעת הציבור".
אבל לא הכל נבלם.
"בשנתיים האחרונות יש שינוי דרמטי לעומת התקופה הקודמת. עד אז הם אספו מידע ויצרו היכרות עם החברה הישראלית, אבל עכשיו הם קפצו את המדרגה ועברו לעולם האקטיבי. היכולת שלנו להביא מידע בצד ההתקפי ובצד ההגנתי השתפרה מאוד, קפצנו קפיצת מדרגה, אבל יש לנו עוד דרך ארוכה לעשות".
ואכן, ההאקרים של חיזבאללה ואיראן רשמו לעצמם בחודשים האחרונים גם שורה של הצלחות, בהן הפריצה לביה"ח זיו, הפריצה למייל הממשלתי של ממשל זמין (MailGov), פריצה לאתר המשרד לביטחון לאומי, פריצה לשורת גופים מסחריים, בהם גם משרדי עורכי דין גדולים, ועוד.
וכך, בעוד ישראל מצויה עמוק, כבר שנה וחודש, במלחמה עוצמתית וגלויה בשבע חזיתות, היא מנהלת במקביל עוד מלחמה בצללים, הרבה פחות מוכרת - אבל כזו שיכולה להיות לא פחות מסוכנת. ולפעמים אפילו יותר.
יוני 2010. יחידות הבקרה של הצנטריפוגות במתקני העשרת האורניום באיראן מתחילות להאיץ ולהאט אותן ללא שליטה. חלק מהצנטריפוגות נפגעות, ולפי דיווחים, אחרות נהרסות. פרויקט הגרעין סופג מהלומה. האיראנים מבולבלים, עד שמתברר שהם הותקפו על ידי וירוס מחשב מסתורי, שכונה בתקשורת העולמית "תולעת סטקסנט". עד היום זו נחשבת לאחת מתקיפות הסייבר המשמעותיות והקשות בהיסטוריה הקצרה של הלחימה הקיברנטית. דיווחים בעולם מייחסים את התקיפה המתוחכמת לשיתוף פעולה בין ישראל לארה"ב.
האיראנים לומדים לקח, ובשנים שאחרי, שיעור ההשקעות שלהם בסייבר הגנתי והתקפי מזנק במאות אחוזים. איראן רוצה להפוך למעצמת סייבר, ומהר: הם מכשירים לוחמי סייבר, מקימים מערכי תקיפה והגנה חדשים, ורוכשים טכנולוגיה מאיפה שרק אפשר.
במרץ השנה נפרץ והושבת שירות הדואר האלקטרוני הממשלתי MailGov וכמויות גדולות של תכתובות מכל משרדי הממשלה דלפו מתוכו. "זה הוגדר בלמ"ס", אומר ראש מערך הסייבר גבי פורטנוי, "אבל בלמ"ס ועוד בלמ"ס הופכים להיות 'רגיש'"
הפער של איראן מול ישראל בתחום הסייבר רחוק מאוד מלהיסגר, אבל באמצע העשור הקודם האיראנים מתחילים גם הם להוציא מתקפות סייבר משמעותיות. על פי פרסומים זרים, באפריל 2020, למשל, הם ניסו לתקוף את מחשבי הבקרה של משאבות מים בישראל, ולגרום להן להזרים לברזים מי שתייה עם אחוז כלור גבוה. המתקפה, לפי גורמים בישראל, התגלתה בזמן, האיראנים הכחישו מעורבות. כמה ימים לאחר מכן הושבת נמל באיראן למשך שעות ארוכות. ישראל לא לקחה אחריות.
חלק מהידע ומטכנולוגיות הסייבר שהשיגו, האיראנים חולקים עם חיזבאללה, שמקים כמה קבוצות האקרים. חלקן עוסקות בפעילות סייבר בשגרה, חלקן עוסקות בבניית מה שמכונה בעולם הסייבר "כפתורים אדומים": יכולת סייבר ספציפית שנבנית לאורך זמן, כדי שבשעת הצורך הכפתורים האדומים "יילחצו" ויפעילו מבצע חד-פעמי כלשהו. אחרי הפעלתו - ה"כפתור האדום" נשרף. המבצע הישראלי לפיצוץ הביפרים ומכשירי הקשר בלבנון, למשל, הוא "כפתור אדום" כזה. אפשר להניח שלישראל יש עוד "כפתורים אדומים", אבל שגם האיראנים בנו כאלו, ועלולים להפעילם אם המלחמה תידרדר.
