לוחמת רשת

מתוך ויקיפדיה, האנציקלופדיה החופשית
(הופנה מהדף לוחמה קיברנטית)
קפיצה אל: ניווט, חיפוש

לוחמת רשת, לוחמה קיברנטית או לוחמת סייבר (לָחְמַת תִּקְשׁוּב או לָחְמָה מְתֻקְשֶׁבֶת)[1] היא פעולה מלחמתית התקפית הננקטת על ידי ארגון על מנת לחדור למרחב הקיברנטי של היעד במטרה לגנוב ממנו מידע, לרוב בעזרת שימוש ברוגלה ובסוס טרויאני, וכן במטרה לשבש את הפעילות במרחב הקיברנטי ולהסב לו נזק או למערכות אחרות המסתמכות עליו (כולל פגיעה בחומרה), לרוב באמצעות נוזקה.

לוחמת סייבר מכילה בהגדרתה את תחום הטרור הקיברנטי, ושכיחה ככלי לאיסוף מודיעין עבור גופי ביון, ארגוני טרור, חברות מודיעין עסקי וכדומה.

הגנת סייבר היא הגנה על נכסים במרחב הקיברנטי מפני זליגת מידע מתוך המרחב (אבטחת מידע) או מפני תקיפות סייבר המכוונות לגנוב מידע, לשבש אותו או לפגוע בו. הגנת סייבר כוללת לעתים איסוף מודיעין על יריבים פוטנציאליים, שימוש בכלי ניטור לפיקוח על הפעילות בנכס ואיתור חולשות ארגוניות, אבטחתיות וקבצים מזיקים. כמו כן, התחום כולל פעילות שתכליתה זיהוי מקור התקיפה וייעודה. חקירות מסוג יכולות להתבצע באמצעות פעילות אקטיבית ושימוש בכלים מחוץ למרחב עליו מגנים.

השפעה בסייבר היא שימוש במרחב האינטרנטי הציבורי להשפעה פסיכולוגית על התנהגותם של אנשים באמצעות התחזות (אווטאר), חשיפת נושא מסוים למודעות בחשיפה רחבה (תעמולה), גיוס כוח אדם, הטיית תגובות, שימוש בפרסומות, הנדסה חברתית ועוד.

השבועון הבריטי "אקונומיסט" הגדיר את הזירה הקיברנטית כ"זירת הלחימה החמישית הנוספת על ארבע הזירות המסורתיות (יבשה, ים, אוויר, חלל)". צבא ארצות הברית, לפי פרסומים רשמיים שלו, מייחס את תחום "לוחמת הסייבר" לאחד מחמישה תחומים שכולם יחד מהווים "לוחמת מידע" (Information Warfare). חמשת תחומים אלו כוללים: לוחמה פסיכולוגית, הונאה, לוחמה אלקטרונית, אבטחת מידע ולוחמת סייבר. הצבא האמריקאי[2] משתמש גם במונח מבצעי רשתות מחשבים (Computer Network Operations) ומחלק אותו לתקיפת רשתות מחשבים (Computer Network Attack), הגנה על רשתות מחשבים (Computer Network Defense) ומיצוי וניצול רשתות מיחשוב (Computer Network Exploitation).

שחקנים מרכזיים בתחום לוחמת סייבר[עריכת קוד מקור | עריכה]

ישנם מספר שחקנים מרכזיים המשפיעים על יכולות הביצוע של התקפה והגנה בסייבר:

