אתה משתמש בגרסה ישנה יותר של הדפדפן. לחווית MSN הטובה ביותר, השתמש ב-גרסה נתמכת.

"אין לי 12 שנות לימוד, למדתי הכל מסבא שלי": כך נלחם עמרי שגב־מויאל באיראנים

סמל של TheMarker TheMarker 17/06/2021 אמיתי זיו
עמרי שגב־מויאל. "סבא קנה לי מחשב בניגוד לדעתו של אבא שלי" צילום: עופר וקנין © סופק על ידי TheMarker עמרי שגב־מויאל. "סבא קנה לי מחשב בניגוד לדעתו של אבא שלי" צילום: עופר וקנין

בתחילת דצמבר פרצו האקרים איראנים לרשת המחשוב של חברת הביטוח שירביט, וגנבו כמויות גדולות של מידע — כולל תלושי שכר של עובדים, תביעות שהגישו לקוחות ותעודות מזהות שלהם. בהמשך אותו חודש היתה זו חברת התוכנה עמיטל, שמספקת פתרון לחברות לוגיסטיקה, שנפלה קורבן לפריצה: התוקפים הצליחו להגיע לכל הלקוחות שלה, במה שמכונה בתחום הסייבר מתקפה על "שרשרת האספקה". 

התקשורת דיווחה בהרחבה על שני המקרים האלה, אבל עוד חברות ישראליות רבות נפלו קורבן למתקפת סייבר ב–18 החודשים האחרונים, ביניהן חברת המוליכים למחצה טאואר, חברת התוכנה ספיאנס, חברת השבבים הבאנה לאבס וחברת המימון ק.ל.ס קפיטל. לצדן נפגעו גם מוסדות אקדמיים ומתקני התפלה. למעשה, 18 החודשים האחרונים היו הסוערים ביותר שידע מרחב הסייבר הישראלי.

גל המתקפות הזה סיפק הרבה מאוד עבודה לחברות הסייבר, ובהן גם ל–Profero שהקימו עמרי שגב־מויאל וגיא ברנהרט־מגן. "ברגע זה, כשאנחנו מדברים, אנחנו מטפלים במקביל בשישה אירועים, חלקם קטנים וחלקם גדולים. אחד מהם אירוע כופר ואחד מהם הונאת מנכ"ל קלאסית במייל, שנגנבו בה 100 אלף דולר", אומר שגב־מויאל. 

שגב־מויאל מצביע על כמה דברים שקושרים את גל התקיפות לאיראנים. "כשניתחנו את הלוגים (יומן הפעילות במחשב; א"ז) של אחת המתקפות, ראינו שהם חיפשו מסמכים מסויימים בשרת, פרויקטי תשתית ופרויקטים צבאיים סודיים. בחלק מהמקרים ראינו שהפורץ פתח מסמך, חיכה שעתיים ואז סגר אותו. להערכתנו, בין לבין הם הביאו מישהו שקורא עברית". 

עוד ראיה לכך שהמתקפות לא היו למטרות כופר, לדברי שגב־מויאל, היא הרעש הגדול שהתוקפים עשו ופרסום דבר הפריצה ברבים. זה לא אופייני למתקפות כופר קלאסיות, שבהן לשני הצדדים, הסוחט והנסחט, יש אינטרס לסגור את האירוע בשקט. האיראנים, לעומת זאת, ניסו להביך את ישראל והשתמשו בשיטות שונות כדי להציף את האירוע. "היו מקרים שבהם כתבים ידעו על המתקפה עוד לפני שהחברה גילתה עליה", אומר שגב־מויאל. 

© סופק על ידי TheMarker

האיראנים תקפו באמצעות כמה קבוצות: בלאק שאדו, שמתמחה בגניבת מידע ופרסום שלו ברבים דרך ערוצי טלגרם שהקימה; Pay2Key שמתמחה בווירוס כופר; ו–Networm, שהיא ככל הנראה גלגול של Pay2Key. "אנחנו נמצאים במלחמה עם איראן, וכבר אי אפשר להגיד שהיא מלחמת צללים", אומר שגב־מויאל. "זאת מלחמה גלויה. היא כוללת גם התנקשויות בחייהם של אנשי מפתח, אבל רובה מתקיימת בזירת הסייבר".

"יש מנכ"לים שמאוד אכפת להם מתחום הסייבר, והם מתקשרים ומתייעצים, אבל הם המיעוט. בקורס דירקטורים לומדים הרבה דברים — פיננסים, משאבי אנוש ומשפט — אבל על סייבר התחילו ללמד רק לאחרונה"

ואנחנו מפסידים במלחמה הזאת?