לפני כשנתיים נחשפה פעילותה של קבוצת תקיפה של החיזבאללה בשם פולוניום, שפעלה בתיאום עם משרדי המודיעין והביטחון האיראניים ופיתחה "כפתורים אדומים" כנגד התעשייה הביטחונית בישראל, משרדי ממשלה ותשתיות קריטיות. הקבוצה תקפה יותר מ-20 מטרות בישראל. לא ידוע אם נגרמו נזקים משמעותיים.
הקבוצה נחשפה על ידי מיקרוסופט, שזיהתה שימוש זדוני במערכת OneDrive שלה (מערכת לאחסון מידע בענן), והצליחה להשבית אותו. ההצלחה של פולוניום הייתה זמנית. חברת האבטחה ESET פירסמה בהמשך מחקר שמצא לא פחות משבע "דלתות אחוריות" שקבוצת פולוניום שתלה בתוכנות שונות, כדי לאפשר לה לפרוץ אליהן. הקבוצה של חיזבאללה גם פיתחה כלים שמאפשרים פעולות ריגול, צילומי מסך, שימוש במצלמת רשת ושמירת הקלדות, וסביר להניח שהיא ממשיכה כל העת בפיתוח כלים חדשים. לפי הדוח של ESET, המטרה העיקרית של פולוניום היא ריגול ואיסוף נתונים, ולא תקיפה או כופר (לכידת מידע קריטי ושחרורו תמורת תשלום). אבל כאמור, אי-אפשר לדעת אילו "כפתורים אדומים" נוספים יש בידי האיראנים.
סנז ישר, מנכ"לית חברת הסטארטאפ זפרן סקיוריטי, היא יוצאת 8200, ונחשבת לאחת המומחיות הגדולות לסייבר האיראני. "אני מציעה לא לזלזל ביכולות הסייבר המבצעיות של האיראנים", היא אומרת. "אני אומרת לך אישית שיש המון מאמצים לעצור את זה, אבל אני לא חושבת שהאיראנים אמרו את המילה האחרונה, הם לא נכנסו עדיין all in. ברגע שייכנסו, אנחנו כנראה נרגיש את זה יותר. אתה יכול להיות סמוך ובטוח שלשני הצדדים יש יותר יכולות ממה שאתה רואה עד כה".
ישר אומרת שזה הזמן לדבר על כפתורים מסוג אחר, "כפתורים ורודים". אלו מערכות לתקיפת סייבר שפועלות בשוטף, בעיקר כדי לאותת למותקף "תשמע, יש לי נשק עוד יותר גרוע". ישר: "בארה"ב אני רואה את מלחמת הסייבר הכי משמעותית שראיתי בחיים שלי, נופלת לי הלסת ממה שהסינים עושים לתשתיות של האמריקאים. האם מישהו לחץ על הכפתור האדום? לא. הסיפור הוא של כפתורים ורודים: אתה מפתח כפתור אדום אבל לא לוחץ עליו. אתה רק רוצה להרתיע את הצד השני, אבל עוד לא הגענו למצב שמישהו מכבה למישהו את הכל. כללי המשחק הם עדיין יותר השפעה על מדיניות ופחות הכרעה"
וכך, כשבין ישראל לאיראן ושלוחתה חיזבאללה מתנהלת מלחמת סייבר בעצימות יחסית נמוכה ושני הצדדים מפתחים "כפתורים אדומים" ו"כפתורים ורודים" - הגיע 7 באוקטובר. בבת אחת, מספר תקיפות הסייבר על ישראל זינק בצורה מסחררת. ב"אורגן" מזהים היום שלוש זירות סייבר כאזורי הקרבות העיקריים: הראשונה היא תקיפה של תשתיות ומערכות קריטיות כמו תחנות כוח, בתי הזיקוק, מערכת הבנקאות ועוד; השנייה היא תקיפה של משרדי ממשלה וחברות בשוק הפרטי; והשלישית היא השפעה על התודעה באמצעות קמפיינים ברשתות החברתיות, גניבת מידע, ומאמצי ריגול וגיוס סוכנים.
