8 октября, когда в Израиле лишь начинали осознавать масштабы провала спецслужб, приведшего к внезапной атаке ХАМАСа на приграничные кибуцы и города, в сетевом пространстве подала голос неизвестная ранее хакерская группа MalekTeam: "Я Малек. У меня в руках ваша личная информация. Все, кто служит сионистам, под моим контролем", - написали хакеры в первом сообщении, размещенном в популярном приложении для обмена моментальными месседжами. В последующие недели хакеры (которые, по мнению экспертов, работают на иранскую разведку) опубликовали десятки тысяч записей, включая личную информацию, принадлежающую израильтянам.
Наибольший ущерб нанесло обнародование сотен медицинских документов, включая информацию о ранениях солдат ЦАХАЛа в первые дни войны. "У нас более 500 гигабайт информации. Вот лишь несколько примеров – сведения о 20.000 гражданских лиц и 5000 военнослужащих ЦАХАЛа", - написали хакеры, утверждая, что основную часть полученной информации они пока что не опубликовали. "У нас есть файлы о госпитализированных солдатах в последние 10 месяцев", - написали они в другом сообщении. Кроме того, группа взяла на себя ответственность за взлом серверов Академического колледжа в Кирьят-Оно и крупной продюсерской компании.
MalekTeam – отнюдь не единственная группа хакеров, осуществившая кибератаку на Израиль. В отчете Национального управления по кибербезопасности, опубликованном в декабре 2023 года, отмечается, что с 7 октября более 15 хакерских команд, связанных с Ираном, Хизбаллой и ХАМАСом, атаковали израильские сервера. Некоторым из них удалось проникнуть в базы данных, содержащие тысячи файлов с конфиденциальной информацией об израильских гражданах, компаниях, сотрудниках сил безопасности. Эти сведения были распространены в даркнете и на хакерских форумах. Они остаются доступными для каждого, и враг может использовать их в любых целях: начиная от изменения информации о здоровье пациента, ставящего его жизнь под угрозу, и заканчивая кражей идентичности для финансовых афер и актов социальной инженерии.
Участники одной из таких групп - Cyber Toufan, также связанной с Ираном, с 7 октября пытаются нанести ущерб экономике, публикуя данные, украденные у десятков израильских компаний, включая фирмы по кибербезопасности и государственные учреждения.
Базы данных, похищенные Cyber Toufan, содержат тысячи фамилий, телефонных номеров, адресов электронной почты, паролей и домашних адресов. В некоторых случаях хакеры напрямую угрожают тем, чьи данные были украдены, и посылают им сообщения с призывом "бойкотировать израильский хайтек".
Управление по кибербезопасности подтверждает, что Cyber Toufan действовала против израильских целей. При этом пресс-секретарь управления отметила, что вышеупомянутые данные были похищены в результате одиночного взлома хостинговой компании Signature-IT, подчеркнув, что на серверах не хранились номера кредитных карт. Эксперт по кибербезопасности Кевин Бомонт, следивший за Cyber Toufan в течение шести недель, указал на то, что некоторые ее жертвы не были клиентами Signature-IT, а значит, ее действия затронули не только эту компанию. По утверждению Бомонта, треть учреждений, атакованных Cyber Toufan, до сих пор не оправилась от удара и не вернулась к полноценной работе. В ряде случаев взломщики даже стирали внутренние данные. Все это стало возможным, считает он, из-за неготовности Израиля к такого рода атакам.
►Бомба замедленного действия
Кибербезопасность была провозглашена одним из национальных приоритетов еще в 2010 году, когда премьер-министр Биньямин Нетаниягу выступил с инициативой, призванной превратить Израиль в одну из пяти ведущих держав в этой области.
Несколько лет спустя, в 2016-м, Нетаниягу вновь подчеркнул важность этой сферы в статье "Израиль – сверхдержава в сфере кибербезопасности", объяснив, что защита киберпространства – необходимое условие национальной безопасности и экономического процветания в XXI веке. Необходимо научиться оперативно реагировать на самые изощренные действия хакеров и предотвращать крупномасштабные атаки, отметил глава правительства.
Но, несмотря на громкие заявления, как и в случае с забором безопасности на границе с Газой, израильское высокомерие сыграло с нами злую шутку и в том, что касается киберзащиты.
Однако, в отличие от ситуации с Газой, предупреждений об угрозах в этой сфере было более чем достаточно. В конце 2022 года госконтролер опубликовал очередной отчет на эту тему, призвав принять срочные меры. В отчете указывалось, что базы данных израильских больниц почти не защищены, что противоречит имиджу Израиля как сверхдержавы в сфере кибербезопасности.
В мае 2023-го госконтролер опять предостерег в связи с чрезмерной уязвимостью Израиля перед кибератаками, вновь уделив особое внимание медицинским базам данных. Госконтролер выразил удивление, что Национальное управление по кибербезопасности до сих пор функционирует без правовой базы (лишь в силу решения правительства) и не обладает всей полнотой полономочий.
