דיגיטל וטק

עליה חדה במתקפות סייבר על אתרים ישראליים לקראת הרמדאן

לפי חברת רדוור, גופי סייבר חדשים מצטרפים לתוקפים איסלמיסטיים; שימוש בווקטורי תקיפה שלא נצפו קודם שנועדו להקשות על זיהוי והגנה מפניהם, והופעה של שחקנים חדשים

מערכת ice | 11/3/2024 14:46

בחדר המצב של חברת הסייבר רדוור נצפתה עלייה דרמטית בהתקפות סייבר על אתרים וחברות ישראליות החל מחודש אוקטובר 2023, במקביל להתקפת חמאס על ישראל. עליה זו הקפיצה את ישראל למקום הראשון בעולם מבין המדינות המותקפות בשנת 2023.

לדברי רון מירן, מנהל תחום מודיעין סייבר ברדוור, לקראת תחילתו של חודש הרמדאן אנו עדים לגל נוסף של תקיפות סייבר על ידי גופי תקיפת סייבר קיימים וחדשים. בדומה לאירועי סייבר קודמים כגון מתקפות הסייבר של גורמים פרו-רוסיים על אתרים ותשתיות קריטיות באוקראינה, ישנה חשיבות למעקב ולימוד הטכניקות והשיטות של התוקפים. אנו מעריכים שבקרוב נראה התרחבות של שימוש בטכניקות אלו גם לזירות אחרות בעולם.

עוד ב-

מערך הסייבר הלאומי מזהיר: אסור לענות לשיחת הטלפון הזו

לכתבה המלאה

סקירת המידע שנאסף בחדר המצב של רדוור:
מוטיבציה - מעקב אחרי ערוצי הטלגרם של התוקפים חושף את המוטיבציה (או החששות) של תוקפים פרו-פלסטיניים מפני כניסת צה"ל לרפיח. לדוגמא, המנהיג של גוף התקיפה LulzSec Indonesia כתב כי הוא "מאיים על ישראל לבל תתקוף את העיר רפיח בחודש הקדוש של רמדאן". גופים איסלמיסטיים שמשתתפים בתקיפות מציינים גם הם מוטיבציה זו או מהדהדים את המסר הזה.

סיווג התוקפים - אנו עדים לעשרות רבות של גופי תקיפה (רובם איסלמיסטיים) שחברו יחד בגל התקיפות הנוכחי. גופי תקיפה מקצועיים כגון אנונימוס סודן, Mysterious Team Bangladesh, Moroccan Black Cyber Army אשר משתמשים בווקטורי תקיפה מורכבים ומתוחכמים. וכן גופי תקיפה חדשים שלא נצפו קודם, אשר שומרים על עמימות ואינם לוקחים אחריות על מנת להקשות על איתור מקורם. ניתן להעריך שמדובר בגורמי תקיפה שממומנים על ידי מדינות, ואשר מבצעים את התקיפות כנקמה בישראל כחלק ממלחמת הסייבר בין ישראל ואירן שבמסגרתה נצפו גם תוקפים פרו-רוסים. בחלק מן התקיפות ברדוור מעריכים שמדובר בין השאר ב"בדיקת כלים" כדי לבחון את הגנות הסייבר של מדינת ישראל ושל המערכות הפיננסיות.

יש לציין שחלק לא קטן מן התוקפים הם חובבנים שמשתמשים בכלי תקיפה שהם מוצאים ברחבי הרשת (Script Kiddies) ועל כן יבחרו אתרים מסחריים או אתרי ממשלה בלתי מוגנים. ווקטורי התקיפה שלהם קלים לזיהוי והגנה מפניהם.

ווקטורי תקיפה חדשים - קיימת עליה ברורה בשימוש בווקטורי תקיפה מתוחכמים שנועדו להקשות על זיהוי והגנה מפניהם. באירועי סייבר רבים אנו עדים לשימוש במתקפות מורכבות הכוללות מספר ווקטורי תקיפה במקביל לאורך תקופה שיכולה להמשך מספר שעות ועד מספר ימים עם כמה נקודות שיא במהלך האירוע:

• התקפות מסוג Web DDoS Tsunami – בהן התוקפים משחזרים בקשות מוצפנות של משתמשים לגיטימיים. צפינו בקצבי תקיפה שמגיעים עד 3.2M RPS (RPS – Requests Per Second – בקשות לשנייה). אתרים מתוכננים בדרך כלל לעבד מאות ועד מספר אלפי בקשות לשנייה. לדוגמה, קצב של מליון בקשות בשנייה משול לכל אדם בישראל שינסה להתחבר לאתר יותר מ-6 פעמים כל דקה.

• התקפות מסוג DNS על תשתית האינטרנט. מתקפות אלו נועדו למנוע משרתי ה DNS (שרתי תרגום שמות) לספק מידע וקישור לאתרים המותקפים. משתמש שרוצה לגשת לאתר לא יוכל למצוא אותו ברשת.

• מתקפות מתפרצות (Burst attack) – מתקפות אלו מאופיינות בפרצים רבי עוצמה של מספר ווקטורי תקיפה בו זמנית שנמשכים זמן קצר (כמה עשרות שניות ועד דקות בודדות). התוקפים חוזרים על מתקפות אלו שוב ושוב מתוך ידיעה שכל פרץ כזה משבש את פעילות האתר ונדרש זמן על מנת לחזור לפעילות מלאה.

• כמו כן אנו ממשיכים לחזות בווקטורי תקיפה מסורתיים שמייצרים עומס תעבורה על אתרים עד שלא נותר רוחב סרט אפקטיבי לטובת המשתמשים הלגיטימיים. צפינו בהיקפי תקיפה שמגיעים עד 100 גיגה ביט לשנייה.

התקפות עיקריות - התקפות ברמת תחכום גבוהה על ידי גופי התקיפה המקצועיים והחדשים הופנו כנגד:
• אתרי ממשלה – משרדי ממשלה, רשויות, רשתות מדיה.
• שתיות תקשורת ופיננסיות: חברות תקשורת, בנקים וחברות הביטוח הגדולות במשק.

מרבית האתרים חוו התקפות חוזרות ונשנות במהלך הימים האחרונים. לדוגמא, אתר חברת פיננסים הותקף במקביל במספר רב של ווקטורי תקיפה שכללו מתקפות רשת בקצבים שמגיעים עד 100 גיגה ביט לשנייה, מתקפות אפליקטיביות Web DDoS Tsunami ומתקפות DNS שנועדו למנוע ממשתמשים להגיע לאתר החברה.

התקפות משניות - התקפות ברמת תחכום נמוכה נצפו על אתרים כגון תחבורה, תיירות, ועסקים פרטיים. המתקפות הן אקראיות בבחירת היעדים, וכוללות בעיקר וקטורי תקיפה מסורתיים שמייצרים עומסי תעבורת רשת על האתר המותקף.