גורמים רשמיים שעימם שוחחנו מודים כי כל התשתיות הקריטיות בישראל, נמצאות תחת מתקפות בלתי פוסקות, אבל לדבריהם, אף אחת מהן לא נפגעה. בשיחות עם מומחי סייבר מהשוק הפרטי נשמעים ביטויים פחות נחרצים, כמו "כמעט לא נפגעו". מה שמעלה אפשרות שגופי תשתית קריטית ישראליים ספגו פגיעות אבל לא הושבתו.
באוקטובר השנה הצליחה קבוצת ההאקרים "אל־רדואן", המזוהה עם חיזבאללה, לחדור לאתר המשרד לביטחון לאומי, ופירסמה אלפי מסמכי בקשות לרישיונות לאחזקת נשק, כולל פרטים ותעודות של המבקשים. הקבוצה טענה: "יש לנו נתונים מלאים עבור מתנחלים וחיילי הכיבוש הישראלי וכן מסמכים ביטחוניים רבים"
קשה לחשוב על תשתית יותר קריטית מהכור הגרעיני בדימונה. ובכל זאת, במרץ השנה הצליח ארגון ההאקרים "אנונימוס" לפרוץ למחשבי הכור, להוציא מידע וגם לפרסם אותו בקול צהלה ברשתות. "אנונימוס", חשוב לציין, איננו מזוהה עם איראן או חיזבאללה – בעבר הארגון אף תקף את איראן עצמה – אבל זו לא הפעם היחידה שהוא הופך את ישראל למטרה, ויש ארגוני האקרים שונים שמשתמשים בשמו. המידע שנגנב מהכור אמנם עסק בענייני מנהלה ולא בביטחון ישראל, אך הנזק היה בעיקר תדמיתי: ישראל לא מצליחה להגן על אחד מהאתרים הרגישים ביותר שלה.
בחודש שעבר פירסם "הניו יורק טיימס" דיווח על מעצרם של חברי קבוצת "אנונימוס סודן", שני אחים אזרחי סודן. לפי הדיווח הזה, ב-7.10 בשעות הבוקר הצליחה הקבוצה לשבש את מערכות ההתרעה הישראליות, כולל אפליקציית צופר, המשמשת לקבלת התרעות על אזעקות. מתקפת מניעת שירות (DDoS) מנעה את האפשרות להיכנס לאתר מערכת צופר.
אבל אלו התקיפות הקלות יותר. במרץ השנה נפרץ והושבת שירות הדואר האלקטרוני הממשלתי MailGov וכמויות גדולות של תכתובות מכל משרדי הממשלה דלפו מתוכו. במערך הסייבר אישרו כי אכן דלפו מיילים, אבל לא מסווגים. חודש לאחר מכן התגלה שגם משרד המשפטים חטף, והתוקפים הצליחו להוריד כמויות מידע עצומות, כולל מסמכים ופרטים אישיים של שופטים ועובדי המשרד.
מי שלקח אחריות על המתקפות האלה היה שוב "אנונימוס". הארגון טען שהוא פרץ גם למוסד לביטוח לאומי, לבנקים ישראליים וגם למערכות מחשב של צה"ל והוריד כמויות גדולות של נתונים. אפשר להניח שחלק מההצהרות האלה שקריות, ונועדו להשיג השפעת תודעה. אבל חלק מהמתקפות בכל זאת התרחשו. השבוע, אגב, פירסם מבקר המדינה דוח, ובו מצא בין השאר ליקויים משמעותיים באבטחת הסייבר של המוסד לביטוח לאומי. המבקר מצא שבכל יום מתבצעים עשרות אלפי ניסיונות לתקיפת אתר הביטוח הלאומי.