  1. המרחב הקיברנטי - אוסף המחשבים, מערכות התקשורת ביניהם, המידע שעובר ביניהם ואגור בהם והאנשים המעורבים בתהליכים אלו. המרחב הקיברנטי אינו מוגבל גאוגרפית ונוח להפצת מידע וכלים. וזאת בניגוד למרחב הפיזי ששימוש באמצעי לחימה כמו פצצות או טילים מוגבלים בטווח למטרה ועצם הפעלתם גורמת להתכלותם. לדוגמה, פצצה שהוטלה והתפוצצה, לא תחזור לשימוש ואילו במרחב הסייבר, "סוס טרויאני" מוצלח, צפוי להתפשט ואף להפוך יעיל יותר. ניתן לחלק את המרחב הקיברנטי באופן גס למספר סוגי מרחבים:
    1. רשת האינטרנט שכוללת בתוכה אתרים, רשתות חברתיות, התכתבויות דוא"ל, "פורומים", "שיתופי קבצים", "מרכזי הנתונים" של החברות שנותנות "שירותי ענן".
    2. רשתות פנימיות-סגורות שלכאורה מנותקות או מופרדות מהאינטרנט. לרוב משמש תאגידים גדולים וגופים ממשלתיים. בעבר, הרשתות הסגורות ובפרט הרשתות הצבאיות, נשענו על מחשבים, ציוד תקשורת ומערכות הפעלה ייחודיים להם אך עם התפשטות תחום המחשוב באזרחות, ישנה מגמה לאותם ארגונים להשתמש במחשבים, ציוד תקשורת, מערכות הפעלה ופרוטוקולים אזרחיים ובעשותם כך, הם חושפים את עצמם לשיטות תקיפה שמתנהלות באזרחות.
    3. "הרשת האפלה" - רשתות שבהן יש מאמץ גדול להסתרת זהות המשתמשים והן משמשות בעיקר ארגוני פשע וטרור או פעילויות בלתי חוקיות בכלל, כמו למשל סחר בסמים ופדופיליה.
  2. יצרני ציוד מיחשוב ותקשורת - חברות העוסקות בפיתוח וייצור של תשתית המחשוב והתקשורת של המרחב הקיברנטי (גם בתווך הפיזי) משפיעות מאוד על יכולות ההתקפה וההגנה בסייבר. מדובר בחברות המייצרות מעבדי מחשבים ("אינטל" ו-"AMD"), מחשבים (דל ,HP ,IBM), ציוד בדיקה ("אפלייד מטיריאלס"), ציוד תקשורת ("סיסקו", ו"ג'וניפר"). כמו כן, מפעילי מרכזי דאטא ("IBM" ,"EMC", "אמאזון", "גוגל" ו"פייסבוק" חברות המספקות ציוד לרשתות סלולריות ("אריקסון", "Huawei", ZTE הסיניות, "נוקיה" . ממשל ארצות הברית הכריז כי שתי החברות הסיניות מהוות סיכון לביטחונה של ארצות הברית[3]. חברות המפעילות רשתות הסלולר ("ITT", "האצ'יסון". ובישראל "פלאפון", "סלקום" ו"פרטנר תקשורת") וספקיות מכשירי קצה("סמסונג", "אפל", "נוקיה"). זאת לצד מפתחי מערכות הפעלה (מיקרוסופט" ו"לינוקס, חברת "גוגל" ו-"אפל").
  3. ארגוני לוחמת סייבר - מדובר בתחום שהתפתח מאוד במאה ה-21 שמשמש ארגוני ביון שייעודם מודיעין מסכל, ריגול וסיכול בחו"ל. כמו כן משמש את במסגרת הצבאות המסורתיים. שני גופים מרכזיים בתחום זה הם ה-NSA האמריקאי וה-GCHQ הבריטי. בשני המקרים מדובר בארגוני מודיעין שהיו מופקדים על "איסוף מודיעין אותות". בתחום הסייבר התפתח גם עולם שלם של פשיעה מאורגנת, כלכלת כלי תקיפה ומודיעין והיווצרות מומחים מסוימים (האקרים וקראקרים). למעשה, מתקיים שוק מפותח של כלי סייבר וניתן לקנות באמצעות האינטרנט חולשות מחשב, כלי אקספלויט, סוסים טרויאנים, כלים לניתוח רשתות מחשב וכדומה. בשל כך, ישנן מדינות רבות שפיתחו יכולת הגנה והתקפה בסייבר בארגונים המשטרתיים (מול פשיעת סייבר).
  4. אבטחת סייבר - מדובר במחקר ופיתוח המתבצע לרוב במעבדות של חברות אנטי-וירוס העוסקות בזיהוי חולשות, זיהוי נוזקות, רוגלות ועוד. בנוסף, ישנם גורמי מחשוב המומחים לתחום אבטחת מידע שתפקידם לספק הגנה על הנכס מפני לוחמת רשת. בין היתר, תפקידם לבצע ניתוח הפעילות הרשתית וזיהוי חולשות של הארגון, ניטור ופיקוח התעבורה בארגון, חיפוש אנומליות, העלאת מודעות העובדים לסכנות ועוד. האדם הפרטי לרוב מבצע אבטחת מחשב אישי ברשת על ידי עדכון שוטף של מערכות ההפעלה, שימוש באנטיוירוסים, חומת אש והתקנת תוכנות חינמיות לניקוי קבצים מזיקים שכבר חדרו למערכת.

איום וחקיקה[עריכת קוד מקור | עריכה]

תחום "לוחמת הסייבר" עדיין לא מוסדר בהיבטי החקיקה באמנות בינלאומיות ולא ברוב מדינות העולם. מכיוון שתקיפת סייבר מתבצעת בדרך כלל בצורה אנונימית, ההגעה אל מחשבי היעד או רשתות המיחשוב שלו מתבצעת בדרך כלל דרך שרתים שנמצאים במדינה שלישית וקיים הקושי למדוד מהי חומרתה של כל תקיפה. לאור אלו, כלל לא ברור איזה חוק חל על איזה מהמשתתפים בתקיפה ולכן לוחמת הסייבר מהווה איום על היציבות האסטרטגית ועל הסדר העולמי.

הפרסום המקיף ביותר בתחום זה הוא Tallinn Manual, ספר המהווה את סיכום ההמלצות של מומחים ממדינות רבות בעולם. ספר זה התפרסם בחסות נאט"ו בשנת 2013. על פי "מדריך טאלין", מוצע כי החוקים הבינלאומיים לגבי "סכסוך מזוין", "תקיפה מזוינת", "הזכות להגנה עצמית" וכדומה יחולו רק כאשר התקיפה מכוונת לגרום פגיעה פיזית באנשים או נזק לרכוש. במשתמע, השימוש במרחב הסייבר לצורכי ריגול, גניבת מידע וכדומה - אינו כפוף לחוק הבינלאומי באשר ל"סכסוך מזוין" ומכיוון שכך, יש למדינות כר נרחב לפעולה, גם מבלי להפר את החוק הבינלאומי. מתקפת ההאקרים על סרטי סוני שהתנהלה במהלך נובמבר 2014 העלתה את הדיון בנושא למודעות ציבורית רחבה והתפתחות תקיפה זו, בסבירות גבוהה, תיצור סוג של תקדים משפטי (או נוהג) בהקשר לתקיפות המכוונות לגרימת נזק כלכלי או לסחיטה פוליטית.

דרכים שהוצעו להתמודדות:

  • הקמת יכולת סימולציה של מערכות המדינה באופן שיאפשר להתכונן, לתרגל ולהבין בזמן אמת - מה משמעותה של כל תקיפת סייבר והאם היא כן או לא מצדיקה מענה באמצעות הפעלת כוח צבאי מסורתי.
  • הקמת בריתות לשיתוף מידע בין מדינות וחקיקה שתאלץ את ספקיות האינטרנט לחשוף את זהותם של התוקפים על ידי הכנסת כלים ייעודיים שמטרתם לאפשר לעקוב אחרי אירועים של לוחמת סייבר.

מוצע כי שילוב גישות אלו יאפשר "לבסס מחדש" את "עקומת האמינות" של המדינות שבלעדיה לא ניתן לקיים "מאזן אמין" של תגמולים/ תמריצים/ איומים המאפשר לשמור על היציבות העולמית. רבים החוקרים הטוענים כי העשור הנוכחי הוא העשור המסוכן בראייה זו ו"לוחמת סייבר" עלולה להביא להסלמה לא מבוקרת - או כי חומרתה תפורש באופן לא נכון, או כי התוקף ירגיש שהוא חסין מתגובה[4].

שלבי ביצוע התקיפה[דרוש מקור][עריכת קוד מקור | עריכה]

בדומה לניהול קרב מסורתי, תקיפת סייבר בדרך כלל מתחילה באיסוף מל"מ על היריב. שלב זה יכול, לדוגמה, לכלול התקפות דיוג על ממלאי תפקיד של היריב כדי להשיג באמצעותן סיסמאות וכתובות דוא"ל.

לאחר האיסוף הראשוני, בדרך כלל תבוצע התפשטות "לרוחב רשת היעד" ואיסוף פרטים כמו מהם המחשבים המרכיבים את הרשת, מה הכתובות שלהם, איזה מערכות הפעלה הם מריצים, מה ציוד התקשורת וכיוצא בזה. לאחר מכן, התוקף בדרך כלל ישתול במערכת היעד קוד המהווה "ראש גשר" להמשך התקיפה.

בשלב זה התוקף ינסה להבין אלו מערכות "אנטי-וירוס" יש ברשת היעד, מה ציוד האבטחה המשולב במערכת וכדומה. לאחר מכן, התוקף ישתול את "כלי הסייבר" תוך שהוא מפעיל אמצעי הסתרה לפי הצורך. השלב שבו הכלי מוחדר בתוך מערכת היעד ומדווח לאחור בערוץ "פיקוד ושליטה" יכול להימשך במשך מספר שנים. לבסוף, סביר שהתוקף ידאג להשמדת הכלי ולמחיקת עקבות.

שיטות תקיפה נפוצות[עריכת קוד מקור | עריכה]

מול כל אחת משכבות הרשת ("מודל השכבות") יש מגוון גדול של טכניקות תקיפה. שיטות תקיפה נפוצות:

  • זיוף כתובת MAC - בשכבת הקישוריות, Data Link, מיעון המסרים מתבצע על בסיס כתובת MAC. כתובת זו מוטמעת על גבי כרטיס הרשת או המודם כבר בשלב הייצור. טכניקות תקיפה של שכבה זו כוללות "זיוף כתובת MAC". ניתן להפעיל טכניקה זו גם נגד מחשבים פיזיים ובפרט, נגד "מכונות וירטואליות".
  • זיוף כתובת IP (אנ') - ניתוב תעבורת הרשת באינטרנט ובמספר גדול של רשתות אחרות, מתבצע לפי כתובת לוגית שנקראת IP. כתובת זו אינה מוטמעת בציוד בשלב הייצור, אלא כתובת לוגית שניתן לשנותה. אחת מטכניקות התקיפה כוללת את זיופה.
  • התקפת אדם באמצע - בשכבת הרשת, התוקף מנתב את תעבורת הרשת כך שהיא תעבור "דרכו" מבלי שאף אחד משני הצדדים מבחין בכך (השולח מצד אחד והמקבל מצד שני). מימוש התקפת אדם באמצע מפורסם ונפוץ הוא על ידי ביצוע מניפולצייה על פרוטוקול Hypertext Transfer Protocol. להתמודדות מולה פותח מנגנון שנעזר ב"חתימה" של צד שלישי אמין תוך שימו בהצפנה - HTTP Secure.
  • התקפת XSS - מאפשרת הזרקת קוד זדוני אל אתרי אינטרנט באמצעות הכנסת נתוני משתמש בעת הגלישה. שיטה זו משתמשת באמצעי פיתוי על מנת שהיעד יגלוש באתר מסוים.
  • התקפת מניעת שירות - שיטת התקפה מאוד נפוצה שבה שולחים אל האתר שמארח את מתן השירות מספר של הודעות תוך זמן קצר ויוצרים עומס. כך גורמים לו להאט את הקצב שבו הוא יכול לתת מענה למשתמשים או אפילו מביאים לקריסתו.

