ATbar דסק סייבר, ניתוח מגמות | נובמבר 2016

דסק סייבר, ניתוח מגמות | נובמבר 2016

22/10/2016 | by צוות סייבר  

מבוא

הפוטנציאל הטמון במרחב הסייבר, לרבות ברשת האינטרנט, זוהה על ידי ארגוני הטרור כבר לפני למעלה מעשור, אלא שבשנים האחרונות ניכרת עליה משמעותית בהיקף השימוש ברשת האינטרנט וברמת התחכום בה הוא מבוצע. בתחילה פעלו ארגוני הטרור באמצעות אתרי אינטרנט בלבד, בהמשך שולבו באתרים אלו אלמנטים אינטראקטיביים בסיסיים ואילו כיום, באמצעות הרשתות החברתיות והאפליקציות השונות, ארגונים אלו פועלים ברשת במאפיינים אינטראקטיביים מלאים. ארגון דאעש נחשב כפורץ הדרך בעניין זה, שחקן מוביל בקרב ארגוני הטרור בכל הקשור לחדשנות בעולם הסייבר.

המבנה ההיררכי המסורתי  המאפיין ארגוני טרור עובר במהלך השנים האחרונות שינויים דינמיים ובכלל זה בהפעלת מערך פיקוד ושליטה. כך, לצד המערך הארגוני ההיררכי באזורים גיאוגרפיים שבשליטת ארגון, מתעצב מערך רשתי באזורים שמחוץ לטריטוריה זו. המערך הרשתי מתאפשר לנוכח השימוש הגובר במרחב האינטרנט והנגישות מכל מקום לכל מקום.

פעילות הטרור בעולם הסייבר מתבצעת בשלושה מכלולים עיקריים:

המכלול התפעולי מהווה את הנדבך העיקרי בו עושים ארגוני הטרור שימוש כמעט לכל דבר ועניין, לרבות לתקשורת, תעמולה, לוחמה פסיכולוגית, גיוס והכשרת כוח אדם, איסוף מודיעין, שיתוף מידע ומימון. אחת המגמות הבולטות בהקשר זה היא השימוש במגוון רחב של פלטפורמות (רשתות חברתיות, אפליקציות, פורומים וכד') תוך ניצול מושכל של היתרון היחסי הגלום בכל פלטפורמה ופניה לקהלי יעד ספציפיים. בעניין זה, ניכר שימוש גובר בתוכנות מדף, תוך ירידה בהיקף פיתוח אפליקציות עצמאיות. כמו כן, נכרת עליה משמעותית באיכות התוצרים השונים של ארגוני הטרור מבחינה ויזואלית ובהתאמת התכנים והנראות לקהלי היעד השונים.

המכלול ההתקפי נועד לשרת את תחומי המכלול התפעולי, כגון תעמולה ולוחמה פסיכולוגית (השחתת אתרים, פריצה, פרסום רשימות חיסול וכדומה). שחקני הטרור אינם מחזיקים עדיין ביכולות התקפיות עצמאיות מתקדמות, אם כי אלו ניתנות לרכישה ברשת וכן עשויות להתקבל ממדינות תומכות טרור (כמו במקרה של איראן וחיזבאללה). כמו כן, נכרת עלייה בפעילות האקרים חיצוניים התומכים בטרור וכן בגיוסם של האקרים לשורות ארגוני הטרור.

המכלול ההגנתי נועד לשמור על אנונימיות המשתמשים ועל אבטחת המידע. ארגוני הטרור מפרסמים מדריכים לשימוש בטוח ואנונימי ולאבטחת המידע וכמו כן הפעילים מונחים להעתיק פעילות ל'רשת האפלה'. בנוסף, קיים שימוש גובר והולך באפליקציות מוצפנות כגון טלגרם.

מגמות במכלול התפעולי (Operational)

תעמולה

זיהוי הפוטנציאל הטמון ברשת האינטרנט ככלי להפצת מסרים, בד בבד עם בקיאות בטכנולוגיה מתקדמת, בתוכנות, באתרים וברשתות חברתיות, משפרים את אפקטיביות התעמולה של ארגוני הטרור בכלל ושל דאעש בפרט. אסטרטגיית התעמולה של ארגוני הטרור עברה בעשור האחרון תמורות משמעותיות הנובעות משני תהליכים מרכזיים. ראשית, התפתחות טכנולוגית אשר גרמה להתפתחותן של פלטפורמות חדשות במרחב הסייבר ולהסטת השימוש המסורתי מאתרי אינטרנט ופורומים, לעבר הרשתות חברתיות. שנית, הופעת שחקנים חדשים, בדגש על דאעש, הגבירה את היקפי השימוש במרחב הסייבר.