אחת מקבוצות הפריצה המזוהות עם חיזבאללה נקראת "אל-רדואן", על שם כוח הקומנדו של ארגון הטרור. ב-6 באוקטובר השנה הקבוצה הצליחה לחדור למשרד לביטחון לאומי, ופירסמה אלפי מסמכי בקשות לרישיונות לאחזקת נשק, מסמכים שכוללים פרטים ותעודות של המבקשים. הקבוצה פירסמה גם את המסר הבא: "יחידת הסייבר אל-רדואן חדרה למשרד לביטחון לאומי של הישות הכובשת ויש לנו נתונים מלאים עבור מתנחלים וחיילי הכיבוש הישראלי וכן מסמכים ביטחוניים רבים".
האקרים איראנים ולבנונים ניסו גם לפרוץ לאתרי בתי חולים, שמאגריהם כוללים הרבה מאוד מידע רגיש על מטופלים. בנובמבר 2023 התגלתה מתקפת סייבר קשה במיוחד על בית החולים זיו בצפת. לקח לרשויות שלושה ימים לזהות את קיומה של הפריצה ולעצור את דליפת המידע. בזמן הזה הספיקו התוקפים, קבוצת Agrius של המודיעין האיראני וקבוצת Lebanese Cedar ("ארז הלבנון") של חיזבאללה, להוריד ולפרסם מאות אלפי רשומות רפואיות של מטופלים, כולל מידע על חיילים פצועים. האירוע הזה היה כה חריג, שמערך הסייבר פירסם הודעה מפורטת ויוצאת דופן עם זיהוי התוקפים והנזקים ואזהרה מפני פרסום של המידע שהדליפו התוקפים.
בפברואר השנה התגלתה מתקפת סייבר נוספת על בית חולים, הפעם רמב"ם בחיפה. לפי הדיווח של משרד הבריאות ומערך הסייבר, האירוע נבלם לפני שנגרם נזק או שיבוש של פעילות ביה"ח. "היום יש הרבה קבוצות האקרים קטנות וכמה מרכזיות שעוסקות בדלף מידע", אומר ארז דסה, מומחה סייבר ומנהל ערוץ הטלגרם "חדשות סייבר". לדבריו, לא כל מידע שדולף מפורסם מיד, והקבוצות שומרות על מידע כדי להשתמש בו בעיתוי שנוח להן. "הם שמו את ידם מתישהו על מידע – והם יחליטו מתי לפרסמו".
מצבו של המשק הישראלי לא טוב יותר. שורה ארוכה של חברות הותקפו השנה: ישראייר, איקאה, הום סנטר, כתר, תאגיד כאן, משרדי עורכי דין, והרשימה נמשכת עוד ועוד. שיטות התקיפה היו בדרך כלל דומות, הנזקים שנגרמו שונים: לעיתים לא היה נזק כלל, במקרים אחרים הצליחו ההאקרים להוריד כמויות גדולות של מסמכים ורשומות של לקוחות, לעיתים שיתקו את האתרים של החברות. "נגרמים נזקים, רוב הדברים האלה לא מגיעים לכותרות ואתה לא שומע על זה, אבל אני אומר לך שהפריצות נעשות ברמה יומית", אומר יועץ הסייבר שלומי כהן. "במערך הסייבר משתדלים לסגור את הפרצות, אבל הם תמיד צעד אחד מאוחר יותר. אנחנו כל הזמן במרוץ של לסתום את החורים והשמיכה קצרה. המודעות להגנה נובעת מאותה המנטליות של הצורך לעשות גיבוי".
שזה אומר?
"שכל עוד לא חטפת את הנבוט בראש - הסיכוי שתעשה את זה לא גבוה".
