חשיפה: לוחמי הסייבר הסודיים של שירות הביטחון הכללי

ההתקדמות הטכנולוגית הביאה בשנים האחרונות את שירות הביטחון הכללי לערוך שינויים מרחיקי לכת: חטיבת סייבר מיוחדת הוקמה, שפועלת במטרה לעקוב, לאסוף מודיעין ולסכל פעולות חבלה נגד מערכות בעלות רגישות בישראל. הצצה נדירה לאנשים ששומרים עלינו – דרך המקלדת

הלוחמים הסודיים, אילוסטרציה (חדשות 2)

למבצע הזה ניתן שם הקוד "אס-74": עשרות מומחי מחשבים בשב"כ נערכו לקראתו ימים ארוכים. זה החל במעקב אחר תנועות חשודות, התארגנות של פעילים ברחבי העולם ושיבוש ההתקפה - רגע לפני שיצאה לפועל. בסוף התהליך יכלו לחייך בשב"כ בסיפוק, המאמץ חובק העולם לחבל במערכות המחשב של מדינת ישראל כשל. זה קרה בשנה שעברה, ועכשיו ניתן לספר כיצד פעל השב"כ מאחורי הקלעים במלחמתו באנשי ארגון "אנונימוס", שניסו להפיל אתרי אינטרנט ישראליים.

רוצים לקבל עדכונים נוספים? הצטרפו לפייסבוק רשת

"נערכנו מבעוד מועד, עקבנו מקרוב אחר ההתארגנויות ברחבי העולם ואספנו מידע מודיעיני - יומינט וסיגינט. בוצעו שורה ארוכה של פעולות שיבוש", חושף אלון, איש חטיבת הסייבר של השב"כ. הוא בן 39, כבר 8 שנים בארגון והוא זה שאחראי על הנחיית גופים שהוגדרו בחוק תשתית קריטית במדינת ישראל כיצד להתגונן מפני התקפות סייבר. "הגענו לספקיות האינטרנט, שנערכו למתקפה עם אמצעי הגנה, ויחד איתן ניתחנו את האיומים. אנחנו בשב"כ פתחנו חמ"ל ואנשים שלנו ניהלו את האירוע וגם ישבו במספר צמתים מרכזיים שניטרו ופעלו בזמן אמת".

"מימד הזמן היה קריטי", הוא מדגיש, "היריב יושב לך כבר במערכות כי הוא נערך מבעוד מועד, וכל מה שהוא צריך לעשות זה ללחוץ על כפתור והאירוע החל. אתה צריך להתמודד עם הכלה של האירוע ובלימתו".

היעד: ההאקרים ברחבי העולם (רויטרס)

השב"כ בעקבות ההאקרים

כך היה גם בחודש שעבר: בשב"כ נפתח מבעוד מועד חמ"ל ייחודי וייעודי לטיפול בעומדים מאחורי הניסיון לשבש את חייהם של אזרחי ישראל. בארגון עקבו אחר ההאקרים שפרסמו רשימות של אתרי ממשלה שבכוונתם לפרוץ, ובכללם אתרי אינטרנט של המגזר הביטחוני, והפצה של רשימת מטרות הכוללת כ-1,300 אתרי אינטרנט ישראליים ובהם אתרי ממשל, בנקים, תעשיות ביטחוניות, מוסדות אקדמיה וארגוני מדיה.

בגופי הביטחון ובמשרדי הממשלה העלו את הכוננות: לעובדים הועברו הנחיות, ואנשי המחשבים של הארגון ביצעו שורה של מבצעי סיכול ברשת שבסופם אפשר היה לקבוע שבמתקפה על אתרי האינטרנט הישראליים לא הושגה המטרה עליה הצהירו חברי אנונימוס.

"הדבר הייחודי באנונימוס הוא המוטיבציה לפעול בגלוי", סיפר אלון. "הם מוציאים קול קורא לפעולה ומגייסים כך אלפים ואף יותר שיעזרו להם לתקוף. ככל שהתקיפה מרובה יותר במשתתפים יש הפעלת עומס רב יותר על האתר או ספקית האינטרנט וכך מביאים לקריסת האתר".