"יש להם הצלחה גדולה, אבל לאו דווקא טכנית אלא שיווקית. מקובל להגיד שכל ילד יכול לייצר מתקפת סייבר ברמה גבוהה. זה לא נכון. צריך מדינה חזקה, עם רקע טכנולוגי, תשתית ויכולות ארגון צבאיות. חמאס, עם שלושה האקרים שעובדים מבור, לא יכולים להפיל את ישראל. האיראנים היו רוצים להשבית מדינה שלמה, והיו להם הצלחות מסוימות. האם הם שומרים יכולות מיוחדות ליום פקודה? יכול להיות".

באילו סדרי גודל מדובר? כמה התקפות איראניות היו עד היום?

"עד היום היו 32 מקרים פומביים תוך שנה וחצי. הכוונה להתקפות שפורסמו באתרים של קבוצת התקיפה או הגיעו לעיתונות. אני סופר את המתקפה על עמיטל כאירוע אחד, אף על פי שנפגעו בה כ–40 חברות". 

האקרים צילום: Kacper Pempel/רויטרס © סופק על ידי TheMarker האקרים צילום: Kacper Pempel/רויטרס

התוקף מוציא חשבונית לקורבן

פרופרו, ששגב־מויאל הקים עם גיא ברנהרט־מגן בתחילת 2020, היא מה שמכונה חברת IR (Incident Response), קצת כמו כיתת כוננות של סייבר. כשקוראים להם, המערכות כבר נפגעות ולעתים יש דרישת כופר. "אנחנו עושים את זה ורק את זה. אנחנו לא חברת ייעוץ ולא מוכרים מוצרים", מסביר שגב־מויאל. "כך אנחנו לא מוצאים את עצמנו בניגוד עניינים. התפקיד שלנו הוא לאפשר לחברה לצאת מהמשבר בצורה הטובה ביותר".

בשוק פועלות כיום לא מעט חברות סייבר, ביניהן Clearsky, OP Innovate וקונפידס. על פי הערכות, הן גובות בין 150 דולר ל–800 דולר לשעה לאדם עבור השירות שהן מעניקות לחברות שנפגעו. "באירוע גדול העלות היא מאות אלפי דולרים", אומר שגב־מויאל, "אבל זה עדיין כאין וכאפס ביחס לעלות של השבתת החברה והפגיעה במותג ובמוניטין שלה". 

אז אתה תמיד עם תיק מלא ציוד?

"תמיד, גם עכשיו בתיק שאיתי, אם כי ברוב האירועים אפשר לטפל מרחוק. לחברה אין משרד. אי אפשר לעבוד מרחוק אם זה לא אינהרנטי ביום־יום שלך. בחברה יש עובדים מניו זילנד, סינגפור, קולמביה ועוד. בכל רגע נתון יש שישה אנשים זמינים לאירוע. זה מהיר ויעיל יותר מלהטיס עובד, אבל יש מקרים קיצונים שבהם חייבים להגיע ללקוח". שגב־מויאל מעדיף לא לומר מה מספר העובדים המדויק בחברה, מסיבות תחרותיות, אבל לפי הערכות מדובר במעט מעל ל–20. 

רוב המתקפות מגיעות מאיראן?

"רוב המתקפות לא מגיעות מאיראן. מה שאנחנו שומעים עליו בתקשורת — מגיע ברובו מאיראן. מגפת הקורונה גרמה לעלייה משמעותית בפשיעת סייבר, כי אי אפשר היה לצאת לרחוב ולא היתה כמעט פשיעה פיזית. למה שאלך לפרוץ לחנות, אם אני יכול פשוט לשלוח למישהו מייל ולכתוב בו 'ראיתי אותך גולש באתר פורנו'? מדינות ציר הרשע של הסייבר — רוסיה, אוקראינה וצפון קוריאה — מעודדות את קבוצות התקיפה שפועלות משטחן. אפילו סין, שבעבר התעסקה רק בגניבת ידע, כבר עברה לפשיעה כלכלית. מבחינת המדינות האלה, זה תורם לכלכלה המקומית משום שהכסף מגיע לכיסם של יחידים וחברות במדינה, שאפילו משלמים עליו מס, ומאט את המערב". 

מטה שירביט באזור התעשייה בנתניה צילום: אבישג שאר-ישוב © סופק על ידי TheMarker מטה שירביט באזור התעשייה בנתניה צילום: אבישג שאר-ישוב
"במקרה של הפריצה למחשבי שירביט, לשם המשל, שיבוא השב"כ או כל גוף מדינתי אחר ויגיד: זה אירוע אנטי־ישראלי ואנחנו נסייע. אבל החברה עומדת מול זה לבד"

ואז הטיפול באירוע שונה?

