נשיא קוסטה ריקה, רודריגו צ'אבס (צילום: getty images)
רודריגו צ'אבס. הנזק כבר חמור יותר מדרישת הכופר | צילום: getty images

"אנחנו במלחמה", אמר ביום שני האחרון נשיא קוסטה ריקה הטרי, רודריגו צ'אבס, שנכנס רק לפני שבועיים לתפקידו. המלחמה שעליה הכריז היא לא נגד מדינה או התקוממות פנימית. לא: צ'אבס הכריז מלחמה על קבוצת ה-Ransomware קונטי (Conti), שככל הנראה קשורה לממשל הרוסי, שחטפה מערכות של לא פחות מ-27 משרדים ממשלתיים ודורשת ממנו כופר שהולך ומאמיר. "המתקפה שחווה קוסטה ריקה בידיהם של עברייני סייבר ומחבלי סייבר, הביאה אותי להכריז על מצב חירום לאומי", המשיך צ'אבס והאשים את קודמו בתפקיד, בכך שלא לקח את האיום ברצינות.

אולי זה נשמע כמו תסריט לסדרה בנטפליקס, אבל מדובר באירוע "מאוד דרמטי", כפי שמגדירה אותו אלינה מיטלמן-כהן, ראש תחום מוכנות בקונפידס להגנה וניהול משברי סייבר. "זו פעם ראשונה שאנו נתקלים במקרה כזה שבו ממשלה מתמודדת עם מתקפת סייבר במימדים כאלו מול קבוצת תקיפה, עד כדי הכרזה על מצב חירום לאומי", היא מוסיפה. "נראה שאף צד לא מראה סימני התקפלות ולא שמענו על כך מילה מצ'אבס שבכוונתו לשלם את הכופר - להיפך, הוא הסלים".

אלינה מיטלמן-כהן, קונפידס: "זו פעם ראשונה שאנו נתקלים במקרה כזה שבו ממשלה מתמודדת עם מתקפת סייבר במימדים כאלו מול קבוצת תקיפה, עד כדי הכרזה על מצב חירום לאומי"

מה שקורה בשבועות האחרונים בקוסטה ריקה הוא כנראה ה-Sum of all fears של כל ממשלה מודרנית בשדה הקרב הדיגיטלי. ההאקרים, שהצליחו לחדור גם למשרד האוצר, נעלו את כולם בחוץ וגנבו מידע. זה לא צחוק, יש לכך משמעויות קשות מאוד: אי אפשר לגבות מסים, אי אפשר לייצא או לייבא, לשלם משכורות לעובדי ציבור, רפורמות תקועות וגם כספים מצילי חיים - המדינה מושבתת.

בינתיים, הנשיא הצעיר ממשיך בסירובו, וגם קונטי עומדים על שלהם. "יש לכם פחות משבוע לשלם לנו או שנהרוס את המפתחות שלכם. אנחנו גם עובדים על ניסיונות לחדור למערכות נוספות שלכם, אין לכם אופציה אחרת פרט ללשלם", איימו בקונטי בדארקנט וקראו לאזרחים "לצאת לרחובות וללחוץ על הממשלה לשלם". לאחר שצ'אבס נשא את הנאום המלחמתי, הם העלו את הכופר מ-10 ל-20 מיליון דולר.

נאמר את האמת, גם אם צ'אבס לא רוצה להתקפל, המחיר של חוסר ההתקפלות הוא כנראה גבוה עשרות מונים בכל יום שחולף והנזק שנגרם כבר חצה בהרבה את מחיר הכופר. ועוד לא דיברנו על העובדה שאם המפתחות למערכות יימחקו, השקעה במערכות חדשות תעלה מיליארדים. הכוח שהנשיא הפורטו ריקני מפגין עלול לבוא בעוכריו ובעוכריה של המדינה כולה.

האם גורמים פוליטיים סייעו להאקרים?

בינתיים, רשות המכס במדינה שינתה את הנהלים ליבוא ויצוא, כדי לנסות ולהחזיר את הפעילות לסדרה. הצו נוגע לכל מובילי המטענים לנמל קלדרה, כשחברת הספנות הדנית Maersk – משנעת הקארגו הימית הגדולה בעולם – הודיעה על נהלים חדשים לשחרור ממכס בנמל ועל תשלומי עמלות לשינוע ושחרור מכולות.

אלינה מיטלמן-כהן, קונפידס (צילום: דרור סיתהכל, יחצ)
אלינה מיטלמן-כהן. אף צד לא מראה סימני התקפלות | צילום: דרור סיתהכל, יחצ

בנאומו צ'אבס אמר כי ייתכן וגורמים פוליטיים בתוך המדינה עזרו לקבוצה לבצע את הפריצה. לדברי מנכ"ל איגוד האינטרנט הישראלי, עו"ד יורם הכהן, שגם הקים את הרשות למשפט, טכנולוגיה ומידע (רמו"ט) במשרד המשפטים, אם האשמה הזו תתברר כנכונה, זה עלול להדליק נורות אדומות בכל מדינה בעולם.

"שיתוף פעולה פנימי עם ארגוני כופרה זה איום פוטנציאלי שחייבים להתייחס אליו, לא רק בישראל, אלא בעולם. אם נושא ההתערבות הפוליטית יתברר כנכון, זה יהיה חסר תקדים נוכח קיטוב הולך וגדל במערכות פוליטיות בכל מיני מדינות. צריך לזכור שיש הרבה פטריוטים מטעם עצמם והאירוע צריך להעלות נקודת למחשבה: לאילו מערכות אסור להכניס מינויים פוליטיים, ולדאוג שהניהול יהיה חייב להיות מקצועי ופקידותי", אמר הכהן ל-tech12.