המאגר הביומטרי - נקודת תורפה

את שירותו בשב"כ החל יובל, כיום בן 29, לפני 12 שנים. הוא עובד בתחום המודיעיני ושותף להקמת יחידת ה"סיגינט-סייבר" - שמטרתה איסוף מודיעני ותקיפה במערך הסייבר. מערך שבדרך כלל נזהרים מלדבר עליו, ועל היכולות שיש לישראל בתחום. "במקרה של מתקפת 'אנונימוס' אנחנו נדרשים להכיר את עולם התוכן של היריב", הוא משתף. "אני חוקר ולומד אותו, מקבל דיווח לפיו יש התארגנות או איום ממשי, ואני כאיש מודיעין מתחיל לנהל תהליך איסוף שבסופו יש לי יכולות שיבוש להתקפה עתידית. היומיום שלנו מורכב מבניית יכולות נגישות של סיגינט ויומינט ולחדור ליריב 'הביתה' - מה שמאפשר איסוף מידע על האיש או המטרה".

"בעולם הסייבר יש כל הזמן אירועים שלא תמיד אתה יודע לומר שהכשל התפקודי שקרה עכשיו הוא טכני, או שמישהו מנסה לחבל במערכות שלך או לאסוף מידע. קשה מאוד לדעת באמת כמה תוקפים אותנו", הוא מודה. "ישנם המון אירועים שאנו יודעים לסווג כניסיונות פגיעה או שיבוש ואנו בוחנים ומנתחים אותם כדי להבין באמת אם מדובר בתקיפה ממוקדת. למשל, הגנה על המאגר הביומטרי של ישראל - זו נקודת תורפה. המאגר מאובטח וגם הקישורים שלו מאובטחים ונבדקים בינתיים, עוד לא זיהינו שמחפשים אותו".

חטיבת הסייבר בשב"כ הוקמה לפני מספר שנים ועברה שינויים מהירים נוכח התפתחות הטכנולוגיה בעולם המחשבים, והאיום עליה גבר. היחידה מופקדת על הנחיית גופים בתחום אבטחת מידע מסווג, והגנה מפני ריגול וחשיפה. אחד התחומים החשאיים שאנחנו חושפים כאן הוא - התקיפה. "אנחנו אחראים", מגלה יובל, "על ניתוח נתונים שמגיעים מצמתי תקשורת יומינט (מידע שמקורו במקור אנושי) וסיגינט (מידע שמקורו בטכנולוגיה) ועל בסיס מידע זה מנתחים את הנתונים הטכניים כדי לזהות תוקפים והתארגנויות, וגם - כדי לבצע תקיפות".

"זהו תחום חשאי בדרך כלל, אבל לנו ניתנה הצצה חריגה לתחום תקיפות המודיעין. כדי להשיג מודיעין למקבלי ההחלטות מתבצעים ברחבי העולם מבצעים רבים לפריצה למחשבים, רשתות, מערכות קריטיות ומאגרי מידע, וגם למחשבים אישיים. אוספים מכל מקום ובכל מקום", הוא מוסיף. "יש הרבה גופים שפועלים נגד מדינת ישראל ברמה האסטרטגית, אנחנו מטפלים בדברים השקטים. קצין מודיעין (מאמ"ן או המוסד) מרים לי טלפון ומבקש מידע מסוים - ואני מביא לו את אותו מידע חשוב שמשנה את היכולת שלו להצליח במבצע".

הלוחמים החשאיים, אילוסטרציה (דו"צ)

מעצר בכיר בארגון טרור? קודם אוספים מודיעין סייבר

מימד נוסף הוא מעגל הסיכול. הסייבר נכנס במלוא עוצמתו ככלי איסוף מרכזי בתהליך סגירת המעגל. למשל, לפני מעצר מבוקש בג'נין הכוח צריך מידע רלוונטי, וגוף האיסוף בסייבר יודע להביא את המידע שמסייע להשלמת הפעולה. כך גם בחיסול בכיר בארגון טרור בעזה.

ובתוך העולם המהיר והחשאי הזה, מבהיר אלון, מתקיים שיתוף פעולה בין המגנים לתוקפים: "אני רוצה לדעת איך הוא תוקף, והוא צריך לדעת איך אני אוסף את המידע עליו, הפרייה הדדית. הבעיה שמערכות הסלולר והאינטרנט מקושרות בכל העולם, ולכן קל להגיע ליעדים שונים ברחבי העולם, ולתקוף מכל מקום ובכל מקום וזמן. תקיפה אינה חייבת להגיע מאירן, אלא דווקא ממדינה שלשית תמימה - וזאת, כדי להסוות את פעולת התוקף".