"לגמרי. באחד המקרים שבו קבוצת Pay2Key תקפה, הלקוח כבר העביר תשלום ראשון לתוקפים, אבל אז ניתחנו את כתובת ארנק הביטקוין שהתוקפים נתנו לצורך העברת הכופר, הבנו שזה מגיע מאיראן ואמרנו לו לעצור — זה כסף שהולך למדינה זרה וייתכן שיועבר מימון פעילות עוינת".

וכשזה אירוע פשיעה?

"בודקים שהתקיפה אינה חלק מקמפיין של מדינה זרה, לא היתה פגיעה מהותית בעסקים ולא דלף מידע של לקוחות שמחייב דיווח — ואז לעתים קרובות החברה מחליטה לשלם, הכל בסדר ואיש לא יידע מזה. כריס קייל, שכתב את הספר 'צלף אמריקאי', אמר “Despite what your momma told ya, violence does solve problems”. אז בניגוד למה שאומרים לך, תשלום כופר פותר לפעמים את הבעיה. היו מקרים שבהם הלבנו את התוקף: החברה שילמה לו והוא הוציא חשבונית כאילו הוא נתן לה ייעוץ סייבר". 

מה הכופר הגבוה ביותר ששילמה חברה שעבדה אתכם?

"1.2 מיליון דולר, אבל בשוק היו מקרים שבהם שולם כופר הרבה יותר גבוה".  מקורות שונים טוענים שחברת טאואר הישראלית שילמה מעל ל–10 מיליון דולר במתקפת הכופר שספגה בשנה שעברה, בנוסף להשבתת פסי הייצור בתקופה העמוסה בשנה.

הפתרון: היגיינת סייבר

שגב־מויאל מעיד על עצמו שהוא עוף מוזר בענף הסייבר, והוא כנראה צודק. "אין לי 12 שנות לימוד, לא הייתי ביחידה טכנולוגית". הוא גדל בנשר. מי שהדביק אותו בחיידק המחשבים היה סבא שלו, פנסיונר של חברת המלט נשר, "שבגיל 70 החליט שמחשבים זה הדבר הבא", קנה מחשב והתחיל ללמוד תכנות. במקביל, הוא לימד את הנכדים. "הוא קנה לי מחשב בניגוד לדעתו של אבא שלי, שהיה מג"ד בצבא ולא הבין למה אני צריך את זה". 

כשהמחשב של שגב־מויאל חטף וירוס, הוא למד לתקן את הבעיה לבד — וכך התחיל הרומן ארוך השנים שלו עם הסייבר. "כבר בצבא הוצאתי אישור מיוחד והתחלתי לעבוד בתחום". אחרי הצבא הוא טס לטייל בניו זילנד. "בניו זילנד קל להתקבל ללימודים אחרי גיל 21, ובדיוק כשהייתי שם אירעה רעידת אדמה גדולה וכל הסטודנטים הזרים ביטלו. אז הלכתי ללמוד מחשבים ועוד קיבלתי מלגה. אבל לא סיימתי את התואר, זה נראה לי בזבוז זמן". 

בהמשך הקריירה, כמו הרבה אנשי סייבר, הקים שגב־מויאל חברת מוצר, סטארט־אפ בשם מינרווה לאבס שעדיין קיים. אחרי חמש שנים הוא חש שהצורך בשוק הוא אחר: "ב–2019 ישבתי עם גיא ברנהרט־מגן, שהיה אז באינטל, וחשבנו שזה בעייתי שלחברות אין טכנולוגיה או אנשים כדי לטפל באירועי סייבר. והחלטנו להקים חברה שכל כולה מוקדש לטיפול באירועים כאלה". 

לפני כמה ימים צייץ שגב־מויאל בטוויטר פרט מידע שהיה ידוע רק למי שהיה בסוד האירועים: בחלק משמעותי מהמתקפות בשנה וחצי האחרונות, בכמחציתן, נקודת הכניסה לארגון היתה חולשה מוכרת בהתקן של חברת Fortinet, הפופולרית בישראל ומשמשת גם כפיירוול זול יחסית וגם כ–VPN, אמצעי חיבור מרחוק לרשת הארגונית. "חולשה מוכרת בהתקני פורטינט היתה הגורם מספר אחת למתקפות בגיבוי איראן על ישראל ששמעתם עליהן", כתב. 