ארגון דאעש מפגין יכולות מרשימות בשימוש בפלטפורמות האינטרנט השונות ובניהול אסטרטגיית תעמולה מתקדמת וחדשנית ברשתות החברתיות.. בשנה הראשונה לקיומו, התמקדו מסרי הארגון בקריאה ל"היג'רה" וג'יהאד בסוריה ועיראק, בעוד שבהמשך, בתחילת שנת 2015, כשגבר הצורך להתמודד עם תקיפות הקואליציה, השיח התעמולתי החל להתמקד ב"אויב הרחוק" ובעידוד פעולות של "זאבים בודדים" ומתקפות סייבר כנגד המערב.

ארגון אל-קאעידה לעומת זאת המשיך לפעול בפורומים ובאתרי האינטרנט, אם כי מקומו אינו נפקד לחלוטין מהרשתות החברתיות. מסרי התעמולה של הארגון עוסקים ב"אוייב הרחוק" וב"אויב הקרוב", בשימור הקשר בין זירות הג'יהאד השונות "לאל-קאעידה מרכז", בצורך באחדות המוג'הדין וכן בביקורת מתגברת נגד הכרזת הח'ליפות האסלאמית .

התחרות בין דאעש לאל-קאעידה באה לידי ביטוי גם במאבק תעמולתי הכולל בין היתר "מלחמות האשטאגים" ופרסומים בנושאים אידאולוגיים. תומכי אל-קאעידה מאשימים את דאעש בהקמת ח'ליפות אסלאמית בחטא, ברצח מוסלמים חפים מפשע, בהתנהלות שלא על דרך השריעה וסטייה מעקרונות דת האסלאם. תומכי דאעש לעומתם מאשימים את ארגון אל-קאעידה בסטייה מדרכו של השיח' אוסאמה בן לאדן וכארגון שמיצה עצמו ועוסק בהישרדות ובאינטרסים צרים של מנהיגיו.

בשנים 2015-2016 השקיעו ארגוני הג'יהאד הגלובלי, בדגש על דאעש, מאמץ ארגוני מיוחד להוביל ולתמוך בפיגועים במערב, ובכלל  זה במהלך הפיגוע וגם לאחריו. כך למשל, פיגועי פריס בחודש ינואר 2015 (תקיפת מערכת העיתון שרלי הבדו, היפר כשר וירי לעבר שוטרת), זכו להד תקשורתי נרחב וחוללו פאניקה בדעת הקהל הצרפתית. פעילי אל-קאעידה ודאעש ניהלו מלחמה פסיכולוגית באמצעות הרשתות החברתיות, בעיקר טוויטר, על מנת לקבע את הפיגועים בתודעת הציבור המערבי, במיוחד הצרפתי, וכדי לזרוע תחושת אי ביטחון ופחד מפני פיגועים נוספים בצרפת. פעילות זו כללה העלאת סרטונים, מאמרים, ופתיחת תגיות (האשטאגים) שונים, דוגמת האשטאג בשם "מסר לצרפת" (אל-רסאלה אלא פרנסא), ובהם מסר מאיים להמשך גל הפיגועים על אדמת צרפת וקריאה לחקותם גם במדינות מערביות אחרות. פרסום ועדכון אירועי טרור ברשתות החברתיות בשידור חי בעת התרחשותם, לרבות שימוש בפלטפורמת השידורים החיים של פייסבוק ועדכונים ברשת הטוויטר,  העצימו  את אפקט החרדה של הציבור ומכאן גם את השפעות הפיגוע הרבה מעבר לזירת התרחשותו הפיזית.

המגמות שאותרו בשנים האחרונות בתחום התעמולה מצביעות על מינוף עוצמת תוצאות פיגועי הטרור באמצעות "שידור חי" תוך כדי ביצועם, או מיד לאחריהם. מינוף זה המתבצע על גבי מגוון רחב של פלטפורמות ותוך התאמת המסרים לקהלי היעד השונים, מהווה "מכפיל כוח" משמעותי של ארגוני הטרור. מסרי התעמולה הממוקדים משפרים במידה רבה את יכולות ארגוני הטרור לייצר פיגועים נוספים באמצעות "זאבים בודדים" הממוקמים ממילא בקרב אוכלוסיית היעד לפיגועי הטרור.

