חשבונות פיקטיביים וניסיונות לגניבת מידע: "אסור לזלזל ביכולות של חמאס"
לאחר סיכול מתקפת הסייבר של ארגון הטרור מהרצועה, מומחים הסבירו ל-ynet כי למרות שחמאס אינו מתקדם טכנולוגית - הוא משתפר משנה לשנה. ראש אגף הסייבר בשב"כ לשעבר: "מנסים לדוג קצינים בכירים"
אתמול בבוקר (יום ראשון) הותר לפרסום כי בסוף השבוע הצליחו כוחות צה"ל ושב"כ לפגוע בשרתי חמאס שבהם אוחסן מידע שנלקח מטלפונים של מאות חיילים. מומחי סייבר אומרים כי זו לא הייתה הפעם הראשונה, וטוענים כי חמאס אמנם אינו מתקדם טכנולוגית - אך אין לזלזל ביכולותיו.
חוקרים מחברת אבטחת המידע צ'ק פוינט, בחנו לעומק את האפליקציות שבהן עשה חמאס שימוש, וכן את השרתים ששימשו לאיסוף מידע על חיילי צה"ל. החוקרים מצאו כי קבוצת התוקפים העומדת מאחורי התקיפה היא קבוצה מוכרת המזוהה עם פעילות חמאס בשם aptc-23, שניהלה בעבר מתקפה גם כנגד הרשות הפלסטינית, באמצעות הודעות מייל זדוניות ששימשו להפצת נוזקות.
החוקרים מצאו על השרת ששימש לתקיפה ולאחסון המידע שמות פנימיים למבצעי התקיפה - בהם ג'ים מוריסון (סולן להקת "הדלתות") וגרטשן בליילר (גולשת סנואובורד). אופן התקיפה נעשה כך שלאחר ביסוס תקשורת ראשונית עם המשתמשות הפיקטיביות, החיילים התבקשו להוריד אפליקציה שתאפשר את המשך השיחה, קבלת תמונות וסרטוני וידאו. לאחר הורדת האפליקציה התקבלה במכשיר הודעת שגיאה, ונראה כי היא נמחקת מהטלפון. למעשה, האפליקציה המשיכה לפעול ברקע עם הרשאות נרחבות - איסוף מיקום, קריאת הודעות, הפעלת מיקרופון ומצלמה והקלטת שיחות.
"איומי הסייבר שרואים היום מתחלקים בחלק גדול מהמקרים לאיומים כלכליים בדמות פשע מאורגן בעולם הסייבר, ולאיומים מדינתיים", מסביר לטם גיא, סמנכ"ל מוצר בחברת סייבריזן. "ארגוני סייבר מדינתיים הם עולם אחר. אפשר להבדיל בין פשיעה אלקטרונית לעולם התקיפות של ארגונים ממשלתיים. בעולם של תקיפה שנתמכת על-ידי ממשלות, אנחנו מדברים על סוגים שונים של איומים. השחקניות המרכזיות בעולם הזה הן סין, רוסיה, צפון קוריאה ואיראן. חמאס הוא לא שחקן בקנה מידה שלהן, אבל בשנים האחרונות אנחנו רואים שיש שם פריצת דרך ביכולות סייבר ראשוניות".
גיא אומר כי "בשבוע שעבר חשפנו שחמאס פיתח וירוס שבא לידי ביטוי בתוכנת ריגול. אותו הווירוס היה ייצור עצמי של חמאס, שהשתמש בדוגמאות ממקורות אחרים אבל פיתח משהו לגמרי חדש. חמאס השקיע השקעה לא קטנה בדרך ההפצה של התוכנות האלה. הוא לא רק כתב את תוכנת הריגול, אלא גם הדביק את הקורבנות דרך הודעות שגרמו לאנשים שקיבלו אותם להתעניין ולפתוח. הם שלחו מיילים על עסקת המאה ועל חיסול משמרות המהפכה באיראן".
"בתקיפה שהתפרסמה הבוקר, אנשי המחשבים של חמאס התחזו לנערות - ישראליות ולא ישראליות - ודיברו עם חיילי צה"ל וגרמו להם לחשוף פרטים אישיים שלהם", מוסיף גיא. "בחלק מהמקרים, החמאסניק שעמד מאחורי הבחורה שכנע את החייל או החיילת להתקין תוכנה על הטלפון שלהם. מה שהחיילים לא ידעו זה שהאפליקציה הצליחה להתקין את עצמה למרות שהם קיבלו הודעה שההתקנה לא צלחה. כך האפליקציה אספה מידע על המיקומים, התמונות והמיקרופון שלהם, ובעצם החלה לרגל אחריהם".
