חשיפת כלכליסט
מתקפת ענק על שרשרת האספקה של מדינת ישראל
פריצה למחשבי חברת התוכנה עמיטל הובילה למתקפת סייבר על כ־40 חברות ישראליות בתחומי הלוגיסטיקה והיבוא. לא ידוע על דרישת כופר, ולכן החשד הוא שזו התקפה אסטרטגית על המדינה
מתקפת סייבר חמורה התרחשה בסוף השבוע שעבר על עשרות חברות העוסקות בשילוח וייבוא בישראל. התוקפים הצליחו לפרוץ לשרתים של עשרות חברות ולחדור לשרשרת האספקה של ישראל. החברות שהותקפו הן חברות ענק בתחום הלוגיסטיקה ושיבוש פעילותן עלול להביא לפגיעה באספקת מוצרים חיוניים. המידע שנגנב עלול גם להיות בעל ערך אסטרטגי למדינות אויב. ככל הידוע עד כה, למרות הפריצה המוצלחת, לא בוצעה דרישת כופר. לפיכך עולה החשד שמדובר במתקפה אסטרטגית לצורך השגת מידע על מדינת ישראל ולא בתקיפה שנועדה למיקוח כלכלי.
- שירביט פישלה? כך מתמודדים עם מתקפת סייבר עסקית
- פייזר וביונטק: "הסוכנות האירופית לתרופות היתה יעד למתקפת סייבר, אנחנו לא נפגענו"
- מהם איומי הסייבר המרכזיים המאיימים על תעשיית התרופות?
מרבית התקיפה בוצעה דרך חברת עמיטל, המפתחת תוכנות לחברות לוגיסטיקה ושילוח. הפורצים חדרו למחשבים של עמיטל, גנבו את רשימת הלקוחות שלה וכן את פרטי ההתחברות ללקוחות, ומשם המשיכו לביצוע פריצה ללקוחות עצמם. ל”כלכליסט” נודע כי לא פחות מ־40 מלקוחות עמיטל נפגעו ונגנב מהם מידע ברמה זו או אחרת. חלק מהנפגעות הן החברות הגדולות ביותר במשק הישראלי בתחום הלוגיסטיקה והייבוא, חלקן בעלות מניות בעמיטל.
במהלך חקירת הפריצה לעמיטל התגלה כי בוצעו פריצות ל־15–20 חברות נוספות שעוסקות בתחום הלוגיסטיקה בישראל והן אינן לקוחות של עמיטל. המשמעות היא שאותם פורצים המשיכו במסע גניבת המידע גם בחברות אחרות בתחום, במה שנראה כמו תוכנית סדורה ושיטתית להשגת המידע. עדיין לא ידוע מהי רשימת הלקוחות המלאה של עמיטל שנפגעו, אולם חלק מהלקוחות של החברה עוסקות בייבוא של ציוד ביטחוני רגיש, דבר שאמור להטריד מאוד את ראשי מערכת הביטחון. בעמיטל ניסו בימים האחרונים להקטין את חומרת האירוע ושכרו משרד יחסי ציבור על מנת לנסות לצמצם את הנזק התקשורתי שבפרסום הפרשה ולגמד אותו, אולם הפרטים המהותיים מעמידים את האירועים באור בעייתי מאוד.
בין לקוחותיה של עמיטל יש כמה חברות שאף מחזיקות בבעלות עליה, למשל חברת פריץ, שסמנכ”לית התפעול שלה, רחל ביטון, משמשת כדירקטורית בעמיטל. ביטון הכחישה בפני “כלכליסט” כל פריצה או פגיעת סייבר בחברה. לקוחות נוספים הם ישראל קרגו לוגיסטיקס, אוריין, מנטפילד, פרידנזון, אמקס, עמית ועוד. אחת הלקוחות המסקרנות של עמיטל היא מנטפילד, יבואנית ויצואנית של ציוד בטחוני עבור משרד הביטחון. החברה מציינת שהיא אחת מרשתות הלוגיסטיקה והשילוח הבינלאומי המובילות בעולם עם 18 משרדים בינלאומיים ורשת סוכנים ביותר מ־100 מדינות, ומכחישה כל פגיעה או מתקפה על החברה.