Госконтролер не единственный, кто предупреждал о грозящей опасности. Около года назад доктор Техила Шварц-Альтшулер, эксперт по кибербезопасности, в отчете, опубликованном Израильским институтом демократии, назвала сложившуюся ситуацию "бомбой замедленного действия".
Увы, но все эти предостережения остались без внимания. Хуже того, даже реальные взломы и утечки данных с серверов израильских компаний не повлияли на ситуацию. Как такое могло случиться в государстве, провозгласившем защиту киберпространства одним из национальных приоритетов?
"После взлома серверов больницы "Гилель Яфе" в 2021 году, считающегося одной из самых серьезных кибератак в истории страны, не произошло никаких серьезных изменений, - говорит Рахель Аридор-Гершкович, исследовательница в сфере защиты медицинской информации. - Национальное управление по кибербезопасности ничего не могло сделать, поскольку не обладало соответствующими полномочиями. Минздрав, отвечающий за хранение медицинской информации, заявил, что у него нет денег для усиления кибербезопасности больниц".
Важно отметить, что государство определило 40 объектов "критической инфраструктуры" как наиболее важные с точки зрения киберзащиты. Они получают достаточно средств и персонала. Однако множество учреждений и организаций, включая больницы, остались без надлежащей защиты.
Война в Газе привела к определенным изменениям, однако, как это всегда происходит в Израиле, слишком мало и слишком поздно. Полномочия Национального управления по кибербезопасности были расширены в соответствии с чрезвычайным положением, и теперь оно может "направлять директивы, обязательные к исполнению, поставщикам компьютерного сервиса – в случае кибератак". По мнению экспертов, этого явно недостаточно. И главный вопрос остается открытым: почему мы вообще позволили Ирану столь прочно обосноваться в израильском киберпространстве?
►Сигналы тревоги загорались неоднократно
На примере больницы "Зив" в Цфате можно понять, насколько проблематична ситуация в израильских медучреждениях. База данных больницы была взломана уже после начала войны. Хакерам удалось получить конфиденциальную информацию. Управление по кибербезопасности признало этот факт, обвинив в утечке Иран и Хизбаллу. Руководство больницы утверждает, что оно "усилило защиту с помощью минздрава", однако факт остается фактом.
Больница "Зив", по-видимому, не одинока. По информации, которой располагает проект журналистских расследований "Шомрим", в последние месяцы были атакованы базы данных ряда медицинских учреждений. Среди них больница "Мааней ха-Йешуа" в Бней-Браке, больница "Ха-Эмек" в Афуле, психиатрический диспансер "Эйтаним" под Иерусалимом. Неизвестно, смогли ли хакеры добиться успеха.
Большинство кибератак на больницы в мире сопровождаются требованиями финансового характера (выкупа). Иранские хакеры действуют иначе и предпочитают выкладывать в сеть медицинские карты пациентов, особенно военнослужащих.
Подобные утечки представляют собой большую опасность. Речь не только о вторжении в частную жизнь больных, но и о получении доступа к информации, которую можно использовать во вред пациентам. Если изменить в медицинской карте группу крови, раненый солдат, срочно доставленный в больницу с поля боя, может поплатиться жизнью.
В начале ноября 2023 года отдел кибербезопасности ЦАХАЛа выявил фейковые профили в социальных сетях, созданные ХАМАСом с целью вымогательства у солдат чувствительной информации. Создатели подобных профилей могут использовать конфиденциальную информацию, полученную в результате взломов, чтобы аккаунты выглядели правдоподобно.
►Раскол в израильском обществе играет на руку Ирану
Помимо выявления слабых мест в системе компьютерной защиты и подрыва имиджа Израиля как кибердержавы учтечка информации несет в себе потенциальную угрозу для израильского гражданского общества, а не только для его военных структур. Иранские группы хакеров пользуются политической напряженностью и социальным расколом, царящими в нашем обществе.
В качестве примера можно привести KarmaGroup, хакерский проект, выдающий себя за некую левую израильскую команду хакеров и использующий вредоносную программу Bibi-Wiper. Проект отнюдь не случайно появился 21 октября – в день рождения Нетаниягу – и использовался для получения данных от ряда израильских компаний, включая веб-хостинговые и оборонные.
Чтобы выглядеть, как израильский проект, хакеры используют символику, напоминающую хештеги протестных акций против Нетаниягу: #no2Bibi #no2CrimeMinister. Израильские эксперты по кибербезопасности объясняют, что KarmaGroup атаковала частные израильские компании, чтобы через них пробиться к государственным учреждениям.
Примеры разрушительного эффекта хакерства подобного типа можно обнаружить и в российско-украинской войне. Российские хакеры использовали полученные в результате взлома данные, чтобы подорвать доверие украинцев к своему правительству. "Утечка данных такого рода создает возможности для шпионажа, нанесения ущерба экономической деятельности. Это довольно опасно", - говорит Александр Малинковский, старший исследователь по киберугрозам компании Sentinel Labs.
Перевод: Гай Франкович