התמודדות עם לוחמה קיברנטית בעולם[עריכת קוד מקור | עריכה]

ככלל קיימות מספר מדינות הידועות כבעלות יכולות סייבר גבוהות, ביניהן ארצות הברית, סין, ישראל ואף איראן.

  • ארצות הברית
    • גורמים רשמיים רבים בארצות הברית הכירו בחשיבות הלוחמה הקיברנטית ואף נערכו בהתאם.
    • ביוני 2009 הצהיר סגן שר ההגנה האמריקני ויליאם לין כי "הפנטגון הכיר זה מכבר בזירת לוחמה זו כחלק אינטרגלי מתורת הלחימה החיונית למבצע צבאי בדיוק כמו ים, אוויר יבשה וחלל". כפועל יוצא הקים הפנטגון במאי 2010 "מפקדת לוחמה קיברנטית" הכפופה לסוכנות לביטחון לאומי ותפקידה הגנה על רשתות המחשבים הצבאיות האמריקניות.
    • אנשי מקצוע בארצות הברית טוענים כי העיסוק הממשלתי בלוחמה קיברנטית אינו מספיק. לדוגמה, מומחה ממשלתי לאבטחת מידע, ג'יימס גוסלר, הזהיר ביולי 2010 כי קיים מחסור חמור במאבטחי מחשבים. להערכתו, ישנם כ1,000 אמריקנים המתמחים בתחום בעוד ישנו צורך בעוד 20,000-30,000. חודש אחר כך, קרא סגן ראש המודיעין האמריקני בדימוס, מייקל היידן, לאלפי משתתפי כנס אבטחת המידע (כנס "Black Hat") להענות לאתגר של עיצוב האינטרנט מחדש כמרחב בטוח יותר. הוא אף האשים את אנשי המחשבים כי עזרו לפתח את האינטרנט כ"אזור נחות מבחינה הגנתית" (בלשונו: שפלת צפון גרמניה).
  • בריטניה
    • בריטניה הקימה "חדר מצב" לאבטחה מידע, באחריותו של "מרכז התקשורת הממשלתית". תחום הסמכויות שלו נרחב, והוא אחראי גם על הגנת התשתית האזרחית והצבאית.
  • איראן
    • נכנסה למאמץ לאומי רחב היקף להקמת יכולת תקיפה גלובלית, כתוצאה מהנזק שנגרם מנוזקת ה"סטאקסנט" ואירועים נוספעם בהם היא נתקפה. לפי דו"ח מחקר שפורסם בהקשר לאיראן[5].
  • קוריאה הצפונית
    • במדינה מקיימת פעילות סייבר התקפי רחבת היקף ותוקפת את קוריאה הדרומית באופן תדיר. לאחר תקיפת חברת "סוני סרטים" בסוף 2014, הועלתה ההשערה כי קוריאה הדרומית מהווה "שדה ניסוי" לצפון קוריאנים ולאחר שהם הוכיחו לעצמם יכולת, הם תוקפים את ארצות הברית. יחידה 121 נחשבת ליחידת התקיפה המרכזית. דו"ח על יכולותיה של צפון קוריאה בתחום הסייבר, פורסם על ידי חברת HP[6]
  • סין
    • יחידה 61398 בצבא סין, היא מהכוחות המרכזיים המובילים את תחום לוחמת הסייבר במדינה. מתקפות סייבר רבות על חברות בארצות הברית ובקנדה בוצעו ביחידה, ובין הנפגעות היו החברות קוקה קולה, לוקהיד מרטין, RSA ורבות אחרות. היחידה מתמקדת במודיעין פוליטי, כלכלי וצבאי[7].
    • השבועון אקונומיסט[8] מעריך כי "סין מנסה לנצח בלוחמה זו עד אמצע המאה הנוכחית". על פי הערכות שונות אגף לוחמת הסייבר בסין כולל כ-300 אלף מומחים הלומדים כל מערכת מיחשוב קיימת לעומקה כדי למנוע תקיפה מכיוונים שונים[9].
  • ישראל
    • ב-2002 הוקמה הרשות הממלכתית לאבטחת מידע (רא"ם) והוכפפה לשב"כ[10]. הרשות מוסמכת להנחות גופים בעלי מערכות מידע קריטיות. רשימת הגופים מופיעה בתוספת הרביעית לחוק להסדרת הביטחון בגופים ציבוריים והיא מתעדכנת מעת לעת. הרשימה כוללת, בין השאר, את משרד ראש הממשלה, משרד האוצר, משרד הפנים, בנק ישראל, חברת החשמל, בזק, חברת קצא"א, מגן דוד אדום, מקורות ותשתיות נפט ואנרגיה.
    • המטה הכללי של צבא הגנה לישראל הקים בשנת 2003 את אגף התקשוב. בראיון שהעניק בראשית שנת 2011 מפקד האגף דאז, האלוף עמי שפרן, הוא מתאר את מטרות האגף ודרכי פעולתו. לדידו, מטרת האגף היא מתן מענה לזירת הקרב הקיברנטית. הוא מעריך כי "צה"ל הוא המטרה מספר אחת של כל גופי הטרור בעולם" ומציין כי צה"ל "נערך בימים אלו למלחמה במערכת הסייבר". הוא מסמן כמטרה לשנות העבודה הקרובות, בין היתר, את השגת היעדים הבאים: יצירת אחידות במערכות המחשוב הצבאיות, הסתמכות על מערכות צבאיות ללא תמיכה אזרחית, יצירת רשת מידע משותפת לכל שירותי החירום בישראל, ועוד[11][12].
    • באוגוסט 2011 אישרה ממשלת ישראל את הקמתו של מטה הסייבר הלאומי, אשר יוביל את פיתוח התחום הקיברנטי בארץ, יתאם בין הגורמים השונים העוסקים בתחום, ירחיב את ההגנה על תשתיות לאומיות מפני התקפות קיברנטיות ויעודד את קידום הנושא בתחום התעשייתי. ביולי 2012 פורסם כי אוניברסיטת בן-גוריון בבאר שבע תפתח בשנת הלימודים הבאה מסלולי לימוד לתואר ראשון ושני בתחום הסייבר, במסגרת המחלקה להנדסת מערכות מידע, במסגרת יוזמה משותפת עם משרד הביטחון ומטה הסייבר הלאומי, שנוצרה בעקבות הצורך הגובר בישראל במומחים בתחום זה. לימודי התואר השני יכללו שיטות לזיהוי תקיפות, הגנה מפני וירוסים, שיטות למידת מכונה, אבטחת מערכות הפעלה, אבטחת רשתות תקשורת וכדומה[13].
    • בעשור השני של המאה ה-21 השיק צה"ל חמ"ל סייבר המאויש 24 שעות ביממה ומגן על תשתיות המחשוב של צה"ל. כמו כן פתח צה"ל קורס מגיני סייבר המכשיר חיילים להגנת מערכות המחשוב והמידע של צה"ל מפני התקפות ממוחשבות[14].
    • המכון למחקרי ביטחון לאומי מקיים תוכנית לוחמת סייבר, בראשות הד"ר גבריאל סיבוני. תוכנית המחקר ללוחמת סייבר עוסקת במספר תחומים ובהם: המשגה של הנושאים השונים בהקשר לביטחון הלאומי, פיתוח ובחינה של מדיניות לאומית בתחום ואיתור קווים מנחים לתורת לחימה חדשה במרחב הסייבר ברמה הלאומית והבין ארגונית במדינת ישראל. המחקר נועד לתרום לדיון הציבורי המושכל בנושא הביטחון הקיברנטי, ולקדם מדיניות ציבורית ברמה הלאומית. תוכנית המחקר נעשית בשיתוף בית הספר למדעי המחשב באוניברסיטת תל אביב.
    • עם כניסתו של גדי אזיינקוט לתפקיד הרמטכ"ל הכריז על הקמת זרוע חדשה - זרוע הסייבר שצפויה לעסוק בהגנה והתקפה בסייבר שנוהלו עד כה באמ"ן ובאגף תקשוב.