חלק גדול מהתקיפות נגד ישראל במלחמה הן מה שמכונה "תקיפות תודעה". התקיפות הללו לא נועדו להשיג חומרים ומידע או לפגוע בתשתיות, אלא להשפיע פסיכולוגית על המותקפים. הטקטיקות של התקיפות הללו מגוונות. חלק מהתקיפות הן מסוג "תקיפות השחתה": הפורצים חודרים לאתר ומשאירים מסר או משנים אותו. בדצמבר השנה, במהלך תקיפה של ארגון האקרים פרו-פלסטיני, נפרץ אתר הבית של צה"ל, לא פחות. ההאקרים השאירו שם מסר. "אתם תקבלו מאיתנו רק מוות וטרור", נכתב שם בין השאר. הודעה דומה הושארה גם באתר דואר ישראל שנפרץ והושחת גם הוא. הנזק בשני המקרים אולי אינו גדול, המבוכה דווקא כן.
יורם הכהן, מנכ"ל "איגוד האינטרנט הישראלי", מספר על תופעה חדשה של תקיפות תודעה: ניסיונות "לגנוב" אתרים ישראליים: "ראינו ניסיונות להשתלט על אתרי אינטרנט ישראליים ולהמיר אותם באמצעות הפניה לאתרים חמאסיים או חיזבאלליים".
והם הצליחו?
"זה הצליח בחלק מהמקרים בגלל רשלנות של אנשים באופן שהם מנהלים את הנכסים הדיגיטליים שלהם". לדבריו, האיגוד הצליח למנוע את הניסיונות וגם לבטל העברות אתרים שכבר בוצעו.
תקיפות תודעה מוכרות ופופולריות יותר הן הפעילויות ברשתות החברתיות, שמטרתן להתסיס וליצור מתחים חברתיים, בעיקר על ידי מסרים פוליטיים. לאחרונה יש גם עלייה בתקיפות בצורה של הודעות שמגיעות לנייד, לעיתים עם שמו של בעל המכשיר, במטרה ליצור תחושת איום. בחודש שעבר, למשל, נשלחו הודעות מזויפות, כביכול מפיקוד העורף, למיליוני ישראלים שעליהם להיכנס למקלטים. ההודעה כללה קישור שלחיצה עליו הפעילה נוזקה. הודעה אחרת נשלחה מ-sinvar, ונאמר בה: "רצח סינוואר פתח את שערי הגיהינום בפני היהודים". אגב, אפילו מכשירי פקס משמשים למתקפת תודעה. "היום 7 באוקטובר, היום הגדול", פלטו מכשירי פקס רבים בישראל. "ראש הממשלה שלך נתניהו השאיר אותך למות... חכו לנו אנחנו באים להרוג את כולכם". ההודעה כללה ברקוד לסריקה, שהוביל לסרטון הפחדה.
הקבוצה האיראנית המובילה בתקיפות תודעה כאלו היא כנראה "חנדלה", שקרויה על שם דמות הקומיקס המפורסמת והפכה לסמלם של הפלסטינים. הקבוצה ביצעה שורה ארוכה של מתקפות, בין השאר פרצה למחשבים וטלפונים פרטיים של פוליטיקאים ואנשי צבא ופירסמה תמונות פרטיות שלהם, לעיתים מביכות. קבוצת "חנדלה" נחשבת למסוכנת ומתוחכמת במיוחד, ועוסקת בתחומים אחרים של פריצות, כולל למטרות סחיטה ולצורך גניבת מאגרי מידע. היא נשענת בעיקר על פישינג, אבל בניגוד לקבוצות האקרים אחרות, חלק מההודעות של "חנדלה" הן בעברית ברמה גבוהה מאוד.
באחת ההתקפות האחרונות שלה קבוצת "חנדלה" פרצה לחברה ישראלית קטנה, שהחזיקה ברשותה גישה לשיגור סמסים לחמישה מיליון אזרחים ישראלים. "חנדלה" מיהרו לנצל את האוצר ושיגרו הודעה מאיימת למיליוני ישראלים: "הפגישה הסתיימה, שמענו את השיחה, המסר שלנו ברור, אל תהיה טיפש! חנדלה". זה אולי לא גורם נזק, אבל ללא ספק גורם לחשש ולתחושת חוסר אמון.