© סופק על ידי TheMarker

לא אירוני שהמכשירים שאמורים להגן עלינו הם בסוף פרצות האבטחה?

"זה נוראי. ההתקנים האלה, שרובם אגב מיוצרים על ידי שחקני ביניים ולא על ידי חברות מהשורה הראשונה, הם בעייתיים מאוד. הם נותנים תחושה של אבטחה, אבל קשים מאוד לתפעול עם רשימות חוקים מורכבות והרבה פגיעויות".

זה קצת אנכרוניסטי להשתמש בהתקן פיזי כשיש היום פתרונות מבוססי־ענן כמו Zscaler.

"לגמרי. להשתמש היום בהתקן VPN כזה זה כמו לרכוש כרכרה עם סוס. אנחנו ממליצים לארגונים על Zscaler, Cloudflare או כל פתרון ענן אחר". 

שגב־מויאל חושף למעשה שורה של כשלים: ראשית, עצם השימוש בפתרונות אנכרוניסטיים. שנית, וחמור יותר, שהחולשה שקיימת במוצרי פורטינט ושדרכה נכנסו ההאקרים האיראנים היתה מוכרת לעולם מ–2019 בערך. אם ארגונים היו מעדכנים את החומרה בעדכון הגרסה האחרון ומחליפים סיסמאות, הם לא היו נופלים ברשת. הם לא עשו את זה — והשאירו את הדלת פתוחה. "צריך להגיד בכנות שעדכון גרסה בפיירוול הוא לא עניין פשוט, כי בארגון קטן שיש בו רק התקן אחד המשמעות היא השבתה זמנית. לכן אני חושב שצריך לעבור לפתרון ענן, שהוא בהגדרה תמיד מעודכן לגרסה האחרונה".

דבר נוסף שהתגלה בגל התקיפות האיראני הוא שרוב מוצרי ההגנה, אלה שמוכרים ביותר לעוסקים בתחום, לא בהכרח ידעו לזהות את המתקפה ולעצור אותה. "תתפלא, אבל גם כמה מה–EDR (הדור האחרון של פתרונות הגנה על תחנות הקצה; א"ז) עם השמות הנוצצים לא התריעו על מתקפה". 

"לא נשאר להם את מי לתקוף"

אז מה כן? שגב־מויאל עונה במילה אחת: "היגיינה". הכוונה בביטוי "היגיינת סייבר" היא שורת פעולות סיזיפית, כמו הפרדת סביבות ורשתות, נוהל לקליטת עובד חדש וגריעת עובד, עדכוני סיסמאות תקופתיים, מדיניות הרשאות וגישה לפי סוג עובד ושעות, הגנה באימות משתמש כפול (למשל סיסמה והודעת SMS) לפני כניסה לשירותים רגישים, הצפנה של הנכסים הרגישים בארגון כמו ה–Active Directory, שהוא כלי הניהול המרכזי של מחשבי הארגון וכך הלאה. 

נשים איראניות נושאות שלטים של המנהיג העליון חמינאי וראש כוח קודס לשעבר קאסם סולימאני, לפני ארבעה חודשים. "היו רוצים להשבית מדינה שלמה" צילום: Wana News Agency/רויטרס © סופק על ידי TheMarker נשים איראניות נושאות שלטים של המנהיג העליון חמינאי וראש כוח קודס לשעבר קאסם סולימאני, לפני ארבעה חודשים. "היו רוצים להשבית מדינה שלמה" צילום: Wana News Agency/רויטרס
"מדינות ציר הרשע של הסייבר — רוסיה, אוקראינה וצפון קוריאה — מעודדות את קבוצות התקיפה שפועלות משטחן. אפילו סין כבר עברה לפשיעה כלכלית. מבחינתן, זה תורם לכלכלה המקומית ומאט את המערב"

"ברוב הארגונים הבינוניים עומדות מול מנהל מערכות המידע בחברה שתי אפשרויות", אומר שגב־מויאל. "הראשונה היא להפריד את הרשתות של הארגון, לעדכן את המערכות, לנהל סיסמאות ולהעביר יישומים לענן — כלומר הרבה עבודה שחורה, שהיא למעשה לתכנן את הרשת מחדש. אפשרות שנייה היא שיגיע לחברה איש מכירות מנוסה, שיציע מוצר סייבר מסוים ויבטיח שזה יפתור את הבעיות. 100 אלף שקל והוא 'סוגר סיפור'. זה מה שיבחרו רוב המנהלים. אבל האמת היא שזה לא עוצר הכל, בעיקר מול תוקף עקשן. באחד המקרים ראינו שהתוקף ניסה לחדור 16 פעמים דרך תוכנת הגישה מרחוק. בסוף הוא הצליח". 

