![[object Object]](/wp-content/uploads/2021/01/27/08/מורידים.-נכנסים.-מתאהבים.-דף-כתבה-מובייל.png)
השעה הייתה חמש לפנות בוקר ושי נחום, מנכ"ל חברת הסייבר Cyght, קיבל שיחת טלפון מפתיעה. על הקו בכיר בחברת אנרגיה בינלאומית גדולה, שאומר לו: "אנחנו תחת מתקפת כופרה - אתה יכול לעזור?" בחדר הסמוך ישן בנו התינוק של נחום ולו עצמו כלל אין גישה מרחוק מוכנה להפעלה, אבל הוא מייד נדרך לפעולה. "שאלתי אותו מה יש להם כדי לחבר אותי למערכת", הוא מספר בשיחה עם "היום". "הוא הציעו את Microsoft Teams ואמרתי 'מעולה' ופשוט צללתי לתוך האירוע".
כך, מהבית ודרך חיבור בסיסי ביותר, נחום נכנס למערכת של החברה - שאז כלל לא הייתה לקוח שלו - וגילה עד מהרה שהכופרה התפשטה דרך השרת המרכזי של החברה והחלה להפיץ קבצים להצפנה. "הכלי שהפעלתי זיהה את הקבצים ושינה להם שמות תוך כדי תנועה", הוא מספר. "כשהמערכת ניסתה למשוך את קובץ הכופרה מהתיקייה המשותפת, הוא כבר לא היה שם. תוך רבע שעה המתקפה נעצרה. רק כמה עמדות נפגעו מתוך יותר מ-10,000 במערכת".
על פי נחום, התוקף המתין בתוך הרשת של הארגון תקופה ארוכה לפני שהחליט להפעיל את הכופרה. "תוקף שיושב על חברה כזו לא בא לשחק", הוא מסביר. "הוא מכיר את החולשות, וברגע שהוא מחליט להפסיק להיות שקט - הוא מפעיל כלים שכתב במיוחד עבור אותה מערכת כדי לנצל עד הסוף כל יתרון שבנה לעצמו".
"הסיפור הזה הפך למורשת קרב - גם אצל הלקוח וגם בחברה שלנו", מסכם נחום, שישתתף בשבוע הבא בכנס סייברטק גלובל תל אביב 2026 שייערך בשבוע הבא (28-26 בינואר) באקספו ת"א ויכנס את צמרת הסייבר המקומית והעולמית
הסיפור של נחום על אותו בוקר שבו התמודד מול מתקפת הסייבר המפתיעה הוא רק דוגמה לקצב הקדחתני, כמעט בלתי-פוסק, שמאפיין את שני צידי המתרס של מלחמת הסייבר שמתנהלת מעל ראשינו ובתוך המכשירים שהפכו לחלק בלתי נפרד מחיינו, לעתים מבלי שאנחנו כלל לא מודעים לקיומה.
לדבריו, זו מלחמה שבה תוקפים פרטיים מנסים לפגוע בחברות פרטיות ובארגונים כשעל הפרק סכומי כסף עצומים ושבה סין, רוסיה, איראן וצפון קוריאה פועלות נגד יעדים בישראל ובמדינות אחרות ברמת תחכום שהייתה נחשבת לפני עשור למדע בדיוני.
נחום, סרן במיל' עם שש שנות שירות בתחום הסייבר בצה"ל ועבר מרתק כיועץ למשרד ראש הממשלה ולמשרד הביטחון (על פעולתו הוא זכה בפרס ביטחון ישראל), ממפה את הדמויות המרכזיות בזירה העולמית: "השחקנים החזקים הם סין, רוסיה, צפון קוריאה ואיראן. כל אחד פועל באסטרטגיה אחרת, אבל המטרה זהה: חדירה, גניבת מידע וחבלה". רוסיה, למשל, עמדה מאחורי תקיפת SolarWinds, אחת המתקפות המתוחכמות בהיסטוריה. "הם הכניסו קוד זדוני למוצר לגיטימי של חברת תוכנה אמריק, הגיעו ל-18,000 לקוחות בעולם ונשארו מתחת לרדאר כמעט שנה. חדרו לסוכנויות פדרליות והוציאו מידע מסווג", מספר נחום. "זו דוגמה מובהקת וקיצונית למתקפת שרשרת אספקה, שבה התוקף פוגע בספק אמין ודרכו חודר לאלפי ארגונים שקשורים אליו".
טרור הסייבר האיראני
סין, מצדה, תקפה תשע ספקיות סלולר בארצות הברית ואחת בקנדה, ביניהן AT&T ו-Verizon, דרך חולשות במוצרים של ענקית התקשורת סיסקו. "הם יכלו להאזין לשיחות ולאתר מיקומים של אינספור יעדים ומטרות", אומר נחום. "בישראל, תרחיש כזה עלול להיות יום הדין ממש".
אולם, לדברי נחום האיום הישיר ביותר מגיע מאיראן. "איראן פועלת בישראל בהיקף רחב, במיוחד מאז 7 באוקטובר", מציין נחום. "המטרות: גניבת טכנולוגיה, חדירה ליעדים פנימיים וטרור סייבר - כלומר, לוחמה פסיכולוגית נגד הישראלים". כך, קבוצה איראנית בשם "חנדלה" מדליפה מסמכים אישיים (כמו במקרים של נפתלי בנט וצחי ברוורמן, למשל) או מפיצה תמונות וכתובות של עובדי תעשיות ביטחוניות - כדי לעודד פגיעה פיזית. "זה לא רק סייבר. זה איום ממשי על חיים", מדגיש נחום.