דווקא סוג התקיפות הללו נופלות בדרך כלל בין הכיסאות, וכרגע למעשה אין גוף ישראלי שממונה על התגוננות בזירת ההשפעה על התודעה. מי שהתגייסו להתמודדות הם ארגונים אזרחיים, כמו "פייק ריפורטר", שחושף בשיטתיות בוטים איראניים ברשתות, או "איגוד האינטרנט הישראלי", שהקים קו חם לטיפול בבעיה. "אנחנו מקבלים דיווחים מאזרחים שנפגעים, ממתקפות על הוואטסאפ, בדרך כלל התארגנויות של האקרים פרו-פלסטינים", אומר עידן רינג, סמנכ"ל חברה וקהילה באיגוד. "הם מנצלים מידע שהם אוספים כדי לייצר השפעה על התודעה, דמורליזציה ובהלה".
למשל?
"למשל הפצת סרטונים מושקעים של פגיעות ביחידת הבקרה האווירית של חיל האוויר או תקיפות הכטב"מים שלהם. הם משקיעים ממש בסרטונים ערוכים ושפה גרפית וכותרות בעברית. לפעמים זה תוכן שקרי, כמו טענות על מתקפות שלא היו או הרג חטופים".
איך הם מצליחים להגיע לטלפונים של כולנו?
"היום זה קל מאוד למצוא רשימות של מספרי טלפון ואימיילים ישראליים תמורת תשלום, וגורמי טרור קונים מאגרי מידע עצומים של ישראלים. ישראל כמדינה נתפסה לא מוכנה בתחום ההתנהלות בתווך הדיגיטלי. עד שלא יטפלו בדליפות המאגרים, אנחנו לא מוגנים".
מדינת ישראל לא יכולה להגיע לגורמים הללו ולעצור אותם?
"אני חושב שבשנה האחרונה החולשה שלנו בהגנה על האזרחים, בעיקר בפלטפורמות החברתיות, נחשפה במלוא עוזה. אין למדינה יכולת רצינית לזהות רשתות של פעילות זרה ועוינת. שב”כ וגופים אחרים התעוררו מאוד מאוחר. המדינה גם מפחדת להתעסק עם רגולציה של רשתות חברתיות, לא דורשת מהן תשובות ולא דורשת שקיפות ולא טיפול בבטיחות של משתמשים".
במערכת הביטחון מביעים דאגה רבה מפעולות ההשפעה על התודעה שמופעלות ברשתות החברתיות, אבל חוששים יותר מהשלב הבא, שאחרי משלוח הוואטסאפ או הסמס המאיים. הגורם הביטחוני הבכיר מחמ"ל "האורגן" אומר שנשקפת סכנה משמעותית מהיכולת של האיראנים לשתול תוכנות ריגול ונוזקות בטלפונים של ישראלים: "אם אזרחי מדינת ישראל לא יבינו את הסכנה הזו, בסוף יגיעו אליהם. יש יחידות איראניות ושל חיזבאללה שפועלות כדי לעשות את זה. אני מקווה שהאזרחים ישפרו את רמת ההיערכות שלהם. זה כמו אירוע של חפץ חשוד: אם אנשים שייתקלו במידע חשוד ידווחו על זה ולא ישתפו פעולה עם התוקפים, זה יעזור לנו לטפל בזה בצורה יותר אפקטיבית".
ג' היה סגן מפקד מחלקת הסייבר ב-8200 בשירותו הצבאי. היום הוא סמנכ"ל בחברת הגנת סייבר ישראלית. לדבריו, ההצלחות המשמעותיות של חיזבאללה הן בתחום השגת המודיעין על הישראלים ועל יעדי התקיפה. "הם משתמשים באווטארים עם הצעות מכל מיני בחורות לחיילים והצעות לתמונות, 'אם רק תגיד מאיזה מוצב אתה ומתי אתה יוצא הביתה'. אין לי ספק שהם למדו הרבה על השגרה של צה"ל בגליל העליון בצורה מאוד קלה", הוא אומר.
ובכל זאת, פחדנו שתקיפות הסייבר יהיו קשות יותר, חששנו שתהיה עלטה ואנשים הצטיידו בגנרטורים.