לדברי גיא, החמאס פיתח אפליקציה אפקטיבית שמסוגלת לגנוב מידע, אך לא מדובר בשיטה מתוחכמת שכן יש צורך לגום למישהו להתקין את התוכנה. "התוקף מבקש מהקורבן בצורה מאוד מנומסת להתקין את האפליקציה וגורם לו לחשוב שהוא בוחר לפתוח קובץ ולהתקין תוכנה שמעניינת אותו. חמאס הראו תחכום ניכר כשהשתמש ב'הנדסה חברתית' מתקדמת לשכנע את הנתקפים, בהם חיילים, להתקין אפליקציה זדונית".
זורי קור, בכיר לשעבר בשב"כ וסמנכ"ל "אסרו שירותי ייעוץ" מסביר: "חשוב להבין שמדובר במאמץ לאומי ששותפים בו שניים, צה"ל ושב"כ. חמאס מפגין כבר זמן רב יכולת טכנולוגית, הנשענת על שימוש ברשתות החברתיות, שמהותה היא ליצור קשר עם לוחמים בצה"ל תחת כיסוי של בחורות. בפועל מובילים את האובייקט לשתף פעולה, למסור מידע וללחוץ על לינקים שמובילים אותו לאתרים או להתקנת אפליקציות שמהוות פלטפורמה לשימוש זדוני של האויב מול כוחותינו".
קור מוסיף: "כדי לא לדבר בקולו, מזדהה איש החמאס כעולה חדשה או קשת דיבור שלא נעים לה לדבר. האפליקציה שהוא גורם לחייל להוריד מאפשרת לו לשלוט במכשיר הנייד של הלוחם מרחוק, להפעיל את המצלמה או את המיקרופון ולאסוף מידע על כוחותינו לאורך זמן".
לדברי קור, מדובר בסיכול טכנולוגי משמעותי, שכן הפוטנציאל לנזק היה יכול להיות גדול. "זו לא פעם ראשונה שחמאס תוקף טכנולוגית", הוא אומר, "הטכנולוגיה היא חלק בלתי נפרד מכל מבצע מודיעיני, ובעידן שבו אנו חיים כלי הסייבר הופכים להיות יותר ויותר שימושיים. אסור לזלזל ביכולות של חמאס. היריב חכם ומתוחכם ואין לנו מנוס אלא להיות צעד אחד לפניו".
"בסבב הלחימה האחרון הפציץ צה"ל מבנה של חמאס שממנו בוצעה פעילות סייבר נגד ישראל", אומר קור. זה ממחיש עד כמה הקשר בין סייבר להתקפה נגד מדינת ישראל הוא גדול. התחרות הטכנולוגית בינינו לבין חמאס מורכבת, ולכן 30 אחוז מכוח האדם בשב"כ הוא בעל רקע טכנולוגי. הטכנולוגיה היא פלטפורמה שמניעה את המודיעין כדי שנוכל להיות צעד אחד לפני היריב. לא מדובר ביריב נכשל, אלא בארגון שמנסה להתקדם וצריך לעקוב אחריו ולגדוע את יכולותיו".
ראש אגף סייבר של השב"כ לשעבר, האריס ברבינג, הזהיר: "חמאס מתחזק ומתעצם לא רק בשדה הקרב, אלא גם תקופה ארוכה בתחום הסייבר. הם בודקים בין היתר מה אנשים חושבים על הפעילות שלהם. מרחב הסייבר הוא מקום מצוין ונוח לאסוף את המידע. הם גם בונים יכולות, שבעבר סוכלו בצורה טובה, להשבית אתרים ממשלתיים בישראל. בצוק איתן הם שלחו הודעות ואיימו שהם מתכוונים לשרוף את תל אביב למשל. זו מלחמת ההשפעה ברשת".
"חמאס נעזר גם באיראן ובגופים חיצוניים אחרים שמייצרים לו את אותן הטכנולוגיות", הוסיף ברבינג. "הם מנסים למצוא קצינים בכירים, אבל בפועל הם זורקים רשת דיג ומקווים לדוג חיילים שיכולים להיות רלוונטים למה שהם מחפשים. הבעיה שלהם היא שהם מתמודדים מול מדינת ישראל. יש לנו יכולות סייבר של מעצמה. אנחנו אחת מחמש-שש המדינות המשמעותיות ביותר בתחום".
גם ברבינג מכיר בהתפתחות הטכנולוגית של חמאס, אך מציין כי "הארגון עדיין רחוק מרמה של מדינה". לדבריו, "חמאס הוא ארגון שלומד ומשתפר. ככל שנסכל ונשבש את הפעילות הזו, היכולת שלו להתאושש ולבנות דברים חדשים תהיה מורכבת יותר. אני מניח שבמקרה של היום המידע לא היה דרמטי ולא הצדיק סיכול מהיר. הייתה פה סבלנות מודיעינית. לפעמים קשה לקבל החלטה מתי מסכלים את הפעילות, שכן יש מתח בין הרצון לדעת מי עומד מאחוריה לבין החשש שהוא יאסוף מידע שעלול לסכן את המדינה".