פריצת ענק בשרשרת האספקה של מדינת ישראל

יום א', 13 בדצמבר 2020
בשעה שכל העיניים בישראל מופנות לעבר חברת הביטוח שירביט  -הסובלת עתה מפריצה חמורה למאגרי המידע שלה ונדרשת על ידי ההאקרים לשלם להם מליוני ביטקוינס - מתחוללת פרשה לא פחות חמורה בבסיס שרשרת האספקה לישראל .
 
פריצה למחשבי חברת התוכנה עמיטל עם התקפת סייבר ישירה למעשה  על כ-40 חברות ישראליות בתחומי הלוגיסטיקה והיבוא ארעה בימים אלה.
 
התוקפים הצליחו לפרוץ לשרתים של עשרות חברות לוגיסטיקה ושילוח ולחדור למעשה לכל שרשרת האספקה של ישראל. החברות שהותקפו הן חברות ענק בתחום הלוגיסטיקה ושיבוש פעילותן עלול להביא לפגיעה באספקת מוצרים חיוניים.
 
מומחי סייבר מציינים  כי המידע שנגנב עלול גם להיות בעל ערך אסטרטגי למדינות אויב. ככל הידוע עד כה, למרות הפריצה המוצלחת, לא בוצעה דרישת כופר. לפיכך עולה החשד שמדובר במתקפה אסטרטגית לצורך השגת מידע על מדינת ישראל ולא בתקיפה שנועדה למיקוח כלכלי.
 
כאמור, מרבית התקיפה בוצעה דרך חברת עמיטל, המפתחת תוכנות לחברות לוגיסטיקה ושילוח. הפורצים חדרו למחשבים של עמיטל, גנבו את רשימת הלקוחות שלה וכן את פרטי ההתחברות ללקוחות, ומשם המשיכו לביצוע פריצה ללקוחות עצמם.
 
נודע כי לא פחות מ-40 מלקוחות עמיטל נפגעו ונגנב מהם מידע ברמה זו או אחרת. חלק מהנפגעות הן החברות הגדולות ביותר במשק הישראלי בתחום הלוגיסטיקה והייבוא, חלקן בעלות מניות בעמיטל.
 
הידיעות על הפריצה נערמות  וכך  במהלך חקירת הפריצה לעמיטל התגלה כי בוצעו פריצות ל-15–20 חברות נוספות שעוסקות בתחום הלוגיסטיקה בישראל והן אינן לקוחות של עמיטל. המשמעות היא שאותם פורצים המשיכו במסע גניבת המידע גם בחברות אחרות בתחום, במה שנראה כמו תוכנית סדורה ושיטתית להשגת המידע. עדיין לא ידוע מהי רשימת הלקוחות המלאה של עמיטל שנפגעו, אולם חלק מהלקוחות של החברה עוסקות בייבוא של ציוד ביטחוני רגיש, דבר שאמור להטריד מאוד את ראשי מערכת הביטחון.
 
בעמיטל ניסו בימים האחרונים להקטין את חומרת האירוע ושכרו משרד יחסי ציבור על מנת לנסות לצמצם את הנזק התקשורתי שבפרסום הפרשה ולגמד אותו, אולם הפרטים המהותיים מעמידים את האירועים באור בעייתי מאוד.
בחברה הדגישו כי בשלב זה לא קיים חשש לשיבוש במסירת החבילות.
 
עוד חברה הצטרפה להודאה בפריצה אליה. כך, זיהתה חברת אוריין, לאחר קבלת התראה מאחד מספקי התוכנה שלה (עמיטל), כי כתוצאה מאירוע סייבר שהחל אצל עמיטל, דלף מידע השמור באחד משרתי אוריין, כפי שאירע, למיטב ידיעת החברה, לכ-40 לקוחות נוספים של עמיטל. בעקבות פעולות שנקטה אוריין, הופסקה דליפת המידע מספר שעות לאחר מועד הגילוי", נמסר בדיווח לבורסה מטעם חברת אוריין.
 
בחברה הודו כי אינם יודעים אילו נתונים דלפו. "אוריין ביצעה חקירה מקיפה, לרבות מול עמיטל, ויש בידה הערכות באשר לסוג המידע שדלף, אך אין בידה מידע באשר לזהות הנתונים שדלפו. אנו פועלים בתיאום עם מערך הסייבר הלאומי, החברה תגברה ותמשיך לתגבר את מערך אבטחת המידע, וזאת כדי למנוע הישנות מקרים דומים בעתיד. האירוע לא השפיע על פעילותה השוטפת של אוריין, ומתן השירותים ללקוחותיה ממשיך כרגיל, במהלך העסקים הרגיל", הוסיפו.
 
גורמים בכירים בתעשיית הסייבר מעריכים כי היות שאין דרישת כופר כנהוג במתקפות כאלו, ייתכן ומי שעומד מאחורי הפריצה היא מדינה או גורמים עוינים אחרים, ולא האקרים שמטרתם לדרוש כסף מהחברה, בדומה למה שנראה כמו במתקפה על שירביט.
 
בעקבות הפריצות  פתחה יחידת הסייבר בלהב 433 בחקירה לאיתור האקרים שפרצו למחשבי החברות.
 
במקרה של שירביט חברי קבוצת Blackshadow דורשים מחברת הביטוח לשלם לה מיליוני דולרים בביטקוין - אחרת ימכרו את המידע שברשותם. החקירה נפתחה לאחר ששירביט הגישה תלונה במשטרה  במטרה לאתר את זהות ההאקרים שפרצו למחשבי החברה, והדליפו מהם נתונים על עשרות אלפי מבוטחים ועובדים.
 
יוסי רחמן, מנהל תחום המחקר בחברת הסייבר ההגנתי סייבריזן אומר כי "אם אכן מדובר במתקפה מתקדמת, ולא הדבקה רנדומלית מהסוג שכל משתמש עלול להיחשף אליה, המשמעות היא ככל הנראה עבודת מודיעין התקפי רחבת היקף שקדמה למתקפה. אם לוקחים בחשבון את המרכזיות של עמיטל בכל הנוגע לעמילות מכס ויצוא ויבוא סחורות מישראל, אפשר למצוא קווי דמיון למתקפה הרוסית נגד אוקראינה ב-2017 באמצעות התולעת NotPetya. שם באמצעות הדבקה של תוכנה לראיית חשבון שהיתה נפוצה ברוב העסקים באוקראינה, הצליחו הרוסים לעצור את הכלכלה האוקראינית לימים ארוכים".
 
מומחה בכיר מתעשיית הסייבר מעריך שיש כיום במקביל עשרות תקיפות ואירועי סייבר בישראל. לדבריו, הגל הנוכחי הוא אחד הגדולים והחזקים שהיו בישראל בשנים האחרונות.