"אם הם יורידו מחר את הקופות של רשת סופרמרקטים, הם פגעו בעורף הישראלי. המדינה תהיה בהיסטריה. ואם הם יצרפו לזה מסר פומבי של וואטסאפים וסמסים של 'תראו מה נעשה לכם', אתה תגלה שפגעת בציבור הישראלי הרבה יותר מכל טיל".
ג' שוחח עימנו בשבוע שעבר. ביום ראשון השבוע מתקפת סייבר פגעה בשירות של חברת סליקת האשראי קרדיט גארד, וגרמה לשיבושים קלים בשימוש בכרטיסי אשראי. התקלה, לטענת מערך הסייבר, אותרה במהרה וטופלה. נכון לכתיבת שורות אלו לא ברור מי התוקף. אפשר רק לתאר איך תשפיע מתקפה שתשבית את מערך האשראי בישראל לחלוטין.
ויש, כאמור, גם את המאמץ לגייס ישראלים באמצעות הרשתות, להוציא אותם לפעולות תודעה (בדרך כלל תליית כרוזים מתסיסים), פעולות ריגול ואף פעולות חיסול. בחודשים האחרונים עסקה התקשורת רבות במעצרם של למעלה מ-20 ישראלים, מרביתם יהודים, שתמורת סכומי כסף, הסכימו להפוך לסוכנים למען איראן. המספר האמיתי, כך נראה, גדול בהרבה. "כמות הדברים שקורים היא מדהימה", אומרת בכירה במערכת הביטחון. "עד כה אותרו עוד ישראלים שנתנו מידע לאיראנים, ויש אנשים שביצעו פעולות לפי ההנחיה שלהם".
בחמ"ל "האורגן" גאים מאוד בהצלחות שלהם בהגנה מפני תקיפות סייבר משמעותיות במלחמה הנוכחית. "נכנסנו למלחמה במקום מלחמת צללים, כלומר מלחמת הסייבר קיימת, בועטת, נוכחת", אומר גבי פורטנוי, ראש מערך הסייבר הלאומי, "והצלחנו להגן על מדינת ישראל בסייבר. לא היו תקיפות סייבר חמורות או משמעותיות שפגעו ברציפות התפקודית של מדינת ישראל".
אלא שלא כולם מסכימים איתו. "בהגנת הסייבר, לפני ותוך כדי חרבות ברזל, היו הרבה כישלונות", אומר מנכ"ל אחת מחברות מודיעין הסייבר בישראל. "ולא נראה שאף אחד לוקח על עצמו אחריות או מבין מה עומק הכישלון. ההגנה ההיקפית על בתי החולים לא הייתה מספיק טובה ואסור היה לזה לקרות. היו הדלפות של מערכות ביטחוניות, כמו ממשל זמין, שדלפו מיילים מהן, זה היה מזעזע ברמות אינסופיות. אסור היה שזה יקרה".
מנכ"ל אחר בתחום הסייבר אומר: "המדינה לא הבינה, היא לא הייתה באירוע. היה צריך ללכת לארגונים ועיריות וחברות ולעשות פעולות הגנה, לדאוג שיהיה קשה לפרוץ אליהן. זה לא נעשה. התעסקו בלהביא את כל השמות הגדולים מעמק הסיליקון, אבל היו מקרים שגם כשהטכנולוגיה זיהתה את המתקפה, אף אחד לא ידע מה לעשות איתה".
לדברי ג', כאמור סגן מפקד מחלקת הסייבר ב-8200 בשירותו הצבאי, כמות ניסיונות הפריצה מדי יום עולה בהרבה על כמות ההצלחות. "הצד השני עושה Spray & Pray (כינוי לסריקה של מיליוני כתובות אינטרנט – IP – ומציאה אקראית של פרצות לא מוגנות, ואז פריצה, השחתה וגניבת מידע – ט"ש)", הוא אומר. "הם מחפשים כתובות IP של ישראלים, מחפשים את הפירות שצומחים נמוך".
פורטנוי לא מכחיש את הבעיות שהתגלו בהתמודדות עם המתקפות: "המצב במדינת ישראל לא מספק, אבל מצד שני הצלחנו לעצור את המתקפות והן רבות מאוד. יש פה מערכת מרובדת ומגוונת שנותנת מענה ברור. אחרי 7.10 אסור להיות שאננים. יש עוד המון דברים לעשות, ולהתקדם ולהשתפר".