עו"ד יורם הכהן: "שיתוף פעולה פנימי עם ארגוני כופרה זה איום פוטנציאלי שחייבים להתייחס אליו, לא רק בישראל, אלא בעולם"

להערכתו של לביא לזרוביץ, מנהל המחקר במעבדות סייברארק הישראלית הנסחרת בנאסד"ק ושעוקב אחר פעילויות של קונטי ומתחרות שלה כמו ReEvil, קונטי פועלים כמו ארגון מסודר ומדובר כבר על סינדיקט. "בחצי השנה האחרונה קונטי הפכו להיות מפשע מאורגן לעסק לכל דבר ועניין, לאחר שרכשו את טריקבוט ובעצם עשו מיזוג בין הארגונים. זה לא משהו של מה בכך, לטריקבוט יש כלים מאוד משמעותיים, בהם סוסים טרויאניים עם הרבה מאוד יכולות, שמייצר בוטנט שיושב על מכונה ושואב כל מה שאומרים לו", אומר לזרוביץ.

"לטריקבוט גם יש כניסה אחורית, שנקראת 'בזאר' והיא מאוד משמעותית לסיפור. כי אחת מדרכי הפעולה של קונטי זו לא הדבקה המונית, אלא הליכה על ארגונים עם כסף, או כאלה שאפשר לייצר עליהן מינוף. הם משתמשים בזה כדי להוציא כסף. ככה זה נראה במקרה של קוסטה ריקה, אנחנו לא יודעים היכן הייתה הכניסה הראשונית. על פי רוב ומקרים קודמים, או שנכנסים דרך פישינג ופרטים שנחשפו, או שהם קונים את הקרדנשלס (פרטי הזיהוי למערכת, א"ל). ברגע שיש להם גישה, הם משתמשים בכלים שמייצרים אחיזה על הארגון שהם תוקפים אותו ובאמצעותו מנהלים את כל אירוע הפלישה", הוסיף.

יורם הכהן, מנכ"ל איגוד האינטרנט הישראלי (צילום: עצמי)
יורם הכהן. "אם נושא ההתערבות הפוליטית יתברר כנכון, זה יהיה חסר תקדים" | צילום: עצמי

לזרוביץ אומר כי תקיפה שכזו מצריכה צוות מיומן, כשקונטי גם דואגת לשלם משכורות לעובדיה. "אחד מהמודלים העסקיים של קונטי זה Ransom As a Service והם משלמים משכורות למי שמשתתף בפריצה. זה ביזנס פר אקסלנס ובחשיפה שקרתה אחרי הפלישה לאוקראינה (בה ארגונים מערביים הצליחו לחדור להאקרים ולפרסם פרטים מזהים על הקבוצה, א"ל) ראו שהם צריכים להתמודד עם אותן בעיות", הוא מוסיף.

האם זה קשור למלחמה באוקראינה?

במקרה הזה, גם בשל חוסר המידע אקטואלי בנושא, אין תמימות דעים אם המתקפה האחרונה קשורה למצב ברוסיה מלאת הסנקציות. "להערכתי זה לא קשור", אומר לזרוביץ'. "מההיכרות שלנו עם הפעילויות של הקבוצות האלה, הם מחכים להזדמנויות, שהיא בעצם קבלת גישה ראשונית לארגון. מבחינתם הם ראו הזדמנות וקפצו עליה".

לביא לזרוביץ, סייברארק: "אחד מהמודלים העסקיים של קונטי זה Ransom As a Service והם משלמים משכורות למי שמשתתף בפריצה. זה ביזנס פר אקסלנס"

הכהן לא כל כך החלטי. "השאלה המעניינת היא האם קונטי לא רוצים להתעסק עכשיו עם האירופאים, אז הם אומרים שיתקפו אזורים שפחות נפיצים. צריך לזכור שגם ברוסיה וגם בסין, תמיד עולה השאלה על הקשר בין השלטון לבין הקבוצות האלה. כנראה שיש איזושהי לחיצת יד, כשבד"כ השלטון מעורב ברמה מסוימת".

גם במערב יש קבוצות האקרים בתמיכת ממשלות.
"נכון, יש גם במערב קבוצות של תקיפה לנושאים מדינתיים, אבל לא להעשרת הקופה. יכול מאוד להיות שיש פה לחיצת יד גם ברמה לחמוק מהסנקציות, אבל היעד, שהוא יעד מדינתי, במובן שלתקוף מערכת מדינתית כספית ולהצליח זה די תקדימי. יש סקייל ונזק מאוד מאוד גדול, הם גם הצפינו מערכות, כלומר ראנסומוור וגם גנבו מידע, וכבר שחררו כמעט את כל המידע שגנבו.

לביא לזרוביץ, Cyberark (צילום: סלי לוי פרג, יחצ)
לביא לזרוביץ. "אחת מדרכי הפעולה של קונטי זו לא הדבקה המונית, אלא הליכה על ארגונים עם כסף" | צילום: סלי לוי פרג, יחצ

"בד"כ זה שני דברים שונים. בפריצה לבית החולים הלל יפה, החוטפים רצו כסף כדי להחזיר את השליטה בבית החולים, אבל לא גנבו מידע רפואי. לעומת זאת באטרף הם גנבו ופרסמו את המידע. פה הם עשו את שניהם וזו עליית מדרגה. אני מקווה שאנחנו לא נמצא את עצמנו בסיטואציה של גורמי מודיעין לתקיפה למען מטרות פוליטיות", סיכם.

בינתיים, שעון החול של קוסטה ריקה הולך ואוזל ובעוד פחות משבוע המדינה הקטנה עלולה למצוא עצמה מנותקת לגמרי מכמעט כל מערכות המחשוב במדינה. קשה להעריך כמה זמן ייקח לה להתאושש מזה וגם לנשיא הטרי צ'אבס.