אירועי תקיפה מפורסמים[עריכת קוד מקור | עריכה]

ב-2006, חברת מקאפי פרסמה מחקר בנוגע למבצע שנקרא "Shady RAT". המבצע לדבריהם, כלל תקיפה של 72 ארגונים כולל מוסדות ממשלתיים. רוב החוקרים מאמינים כי התוקפים היו "תוקפים מדינתיים" מסין[15].

ב-2007 דווח על מבצע רחב היקף שבו "תוקפים מדינתיים" מסין תקפו את חברת "לוקהיד מרטין", לאחר שהגיעו לרשתות סגורות אליהן לא הצליחו להיכנס, תקפו את RSA כדי להשיג גישה לסיסמאות ואז חזרו ותקפו את "לוקהיד-מרטין" והפעם, הצליחו לגנוב כמויות גדולות של מידע הנדסי בנוגע למטוס F-35.

ב-2007, בסכסוך בין רוסיה לאסטוניה, סכסוך שככל הנראה נסב בעיקר על העתקת אנדרטה לחיילים רוסיים ממלחמת העולם השנייה, שיתקו הרוסים במשך ימים רבים את רוב המערכות הממוחשבות באסטוניה ובכלל זה את מערכת הבנקאות. תחקיר מפורט יחסית של אירוע זה, כולל שיוכו לרוסיה הופיע במסגרת דו"ח סודי של השגריר האמריקאי שהודלף לקהל הרחב על ידי "וויקיליקס" [1].

ב-2008, במסגרת ההכנות למלחמה בגיאורגיה בפעם הראשונה לוחמת סייבר שולבה במאמץ מלחמתי כולל על ידי מדינה וכנגד מדינה (רוסיה כנגד גיאורגיה).