את ההתקפה המתפתחת מזהים אלון וחבריו לפני שאיימה על אותו גוף או חברה ויחד איתם הם נערכים לבלום אותה: "אנחנו נפגשים עם מנכ"לים של חברות מציגים להם אירועי אמת של התקפות בארץ ובעולם, ו'מבהילים' אותם כדי שיבינו את המשמעות ולמה חשוב להגן על המערכות שלהם".

"פיתחנו כלים שמזהים אנומליה ברשת, תנועה חריגה, שיודעים לבודד ולהכיל אותה. אנחנו מוציאים את המידע וחוקרים אותו כדי לעצור התקפה וכדי לזהות את היריב. אותם כלים מוטמעים בצמתי תקשורת במבואות האינטרנט של המדינה. יש כיום שלושה סיבים אופטיים שנכנסים למדינה, והם מזהים תנועה חריגה או מתקפה ומתריעים מיד".

"לאחר שהוגדרו הגופים בישראל שנמצאים בקבוצת סיכון, צריך להגן על המערכת הקריטית שלו . פגיעת סייבר בגוף כזה תגרום נזק חמור למדינת ישראל. למשל, רכבת ישראל שמסיעה עשרות אלפי אנשים ביום. תהליך הבקרה על המסיתים מתבצע מחדר הבקרה של רכבת ישראל. פגיעה במערכת המחשבים תביא להתנגשויות, 'להחשיך' סלולרית את ישראל, כך גם חברת החשמל, מקורות ועוד. תפקידנו לשפר לנתר וללוות את הגופים המונחים".

אמצעי ההגנה נגד תקיפות סייבר

לשם הגנה על תשתיות מדינת ישראל הוקם "צוות טאקו" שנחשף כאן לראשונה. מדובר בצוות מומחים שיוצא לשטח מיד כשמזהים אירוע מתפתח. "כאשר מתחילה קריסת מערכות בגוף מסוים, כדי שיחד עם הגוף המותקף נוכל להבין מה קורה ולטפל בכך מיד", מסבירים אנשי הצוות. בשנים האחרונות נפל לבנקים ולחברות האחרות האסימון, ולמרות העלויות הגבוהות הם משקיעים באמצעי הגנה נגד תקיפות סייבר. מדובר באינטרס עסקי של חברות וגם של שב"כ.

"עלות חליפת הגנה כזו יכולה להגיע לכ-10 מיליון שקל בשנה לחברה גדולה, ועדיין זה משתלם להם, כי הנזק הטכני והתדמיתי יכול להיות חמור הרבה יותר", מסביר אלון. "אירועי קריסת פלאפון וסלקום, לאחר חקירה ממושכת אנחנו יודעים לומר שמדובר היה בכשל תפקודי ולא במתקפת סייבר. אירוע בסדר גודל כזה מדווח לא רק לראש השב"כ אלא מיד גם לראש הממשלה, בגלל חשיבות העניין".

כמו שנפתח חמ"ל בנוהל "פיגיון" (בו אותר מפגע בדרך לפיגוע) כך גם פה, צוות טאקו מגיע לחברה, עוקב אחרי האירוע ומנתר אותו כדי לבלום את ההתקפה. באירוע כזה עובדים בשני ערוצים במקביל: מנכ"ל חברת הסלולר מול התקשורת והעניין התדמיתי, וגורם בכיר שמטפל בצד הטכנולוגי, ובהחזרת השירות לפעולה מהר ככל הניתן.

תקיפות נפוצות מאוד הן "תקיפות קינטיות" - עומס תעבורה כדי להפיל תשתיות. "אנונימוס עושים זאת הרבה", מספר אלון. "ביצעו לאחרונה פעולת האטה של האינטרנט העולמי עד כ-10%. אם היו מצליחים יותר זה יכול לעשות נזק משמעותי. הם ניסו לעשות זאת גם בישראל, אם היו מצליחים - זה היה בעייתי מאוד".