כחלק מהתמודדות של עמיטל עם המשבר החברה הסירה את אתר האינטרנט הראשי שלה והעמידה במקומו אתר מצומצם לצורכי תפעול בלבד. יוסי רחמן, מנהל תחום המחקר בחברת הסייבר ההגנתי סייבריזן אומר כי "אם אכן מדובר במתקפה מתקדמת, ולא הדבקה רנדומלית מהסוג שכל משתמש עלול להיחשף אליה, המשמעות היא ככל הנראה עבודת מודיעין התקפי רחבת היקף שקדמה למתקפה. אם לוקחים בחשבון את המרכזיות של עמיטל בכל הנוגע לעמילות מכס ויצוא ויבוא סחורות מישראל, אפשר למצוא קווי דמיון למתקפה הרוסית נגד אוקראינה ב־2017 באמצעות התולעת NotPetya. שם באמצעות הדבקה של תוכנה לראיית חשבון שהיתה נפוצה ברוב העסקים באוקראינה, הצליחו הרוסים לעצור את הכלכלה האוקראינית לימים ארוכים".
מומחה בכיר מתעשיית הסייבר מעריך שיש כיום במקביל עשרות תקיפות ואירועי סייבר בישראל. לדבריו, הגל הנוכחי הוא אחד הגדולים והחזקים שהיו בישראל בשנים האחרונות. לוטם פינקלשטיין, מנהל מחלקת מודיעין סייבר בצ’ק פוינט, אמר ל”כלכליסט”: "אין זה מקרה שאנו עדים ליותר ויותר מתקפות סייבר המשבשות פעילות חברות ישראליות וזוכות להד תקשורתי לאחר שמשפיעות באופן ישיר על אזרחי ישראל. הדבר נובע מכך שקבוצות תקיפה בעלות יכולות מתקדמות מזהות את ההצלחה של אחרים בתקיפת ארגונים ישראלים ואלו מעוניינות לקחת חלק מהשלל. רוב התקיפות שבולטות בתקופה האחרונה הן תקיפות הכופרה אשר זוכות לזרקורים אבל חשוב לציין שתקיפות הכופרה הן חלק משמעותי אבל לא בלעדי בעולם הסייבר”. לדבריו, אף על פי שחודש דצמבר עדיין לא נגמר, יש מדי שבוע כ־30 תקיפות בממוצע נגד חברות ישראליות “אולם עוד מוקדם לקבוע כיצד החודש יסתיים”.
פינקשלטיין מציין כי בחצי השנה האחרונה יש עלייה מתמדת במספר המתקפות החודשי על ארגונים ישראליים. בעוד ביולי השנה נצפו כ־19,000 מתקפות שונות על ארגונים בישראל, בנובמבר היו כבר 33,600 מתקפות שונות, עלייה של 74%. ב־12 ימים הראשונים של דצמבר זוהו כבר 18,300 מתקפות, מה שעלול לשקף עלייה של יותר מ־10% בדצמבר לעומת נובמבר. מבין התעשיות המותקפות, המגזר הציבורי היה יעד ל־32% מהמתקפות, אחריו המגזר הפיננסי והבנקאי עם 24% מהמתקפות ובפער ניכר חברות הייטק שהיו מטרה ל־5% מהמתקפות.
מחברת עמיטל נמסר בתגובה: ׳לפני כשבועיים זיהו מערכות ההגנה של החברה ניסיונות תקיפה למחשבי החברה ולחלק מלקוחותיה. האירוע מהווה חוליה בשרשרת אירועים מקבילים ברמה הלאומית שנחקרו ונמצאים במעקב של מערך הסייבר הלאומי. כחלק מפרוטוקול החברה, בוצע חיזוק בשכבות ההגנה של החברה והוקם חמ״ל ייעודי כדי לתת מענה לכל סוגיה. החברה נעזרת במומחים מתחום הסייבר על מנת להכיל את האירוע. בשלב זה ישנה פגיעה נקודתית. אנו נעדכן באופן שוטף בכל התפתחות״.
ממנטפילד נמסר בתגובה: “לאחר שהתוודענו שהייתה חדירה לשרתי עמיטל ביצענו בדיקות לכל המערכות שלנו באמצעות מומחה סייבר וקיבלנו אור ירוק להמשיך להפעיל את כל השרתים ללא חשש. שרתינו נקיים, מוגנים ובטוחים”.