החל מ-2009 ובמשך שנתיים, התנהל מבצע רחב היקף לגניבת מידע, בעיקר מחברות הייטק. בין השאר, החברות גוגל, אדובי, ג'וניפר ו"רקספייס" הודו שהן נתקפו. לפי דיווחים עיתונאיים, גם יאהו, סימנטק, "נורת'רופ גראמן", "מורגן סטנלי" ו"דאו כימיקלים" נתקפו. מבצע זה נקרא מבצע אורורה (Aurora) והוא מיוחס לסין. התקיפה הייתה מתקפת אפס ימים שניצלה חולשת "יום האפס" באינטרנט-אקספלורר וחולשות נוספות בכלי הפיתוח הפנימיים של גוגל.

Siemens S7-300 - מערכת הבקרה של הצנטריפוגות שעמדה במוקד המתקפה של סטוקסנט

בשנת 2010 התגלתה מתקפת סייבר מתוחכמת במיוחד שנקראה סטוקסנט. ככל הידוע, זו הפעם הראשונה שבה נחשף מהלך מדינתי רחב היקף שתכליתו לפגוע בעולם הפיזי של תשתיות קריטיות במדינת יעד ובמקרה הזה, בצנטריפוגות להעשרת אוראניום של איראן. הערכה היא כי הנוזקה הייתה כבר הייתה פעילה משנת 2007. בספטמבר 2011 התגלתה נוזקה בעלת מאפיינים דומים שכונתה דוקו.

במהלך 2013, מעבדות קספרסקי פרסמו מחקר מקיף על נוזקה שנקראת Icefog והיא, ככל הנראה, מיועדת לתקיפת שרשראות האספקה של מערכות יעד. הנוזקה ככל הנראה נכתבה על ידי "תוקפים מדינתיים" בסין והיא הופנתה בעיקר נגד מטרות וארגונים בקוריאה הדרומית וביפן. לטענת חלק מהחוקרים ניתן לשכור את תקיפת שרשראות האספקה של יעד כשירות באינטרנט[16]. בתחילת 2014, מעבדות קספרסקי חשפו מבצע שהתנהל, ככל הנראה, במשך כשבע שנים ומטרתו הייתה לגנוב תוצאות של סקרים גאולוגיים לחיפוש נפט, כמו גם נושאים נוספים. שם הקוד שניתן למבצע היה The Mask ולפי חוקרי קספרסקי, התוקפים היו ככל הנראה "תוקפים מדינתיים" ממדינה דוברת ספרדית[17].

בשנת 2014, דו"ח סנאט ייחס לסין פעולות חדירה לחברות שייט בינלאומיות ולאוניות, מתוך כוונה להטמין נוזקות, שיוכלו בעתיד לשבש מהלכים צבאיים אמריקאיים לריכוז כוחות באמצעות שינוע של טנקים על גבי אוניות אזרחיות המגויסות לצורך זה[18].

בתחילת 2014, מעבדות "סנטינל" חשפו גם מבצע מתוחכם במיוחד שנקרא Gyges. מבצע זה כלל מנגנונים ייעודיים לעקיפת הגנות "ארגז חול", הקלטות תעבורת רשת, הקלטות הקלדה כמנגנון להתגברות על הצפנות, צילומי מסך, גניבת זהות, גניבת כתובות IP, יכולת החדרת ("סוסים טרוינים", יכולת יצירת "בוטנט" ו"זומביז", יכולת הסתתרות עם מנגנוני Rootkit. המבצע כלל גם יכולת יצירת קוד "פולימורפי" והוא מיועד, בין השאר למערכות הפעלה "ווינדוס" 7 וווינדוס 8, כולל בגרסאות 64 ביט. מערכות הפעלה חדשות שנחשבות קשות יחסית לפיצוח. התחכום הרב הביא את חוקרי "סנטינל" למסקנה שמדובר במבצע שנשען על קוד שפותח על ידי ממשלה, ככל הנראה, ברוסיה והוא והגיע לידי פושעי סייבר[19].

במאי 2014, ארצות הברית הגישה תביעה משפטית נגד קציני צבא סיניים בגין התקפות סייבר לטובת גניבת מידע מישויות אמריקאיות. הגשת כתב אישום פלילי נגד אזרחים של מדינה זרה, קצינים בשירות פעיל, שנמצאים במדינה זרה ולא פלשו לטריטוריה של מגיש התביעה היא צעד תקדימי[20].

בנובמבר 2014 מעבדות קספרסקי וסימנטק פרסמו את ממצאיהן לגבי נוזקת "רגין". ההשערה היא שנוזקה זו פעילה מאז 2003 וייעודה העיקרי הוא חדירה לרשתות סלולר מדינתיות ובכך לאפשר למפעיל התקיפה ליירט את תעבורת הרשת בארץ היעד.

ב-10 בדצמבר 2014, מעבדות קספרסקי פרסמו זיהוי של מבצע אותו הם כינו Cloud Atlas. לפי חוקרי קספרסקי מבצע זה מבוצע על ידי אותה קבוצה שניהלה את מבצע Redoctober. בשני המקרים, הדיוג הראשוני נשען על מודעות המציעות למכירה רכב דיפלומטי. הערכת החוקרים היא כי מבצע זה מתופעל על ידי "תוקפים מדינתיים" דוברי רוסית[21]. ניתוח של התקיפה, כולל פרוט מרכיבי קוד ששוכפלו ממבצעים קודמים, מופיע בפרסום מחקר של חברת Cyactive הישראלית[22].