"צריך לדעת לאתר את הגל הזה ולחסום אותו. אי אפשר למנוע מתקפות כאלה. עולם הסייבר מאפשר היום לנער ממוצע, מבחינת 'הכלים על המדף' לבצע פעולות חבלה רבות ומשמעותיות. יש כיום אתרים ברשת שאתה יכול להיכנס כמנוי ולבקש שיתקפו עבורך גורם מסוים - הם משגרים אלפי פניות בדקה - ומפילים את האתר שביקשת", מסבירים הפעילים. "כשאתה נכנס לאתר כזה אתה בעצם תורם את המחשב שלך למאמץ העולמי, וכך אלפי משתמשים ברחבי העולם גורמים לעומס תעבורה ולהפלת אתרים. יצירת עומסים על שרתים יכולה להיות קשה ופוגעת - למשל בבורסות בעולם, בפעילות בנקים וכו'.לפעמים לא צריך כלים מתוחכמים אלא פשוט בניית נפח פעילות רחב כדי לייצר נזק משמעותי".

אלון מספר על דרכי ההתמודדות: "אנחנו יושבים יחד בחמ"ל או בחפ"ק תוקף ו/או מגן, אוספים מידע, מנתחים אותו בזמן אמת, ומבצעים פעולות הגנה. זיהינו כתובות IP שתקפו אותנו וחסמנו אותן מיד מלהמשיך ולפעול נגד מערכות ישראליות. עבדנו ארבעה ימים ברצף מסביב לשעון, ועצרנו התקפה מבלי שהאזרח כאן במדינה אפילו הרגיש בה.

כך למשל, סייע השב"כ באחרונה לגופים שהוא בדרך כלל אינו מנחה, כמו למשל "יד ושם", כי לפגיעה בו ערב יום השואה יש מימד תקשורתי ותדמיתי. לשם כך משתפים פעולה עם כל גופי המודיעין: עבודה מול יחידת 8200, המוסד ויש גם קשרי עבודה עם גורמים בחו"ל. "אין גבולות לסייבר ובכל זיהוי אנומליה משתפים בני ברית כמו ארה"ב, כי אולי משהו שמתחיל אצלנו יעבור גם אליהם" מסביר יובל.

גם ל"גיקים" של השב"כ יש פייסבוק

אז מי הם האנשים שמגיעים לחטיבת הסייבר בשב"כ? ובכן לא בהכרח אותם "גיקים", או "האקרים", שחורשים את הרשת. "מי שמגיע לעבוד איתנו הם קודם כל אנשים יצירתיים. היכולת הזו למצוא את אותו שבב מידע שממנו אפשר להמשיך ולפרוץ קדימה", מסביר יובל. "יש כאלה שמגיעים מיחידת 8200, אבל לא רק. כאן לא ניתן להיות רק טכנולוג צריך גם הבנה מודיעינית, אנחנו בסופו של דבר גוף סיכולי".

"כל העיסוק שלנו הוא עולם הסייבר, נפגשים עם סוכנים אבל אנחנו 'חיים ברשת'", הוא מסביר. וכן, גם יש להם פייסבוק, אבל לעולם לא תדעו שזה הם. "אנחנו גולשים ברשת גם בחיים הפרטיים, היריב שלי שם ולכן גם אני צריך להיות שם", מסביר יובל.

"מצד אחד אנחנו יודעים מה ניתן לעשות אבל אנחנו גם מבינים מה הסוד שלנו, מה ניתן להעלות לאתר ומה לא כדי שלא ניפגע", מוסיף אלון. מדובר בצעירים בגילאי 25-28, הרבה סטודנטים, חלקם בהיי טק שרוצים ומחפשים את אותו 'משהו' שהוא מעבר לשכר. "האתגר שיש כאן לא קיים במקומות אחרים, עבור חלקנו, גם במחיר הפסד של משכורות עתק. לפעמים יש גם חוזים אישיים, אי אפשר להתחרות בשכר שנקבל בחוץ. אבל רואים כאן תוצאות מהר, בסיכולים למשל, וזה נותן סיפוק רב. יש אחרים שבאו מעולם האדריכלות, תיאטרון יש שלמדו בביה"ס למוזיקה 'רימון'. מה שחשוב זה יצירתיות, וכאלה שיש להם יכולת למידה מהירה, ללמוד עולם תוכן חדש - ומהר להסיק מסקנות ולפרוץ גבולות, דמיון. היכולת להצליח להשיג הרבה ממידע קטן שמתקבל".

"יש אצלנו נשים וגברים יחד שעובדים בשקט מאחורי הקלעים , ולפעמים סיכול שלהם או 'טיל וירטואלי' ששלחו להיכן שהוא במעבי הרשת - שווה הרבה יותר מכל פצצה שישגר מטוס קרב של חיל האוויר".