צפון קוריאה פעילה גם היא. "הסנקציות נגד המדינה הופכות את התחום הזה למקור הכנסה מרכזי", מסביר נחום. "הם גונבים מיליארדי דולרים בקריפטו, אבל גם תוקפים תעשיות ביטחוניות במערב כדי להשיג טכנולוגיה צבאית משופרת. יש שם מנגנון שנבנה בצורה מאוד יסודית".
"בנוסף לסייבר המדינתי הזה, יש קבוצות פרטיות עם יכולות כמעט מדינתיות", מוסיף נחום. "Scattered Spiders, למשל, פועלת ממוטיבציה כלכלית, אבל לחברים בה יש הכשרה כמו של חוקרים בגוף ממלכתי רציני".
מבטא פרסי בקוד
איך מזהים תוקף? "זה עבודה פורנזית יסודית ולא הכי זוהרת - לא בדיוק כמו שרואים בסרטים", אומר נחום. "שעות הפעילות תואמות ליום העבודה של המדינה התוקפת. הם 'מחתימים כרטיס' בבוקר בטהרן, בפיונגיאנג או במוסקבה - ואנחנו צריכים להתאים את עצמנו למציאות הזאת - לאף אחד לא אכפת שתשע בבוקר בקוריאה זה אמצע הלילה בתל אביב".
אולם, לא רק הלו"ז צריך להתאים לתוקפים, אלא גם צורת המחשבה. לדברי נחום, אחד הרמזים הטובים ביותר לאיתור המקור של מתקפת סייבר לא נמצא בקוד עצמו, אלא במה שנלווה אליו. "האקרים סינים, למשל, כותבים לעצמם לצד הקוד הערות בסינית - וזה משהו שתמיד כדאי לחפש, כי ברגע שאתה יודע מי תוקף אותך זה עוזר לך להתמודד איתו טוב יותר. לפעמים בשרת השליטה של התוקף מוצאים מקלדת וריטואלית מותקנת בפרסית או בקוריאנית - וזה כמובן עוד סמן טוב לזהות של התוקף".
מעבר לשפה עצמה, יש גם "גנים של קוד" - בלוקים חוזרים של שורות קוד השייכים לקבוצות מוכרות ושמקלות על התמודדות עם מתקפה, כי ניתן להשתמש בטכניקות שבהן נעשה שימוש בעבר בסיטואציות דומות. לדברי נחום, גם טעויות של תרגום מילולי מדי מפרסית לאנגלית יכולות לחשוף את הזהות האמיתית של האויב. "אלה דברים שלומדים עם הזמן ושעושים את ההבדל בין חוקרים מתחילים למנוסים".
זירת ה-AI
לדברי נחום, האיום הבא במאבקי הסייבר מגיע מכיוון הבינה המלאכותית. "AI זה מכפיל כוח עצום לתוקפים", הוא אומר. "חברה של 10 אנשים מתפקדת פתאום כמו 1,000 - עם יכולות שקודם ניתן היה רק לחלום עליהן". כך, לאחרונה קבוצה סינית השתמשה במודל של קלוד כזרוע ביצועית לכל דבר - המודל כתב קוד, סרק חולשות וביצע תקיפות.
"בנוסף לשימוש בבינה מלאכותית לצורך יצירת קמפיינים התקפיים, השימוש והתלות של ארגונים ב-AI יצר משטח תקיפה חדש, ששינה את הזירה באופן דרמטי. AI היא המוח הארגוני המחובר לכל המיילים והקבצים וחדירה אליה פירושה גישה לכל הסודות והנכסים - לכן חייבים לשנות גישה בהתמודדות עם העידן החדש הזה של סייבר AI. זו דוגמה מובהקת למשחק החתול והעכבר הזה בין סייבר הגנתי להתקפי, שבו כל צד צריך תמיד להיות הכי מעודכן. אין זמן לנוח, כל הזמן צריך להיות בתנועה".
"גם חברות קטנות הן יעד"
חברת Cyght פועלת באירופה, קנדה, אפריקה, דובאי ולאחרונה גם באוקראינה. הלקוחות: בנקים, חברות תוכנה, מפעלים, סטארטאפים. העיסוק: בדיקות חוסן וטיפול באירועים - בדיקה יזומה של חולשות ותגובה מהירה למתקפות. "גם חברות קטנות הן יעד", מדגיש נחום. "הן חלק משרשרת האספקה של הגדולות והתוקפים מבינים שקל יותר לחדור לחברה קטנה ודרכה להגיע ללקוח הגדול. לכן, הרגולציה החדשה בעולם ובישראל, כמו תיקון 13 לחוק הפרטיות, מחייבת אותן להגן בסטנדרט הגבוה ביותר על המידע. סייבר זו לא בעיה של צה"ל או של חברות ענק - זה חלק מהחיים של כולנו".
אז מה עושים? "זה משהו שצריך לנהל אותו כל הזמן. זו לא משימה חד-פעמית של 'שגר ושכח'", אומר נחום. "אנחנו דוגלים ב-Defense in Depth - הגנה בשכבות. גם אם עובד טועה, יש מאחורי כמה וכמה בקרות שצריכות למנוע נזק. הגישה מניחה שכל שכבה יכולה להיפרץ, ולכן נדרשות שכבות מקבילות של הגנה".
"עולם הסייבר הוא פרוע. הכל זה כמו ג'ונגל", מסכם נחום. "במלחמה הדיגיטלית הקו בין איום מדינתי לכלכלי מטושטש. המחיר של טעות אחת יכול להיות הרסני - לא רק לחברה, גם לביטחון האישי של העובדים. אנחנו רואים במקרים של פרסום כתובות של בתים של עובדים בתעשיות ביטחוניות בומקרים של תקיפות פיזיות של מחזיקי נכסים קריפטוגרפיים שהסכנה חוצה מהמסך לעולם האמיתי. זה משהו שצריך לקחת בחשבון".
טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו