Израиль стал чаще подвергаться кибератакам из разряда OPIsrael, которые выявили уязвимость израильской интернет-сети. В Управлении по кибербезопасности считают, что эти атаки не причиняют серьезного ущерба, несмотря на поднимаемый вокруг них шум. Однако специалисты бьют тревогу: российское участие в этих кибератаках должно насторожить, пишет 21 апреля Рафаэль Кахан на портале Ynet.
OpIsrael - это ежегодная скоординированная кибератака, в ходе которой хакеры, называющие себя хактивистами (соединение слов хакер и активист в политическом значении), взламывают сайты правительственных ведомств и даже частные веб-сайты, предоставляющие те или иные услуги населению. Поэтому такие атаки называются DDoS, что расшифровывается как Distributed Denial of Service и переводится как "распределенный отказ в обслуживании", что означает создание перегрузки на сервисе, приводящей к нарушению его работы и невозможности получать услуги.
Первая такая кампания была запущена хакерами Anonymous в 2013 году накануне Дня памяти жертв Холокоста. С тех она предпринимается ежегодно приблизительно в начале апреля.
С начала нынешней серии атак две недели назад хакерам удалось причинить кратковременные сбои в работе множества израильских сайтов – в том числе университетских, банковских, правительственных и частных. К примеру, были атакованы сайты почти всех израильских банков, инфраструктура полива фермерских хозяйств на севере страны, сайты больниц.
Большинство граждан даже не заметили произошедшего, разве что именно в "роковые минуты" пытались попасть на взломанные сайты и получить через них услуги. Большая часть взломов завершалась в течение считанных минут, иногда сайт на некоторое время закрывали или перекрывали доступ к нему из-за границы, где орудуют хакеры. Лишь в крайне редких случаях восстановление после сбоя занимало много времени и усилий, - например, сайт Открытого университета.
Если в первые годы деятельности хактивистов десять лет назад их работа производилась на любительском уровне и не представляла существенной угрозы для профессиональной израильской системы киберзащиты, то с годами хакеры совершенствовались и становились более частыми. Судя по данным компании Cybersixgill, за весь 2019 год атак из разряда OPIsrael было произведено 109, в 2020-м – 230, в 2021-м – 758, в 2022-м – 546 и в 2023-м – уже 944 всего лишь за первые 3 месяца года.
Увеличение количества атак на десятки процентов свидетельствует о растущем интересе иностранных хакеров и хактивистов к израильским объектам. Как рассказал в интервью Ynet Дов Лернер, заведующий исследованиями кибербеопасности в Cybersixgill, в отличие от прошлого опыта, когда атаки совершались анонимными или малоизвестными группами, теперь ситуация изменилась: хакеры теперь работают под эгидой других государств. Можно предположить, что те, кто называет себя Anonymous-Судан или Anonymous-Бангладеш на самом деле не имеет никакого отношениях к этим государствам. Однако за ними стоят гораздо более значимые государственные игроки. Судя по данным работающих в сфере кибербезопасности компаний Check Point, ClearSky и Auren, все признаки свидетельствуют о том, что речь идет о российских хакерах или группах, курируемых Россией.
Также не исключено, что атаки эти предпринимаются при участии иранских хакеров и других иранских источников, занимающихся кибервойной и сотрудничающих с российскими коллегами.
► Три вопроса специалистам
Чтобы разобраться в масштабе нынешней хакерской кампании против Израиля Ynet опросил специалистов в области кибербезопасности из академических кругов, правительственных структур и частных компаний. Им были заданы три вопроса – чем нынешние атаки отличаются от прошлогодних, что означает российское вмешательство и насколько они подрывают статус Израиля как "кибердержавы"?
Мнения разделились: одни не слишком впечатляются угрозой, другие, наоборот, видят в ней нечто большее, чем просто временные сбои на сайтах.
► Чем нынешние атаки отличаются от прошлых?
По мнению Тома Александрочича из Национального управления по кибербезопасности, нынешние атаки не слишком отличаются от предыдущих, потому что в конечном счете опасности измеряется степенью вреда, который атака причиняет. А в этом отношении последние взломы были несущественны и создали, прежде всего, психологический эффект. Однако за образом "массированной атаки на многочисленные израильские сайты" скрывалась довольно жалкая попытка краткосрочного сбоя в работе сайтов.
С этим мнением согласен Лиор Френкель, председатель Форума киберкомпаний в отделе хайтековских компаний при ассоциации промышленников и глава киберкомпании Waterfall.
Разделяет эту версию и глава института по управлению рисками в киберпространстве в колледже Кирьят-Оно – адвокат Адас Бен-Авраам. Она утверждает: "Принято считать, что атаки нынешнего года были существеннее прошлогодних, но я не согласна. Если мы посмотрим на результаты атак, то увидим гораздо менее впечатляющие успехи хакеров. Причины тому две – готовность Израиля к противостоянию таким угрозам и попытка хактивистов использовать новые механизмы искусственного интеллекта, которые пока недостаточно разработаны". Бен-Авраам добавляет, что в нынешних атаках заметно сотрудничество нескольких государств, что привело к увеличению количества попыток, но никак не к улучшению их качества, проявляемого в способности нанести существенный ущерб жизненно важным инфраструктурам страны или хотя бы моральный удар по гражданам.
В противовес этим трем экспертам, глава отдела киберразведки в компании Radware, Рон Миран, считает иначе. По его мнению, в этом году к атакам на Израиль присоединились исламистские организации, доказавшие свою способность к кибердиверсиям в Скандинавии и Австралии. Anonymous-Судан и Anonymous-Бангладеш "являются двумя ведущими командами с продвинутыми возможностями и большим опытом в крупномасштабных атаках".
В компании ClearSky тоже уверены, что ситуация стала опаснее. "Это похоже на российскую помощь Ирану в его борьбе, - сказали там. – Событие значимое, чреватое последствиями для израильского интернета".
Компания признала, что, по ее оценке, возможности средств кибервойны, имеющиеся в руках основных игроков против Израиля, позволяют им нанести гораздо больший ущерб, чем тот, который мы пережили за последние недели.
В Check Point разделяют опасливую позицию и говорят, что на этот раз к атакам подключились новые группы хактивистов, которые атакуют более широкий спектр целей. "Российское вмешательство, да еще и более открытое и публичное, стало из ряда вон выходящим, - пояснили там. - Оно позволяет (хакерам) задействовать более существенные и эффективные средства, чем обычно. А именно – государственные ресурсы и механизмы".
► Что означает российское участие в кибератаках?
В отличие от прежних лет, участие России в кибератаках против израильских сайтов свидетельствует об изменении тенденции. Причина российского вмешательства пока не ясна, но известно, что в некоторых случаях использовалось "стратегическое кибероружие" того же рода, что позволило российским хакерам на длительное время обрушить инфраструктуру интернета в Украине в начале войны или в Эстонии в 2006 году.
Использование подобного стратегического кибероружия происходит не впервые. В марте прошлого года была предпринята серия атак из разряда DDoS на израильские правительственные сайты и сайты компаний связи, и тогда тоже эксперты пришли к выводу об участии "руки Москвы". По их мнению, Израиль был "наказан" русскими за поддержку НАТО и Украины.
"Хакерские группы из России уже длительный период атакуют цели по всему миру и теперь включили в свой список объекты в Израиле. В атаках против Израиля эти российские группы сотрудничают с иранскими структурами", - утверждает Ошер Асор, возглавляющий компанию Auren и служащий советником по кибербезопасности при министерстве обороны.
Эту оценку разделяет и Мули Леви, возглавляющий бригаду аналитиков безопасности в компании Imperva. По его словам, российские хакеры всегда обладали продвинутыми кибервозможностями, но при этом предпочитали скрываться под видом хактивистов или обычных киберпреступников. Однако после начала войны в Украине интенсивность атак против НАТО и целей в Украине многократно увеличилась. "Русским хакерам удобно скрываться под маской политических хактивистов или просто кибермошенников, чтобы атаковать западные объекты, потому что если бы они признали, что действуют официально от имени российского государства, это было бы равнозначно объявлению войны", - пояснили в Израиле.
Уже упомянутая выше адвокат Адас Бен-Авраам согласна, что хакеры, совершившие последние атаки против израильских сайтов, напрямую связаны с Кремлем. "Мы замечаем растущую роль России в этой сфере, - говорит она. – Россия всегда принимала участие, но теперь делает это с большим рвением и интенсивностью. Видимо, причина тому – сочетание политических позиций со стремлением поддерживать баланс устрашения между странами. Связь России с Ираном значительно улучшает способность Ирана наносить ущерб жизненно важной инфраструктуре в Израиле. Но мы были к этому готовы. Более того, к нашему удивлению оказалось, что хакеры не проявили особо впечатляющих технологических возможностей. Хотя понятно, что эта тенденция будет продолжаться и должна обеспокоить службы безопасности Израиля".
► Подорвали ли атаки статус Израиля как кибердержавы?
По мнению Лиора Френкеля, нет, не подорвали, потому что результаты говорят сами за себя – существенного ущерба эти атаки не нанесли.
По мнению Тома Александровича, факт отсутствия значительного ущерба свидетельствует, что израильская система киберзащиты доказала свою состоятельность в подготовке к диверсиям.
Вместе с тем Ошер Асор считает, что правительство и Управление по кибербезопасности недостаточно сотрудничают с неофициальными экспертами из частного сектора, которые могли бы содействовать укреплению киберзащиты на государственном уровне.