אירוע כמו דליפת התכתבויות במייל משרת הדוא"ל של הממשלה נראה כמו פגיעה משמעותית, אפילו מסוכנת.
"זה הוגדר בלמ"ס, אבל בלמ"ס ועוד בלמ"ס הופכים להיות ‘רגיש’. הרבה מאגרים שאינם הרגישים ביותר נתקפו, אבל כשהם מצטברים זה נהיה רגיש. האירוע הזה היה אירוע לא טוב, מסוג האירועים שאתה רוצה למנוע אותם. השאלה מה עושים מפה והלאה. כמובן, סגרנו את הפרצות ומקווה שהשתפרנו משמעותית".
אתה סבור שבעקבות מלחמת הסייבר הנוכחית, מקבלי ההחלטות והציבור הרחב מבינים טוב יותר את סכנות הסייבר?
"המודעות עלתה במלחמה, אבל לא מספיק. אני חי בדילמה בין כמה אנחנו מפרסמים אירועים מול כמה אתה נותן תחושת הישג לאויב. הנטייה היא שאיפֹה שאפשר לפרסם, לפרסם. זה חשוב, זה מעלה מודעות. יותר מזה, אנחנו מנסים יותר ויותר לייחס את התקיפות, לא נבהלים יותר להגיד 'איראן תקפו'".
ב"אורגן" לא מחכים, כאמור, בחיבוק ידיים לתקיפות של ההאקרים מביירות וטהרן, ומוציאים תקיפות יזומות בעצמם. ובכלל, אין ספק כי מלחמת הסייבר היא אחת הזירות המרכזיות במלחמה הנוכחית. חלק מכלי ההתקפה האלו מסופקים על ידי חברות אזרחיות ישראליות, כמו NSO. "אני לא הולך לדבר על איך משתמשים בכלים שלנו", אומר ירון שוחט, מנכ"ל NSO, בשיחה עם "ידיעות אחרונות". "אבל ההישגים שלנו הם במודיעין המאוד איכותי שיודע להגיד איפה כל מחבל נמצא ומי האנשים שצריך לפגוע בהם, איפה נסראללה נמצא, מי הם הפקודים שלו ואיפה הם נמצאים. כל זה מודיעין שרובו מגיע מהעולמות שלנו. הסייבר הוא זה שמנצח את המלחמה הזו, ואם מישהו לא הבין עד עכשיו את הנחיצות של התעשייה הזו ושל הכלים האלה - אני חושב שזו ההוכחה הניצחת".
7 צפייה בגלריה
הפצצה של צה"ל בדרום לבנון, בסוף השבוע האחרון. “הסייבר הוא זה שמנצח את המלחמה הזו" | צילום: AFP
אתם יודעים גם לחדור לביפרים?
שוחט, חומק מתשובה ישירה: "נסראללה נשא נאום, שהתפרסם בכל העיתונים, ואמר שפגסוס יושבת לכולם על הטלפונים וקרא להם לעבור לביפרים. ואחרי כמה חודשים הביפרים התפוצצו. מדברים על הנדסת תודעה? יכול להיות שלמישהו היה אינטרס שהדברים האלה יתפרסמו בלבנון, שכולם יעברו לביפרים. אין ספק שזה עדיין הישג מודיעין מטורף, זה עירער את הארגון, וזה גם השפיע תודעתית כדי שיעברו לאמצעים אחרים, ששם חיכו להם".
ובינתיים, גם השבוע – כמו כל שבוע ב-13 החודשים האחרונים – נרשמו ב"אורגן" אלפי ניסיונות פריצה לתשתיות חיוניות, אתרי ממשל וחברות אזרחיות. בחמ"ל מבינים היטב כי הסכם מדיני כלשהו, אם וכאשר יגיע, אולי יבשר על הרקטה האחרונה במלחמה הזו – אבל ממש לא על תקיפת הסייבר האחרונה.