מי מקבל את ההחלטה בסופו של דבר?

"יש מנכ"לים שמאוד אכפת להם מתחום הסייבר, והם מתקשרים אלינו ישירות ומתייעצים, אבל הם המיעוט. בקורס דירקטורים לומדים הרבה דברים — פיננסים, משאבי אנוש ומשפט — אבל על סייבר התחילו ללמד רק באחרונה". 

אז המנהלים אשמים?

"לא רק. תדמה את זה לעולם אמיתי. תאר לעצמך שקבוצה של חמושים איראנים נכנסים לגן העיר בתל אביב, שודדים חנות נעליים ומעלים סרטון של האירוע לטיקטוק. זה עניין לאומי. לכן הייתי רוצה לראות לקיחת אחריות לאומית על המקרים האלה. במקרה של הפריצה למחשבי שירביט, לשם המשל, שיבוא השב"כ או כל גוף מדינתי אחר ויגיד: זה אירוע אנטי־ישראלי ואנחנו נסייע. אבל החברה עומדת מול זה לבד. משרד האוצר האמריקאי הוציא באוקטובר 2020 מכתב שאסור לשלם כופר לקבוצת לזרוס, כי היא צפון־קוריאנית. זה מקל על חברות. למה לא ראינו דבר דומה לגבי קבוצות הכופר האיראניות? לדעתי, אם חברה נפגעת באירוע כזה, צריך לפצות אותה באמצעות מס רכוש". 

אבל בשביל זה קיים מערך הסייבר הלאומי. הם לא שיחקו תפקיד במתקפות על החברות הישראליות? 

"באירועים שבהם אנחנו היינו מעורבים, לפעמים הם עשו עבודה מצוינת ולפעמים קטסטרופלית. אבל השאלה שלי היא מה הייעוד של המערך. הוא גוף שנועד להגן על ישראל או שהוא שלוחה של השב"כ? קשה לדעת מה הם רוצים, הם רק שואבים מידע ולא משתפים מידע. הם גוף טכני? גוף מודיעיני? תמיד נדמה שיש מאחורה אינטרס לא ברור, שהוא לא בהכרח האינטרס של החברה המותקפת. לפעמים יש לי תחושה כאילו רוצים לשמר את הקונפליקט עם איראן על אש קטנה. למה המערך בכלל יושב תחת משרד ראש הממשלה ולא משרד האוצר, למשל?".

ממערך הסייבר הלאומי נמסר בתגובה: "באחרונה השיק המערך תוכנית לאומית חדשה, המשלבת בין יכולות המדינה ליכולות חברות IR פרטיות בטיפול בהתמודדות ובבלימת מתקפות. אנו מזמינים את כל מי שטרם הצטרף לקחת חלק בתוכנית, ליהנות משיתוף מידע מהיר ולהכיר מקרוב את הערך המוסף של המערך".

שגב־מויאל חושב שיהיה עוד יותר גרוע לפני שיהיה יותר טוב: "בשבועות האחרונים ראינו את התקיפה על צינור הנפט קולניאל בארה"ב, השבתה של מפעל הבשר של JBS ומתקפות על מוסדות בריאות. אני חושב שלהאקרים כבר לא כל כך נשאר את מי לתקוף, אז את הם הולכים הלאה למקומות קצה כמו מתקני ביטחון, מפעלים ובתי חולים. המדינות יתאפסו על עצמן, כמו שהן שיתפו פעולה ולמדו לעצור הלבנות הון. זה יקרה כשהן יבינו שהפריצות לצורך דרישת כופר פוגעות להן בפריון". 

תגובת חברת פורטינט: "הדברים שאומר עמרי שגב-מויאל אינם מבוססים על עובדות. יותר מחצי מיליון לקוחות ברחבי העולם בוטחים בפורטינט שתגן על הארגונים שלהם, כולל כמה מגופי הממשל והארגונים הגדולים ביותר. עידכנו כבר אז את הלקוחות ואנו ממשיכים להאיץ במי שלא הטמיע את התיקון להתקין את הפתרון עבורCVE-2018-13379 ,CVE-2019-5591 ו-CVE-2020-12812, ששניים מהם עודכנו כבר ב-2019. למידע נוסף ניתן לבקר בבלוג שלנו ולקרוא אודות הפתרון May 2019 advisory".

עוד מ-TheMarker

image beaconimage beaconimage beacon