בנובמבר 2014, התנהלה מתקפת ההאקרים על סרטי סוני. מבצע זה כלל גניבה מסיבית של פרטי לקוחות, גניבה רחבת היקף של סרטים שטרם הופצו לקהל הרחב, גניבה רחבת היקף של דוא"לים פנימיים ושימוש בנוזקות שמוחקות דיסקים פיזית[23]. חלק מהחוקרים מאמינים כי תקיפה זו מתבצעת על ידי "תוקפים מדינתיים" מקוריאה הצפונית, שמטרתם לפגוע בחברת סוני מכיוון שהיה בכוונתה לפרסם סרט שבראיית המשטר בצפון קוריאה, הוא פוגעני כלפיהם[24][25].

בפברואר 2015, מעבדות קספרסקי חשפו קבוצת האקרים שכונתה Equation. לפי הפרסום, הקבוצה פועלת כבר לפחות 14 שנים, היא פיתחה לפחות 500 נוזקות ופעלה כנגד לפחות 42 מדינות[26]. קבוצה זו מתאפיינת בתחכום רב ובשימוש בהצפנות חזקות וחוקרים רבים חושבים שמדובר בקבוצה השייכת ל NSA האמריקאי[27].

במהלך אפריל 2015, התפרסם לראשונה מחקר מסודר המתעד מצב שבו מדינה שנתקפה בסייבר - הגיבה בהתקפת סייבר משלה כנגד אלו שתקפו אותה. גם הפעם מי שפרסם את המחקר היו מעבדות קספרסקי. המחקר כולל סרטון קצר המסביר את השתלשלות העניינים, צילומי מסך של הנתקפים וניתוחי קוד[28].

במהלך מאי 2015, המגזין המקוון Wired פרסם צו החרמת ציוד מחשבים של ה-FBI כנגד אדם בשם כריס רוברטס. אותו כריס, מי שהיה מומחה אבטחה של אחת מחברות התעופה ופוטר, טוען שבמשך כחמש שנים, מ-2011 ועד 2014, הוא הצליח להתחבר לרשתות המיחשוב של מטוסי נוסעים, באוויר, בהיותו ישוב בתא הנוסעים ודרך חיבור זה - לגרום לאווירון לתופעות לא מתוכננות שונות ובכלל זה, האצה של מנוע. הדעות חלוקות לגבי השאלה האם אמנם הוא ביצע את מה שהוא אמר או שמדובר בהונאה. התצהיר שהוגש מופיע באותה כתבה ב-Wired[29]. גם בעברית פורסמו מספר כתבות בנושא[30]

במהלך ספטמבר 2015, לפי סיכום שנתי של מעבדות קספרסקי (שפורסם בדצמבר 2015) בוצעה התקפת DDOS על מחשבי חברות תעופה בשדה התעופה בוורשה. ההתקפה שיבשה את מערך המחשבים וגרמה לדחייה של עשרות טיסות ולעיכוב של מאות ואולי אלפי בני אדם[31].

במאמר של המגזין "בלומברג" מאוקטובר 2015, מתוארת תקיפה מסוף 2014 על תנור להתכת פלדה של קונצרן ThyssenKrupp בגרמניה באופן שגרם לו לנזק בלתי הפיך. "בלומברג" מייחסים את ההתקפה על תנור ההיתוך הגרמני לקבוצה מרוסיה[32].

עובד קבלן של ה-NSA האמריקאית בשם אדוארד סנודן החל להדליף בצורה שיטתית, פרטים על כלים ושיטת פעולה של הסוכנות ובכלל זה עבודה בשיתוף פעולה עם חלק מהחברות העולמיות בתחום האינטרנט (כולל גוגל, אפל ורבות נוספות), תקיפות סייבר לאיסוף מידע על ממשלות ותאגידים בכל העולם, כולל על מדינות ידידותיות לארצות הברית כמו גרמניה וישראל, קיומן של יחידות טכנולוגיות ממגוון סוגים וקיומה של יחידה שמתמחה ביצירת דרכי גישה לרשתות ומחשבים בשם Tailored Access Operations[33][34][דרוש מקור].

בינואר 2016 פורסם, כי במהלך דצמבר 2015 שלושה ספקי חשמל (ביניהם חברת Prykarpattyaoblenergo) באוקראינה נפגעו ושותקה פעילותם בעקבות התקפת רשת שגרמה לניתוק החשמל של מאות אלפי בתים. פעילות זו יוחסה לרוסיה[35].

ראו גם[עריכת קוד מקור | עריכה]

לקריאה נוספת[עריכת קוד מקור | עריכה]

  • The Nato Cooperative Cyber Defense Center of Excellence: Taliinn Manual on the International Law Applicable to CYBER WARFARE
  • Edited by Franklin D. Kramer, Stuart H. Starr and Larry K. Wentz; Cyberpower and National Security, National Defense University
  • Jeffry Carr; Inside Cyber Warfare; Oreilly
  • Northrop Grumman, Occupying the Information High Ground, Chinese Capabilities for Computer Network Operations and Cyber Espionage, March 7, 2012

קישורים חיצוניים[עריכת קוד מקור | עריכה]

הערות שוליים[עריכת קוד מקור | עריכה]

  1. ^ על פי המלצת האקדמיה ללשון העברית עד דיון רשמי בנושא
  2. ^ תורת הלחימה של "לוחמת מידע", המטות המשולבים של ארצות הברית מנובמבר 2012, כולל עדכונים מנובמבר 2014
  3. ^ דו"ח הקונגרס לגבי החברות HUAWEI ו ZTE מאוקטובר 2012
  4. ^ מאמר של Guy-Philippe Goldstein המנתח את הנושא ומציע כי סימולציות והסכמי שיתוף מידע יכולים למתן את הסכנה שבהסלמה לא מבוקרת על רקע תקיפת סייבר
  5. ^ דו"ח מפורט על יכולותיה של איראן, כולל נספחים טכניים, מאת Cylance
  6. ^ דו"ח מפורט על יכולותיה של צפון קוריאה, כולל נספחים טכניים, מאת חברת HP
  7. ^ דייוויד סנגר, דייוויד ברבוזה וניקול פרלרות, ניו יורק טיימס, נחשפה היחידה בצבא סין האחראית למתקפות הסייבר על ארה"ב, באתר הארץ, 19 בפברואר 2013
  8. ^ The threat from the internet: Cyberwar, The Economist, July 1st 2010
  9. ^ אביב מזרחי, וירוס על: האם גם המחשבים שלנו בלהבות?, באתר ynet, 29 במאי 2012
  10. ^ גל מור ישראל תתגונן מפני התקפות מהאינטרנט, באתר ynet‏, 12.12.2005
  11. ^ מאיר אורבך, "במלחמת הסייבר, צה"ל הוא המטרה מספר אחת של כל גופי הטרור", באתר כלכליסט, 12 בינואר 2011
  12. ^ אמיר אורןזירת הלחימה החדשה של צה"ל נמצאת ברשתות מחשבים, באתר הארץ, 1 בינואר 2010
  13. ^ עמרי מניב, בקרוב באוניברסיטה: תואר בלוחמת סייבר, באתר nrg‏, 24 ביולי 2012
  14. ^ כתבות דובר צה"ל בנושא סייבר, אתר דובר צה"ל.
  15. ^ דו"ח חברת מקאפי לגבי מבצע Shady RAT
  16. ^ שאלות ותשובות בנוגע ל-ICEFOG, באתר Securelist
  17. ^ דו"ח של מעבדות קספרסקי לגבי מבצע The Mask
  18. ^ דו"ח של וועדת הסנאט לכוחות המזוינים בנוגע לחדירות סייבר לקבלנים של הפיקוד לשינוע, שנת 2014
  19. ^ דו"ח של מעבדות סנטינל לגבי מבצע Gyges
  20. ^ דו"ח של CNBC לגבי הגשת התביעה נגד הקצינים הסינים
  21. ^ פרסום מעבדות קספרסקי לגבי מבצע Cloud Atlas
  22. ^ מחקר של חברת Cyactive הישראלית לגבי מבצע Cloud Atlas
  23. ^ מחקר של חברת Cyactive הישראלית לגבי מבצע התקיפה על חברת סוני סרטים מה 11.12.2014
  24. ^ כתבה ב TIME לגבי משמעויות התקיפה על "סרטי סוני"
  25. ^ פרסום CNBC לגבי חלופות הנשקלות על ידי הממשל האמריקאי, כתגובה לתקיפה על חברת "סרטי סוני"
  26. ^ כתבה הסוקרת את ממצאי קספרסקי, כולל איורים רבים
  27. ^ בפורבס, כולל עיסוק בשאלת השיוך של קבוצת Equation לארצות הברית
  28. ^ פרסום מעבדות קספרסקי לגבי האירוע שבו גוף ממשלתי שנתקף, הגיב בתקיפת סייבר על מי שתקף אותו, במזרח אסיה
  29. ^ תצהיר FBI בהקשר לבקשת החרמת ציוד מיחשוב של כריס רוברטס
  30. ^ כתבה באתר Nrg בנוגע לצו ההחרמה של ה FBI ומידת ההעירכות של התעופה האזרחית לאיומי סייבר
  31. ^ סיכום אירועים שנתי של חברת קספרסקי מתחילת דצמבר 2015
  32. ^ פרסום של מגזין בלומברג בנוגע לתקיפות סייבר של הרוסים, כולל תקיפת תנור להתכת פלדה בגרמניה
  33. ^ ופירוט לגבי היחידה ל"תפירת דרכי גישה"
  34. ^ הרצאה של מנהל הארגון, סוף ינואר 2016, בנוגע להמלצות כיצד להגן על רשתות אל מול התקפת סייבר מדינתית
  35. ^ "חברות אוקראניות נפגעו לראשונה תועדה התקפת סייבר שגרמה להפסקת חשמל נרחבת", הארץ