גיוס והכשרת כוח אדם

בניגוד לעבר בו תהליכי המוביליזציה, גיוס כוח האדם וההכשרה התקיימו בעיקר בעולם הפיזי, הרי שכיום האינטרנט הפך לזירה עיקרית ואנונימית בה מתבצעות פעילויות אלה[1]. למעשה, ההתקדמות הטכנולוגית אפשרה לארגוני הטרור חופש פעולה בתחום הגיוס באמצעות קשר אנונימי בין המגויס לארגוני טרור באמצעות האינטרנט, ללא קשר למיקומם הגיאוגרפי או מעמדם[2]. ההשקעה בגיוס כוח אדם באמצעות האינטרנט התגברה בין השאר לנוכח הצורך לייבא "לוחמים זרים" לזירת הג'יהאד בסוריה בעיראק ובמקומות נוספים. הדבר נעשה באמצעות הפצת מסרים בפלטפורמות האינטרנטיות השונות, ישירות ו/או באמצעות סוכני משנה (פעילי הארגון ותומכיו), במטרה למקסם את פוטנציאל הגיוס ((Many to Many. לצד זה, ארגוני הטרור משקיעים לאחרונה בהתאמת תכני הגיוס לקהל יעד מסוים ((Narrow Casting, כגון דוברי שפות מסוימות או בעלי מקצועות מסוימים[3]. כך למשל, קמפיינים לגיוס ילדים הכוללים משחקי מחשב, פרסומי קומיקס[4]קמפיינים לגיוס האקרים, מעצבי אתרים ומפתחים המותאמים לאוכלוסייה יחודית זו[5].

ארגון דאעש מינף את הפלטפורמות הטכנולוגיות הקיימות יותר מכל ארגון טרור אחר, כאשר אחת מ"ספינות הדגל" הבולטות בנושא זה באה לידי ביטוי במיזם הקרוי "נאשר" (מפרסם), האמון על תרגום חומרים רשמיים של הארגון לשפות שונות והפצתם בערוצי טלגרם. התאמת המסר לקהל היעד אינה בתחום גיוס כוח אדם בלבד, אלא מתקיימת גם בפורמט של יצירת קהילות וירטואליות ייעודיות עבור זאבים בודדים ברשתות החברתיות דוגמת פייסבוק וטלגרם[6].

ההתפתחות הטכנולוגית גרמה להרחבת השימוש של ארגוני הג'יהאד באפליקציות תקשורת מתקדמות (לרוב מוצפנות) בשלבים מתקדמים של תהליך הגיוס, כגון טלגרם, סקייפ, ווטסאפ וקיק.

המגמות שאותרו בשנים האחרונות בתחום גיוס כוח האדם הושפעו במידה רבה מההתפתחויות הטכנולוגיות ואימוצן על ידי ארגוני הטרור. התפתחויות אלו מצביעות על התמקצעות והגברת יכולות לאיתור בעלי מקצועות נדרשים, לבחינת איכות כוח האדם ובהיקפי הגיוס בכלל, במיוחד בקרב מועמדים פוטנציאליים במדינות המערב. פעילות הגיוס ברשת האינטרנט מקטינה את הסיכון שבחשיפת המגייסים והמגויסים כאחד.    

איסוף מודיעין ושיתוף מידע

איסוף מודיעין באמצעות האינטרנט אינו מייחד את ארגוני הטרור אבל בהיעדר יכולות איסוף מדינתיות הופך תחום זה למשמעותי ביותר. אחד הכלים המתפתחים בתקופה האחרונה בתחום איסוף המודיעין הנו מידענות. ארגוני הטרור משקיעים מאמצים להנחיל ידע בתחום זה ולהנגיש כלים למטרות איסוף מודיעין למעגל רחב ככל האפשר של פעילים.

ארגוני הטרור מנהלים את הידע הנצבר בזירות שונות, מפיקים לקחים מפעולות קודמות ומשתפים  בממצאים באמצעות הפלטפורמות הארגוניות והרשתות החברתיות. ידע זה משמש מתכנני פיגועים אחרים, בין אם הם זאבים בודדים או פועלים תחת מערכת שליטה ופיקוד זירתיים. בשנים 2015-2016 חל גידול בשיתוף מידע מקצועי טכנולוגי הדרוש למגוון השימושים באינטרנט, התפעוליים, ההגנתי וההתקפי.

מגמה מתפתחת נוספת הינה פרסום מדריכים בנושא שיטות פעולה (מודוס אופרנדי). הבולטים מבין המדריכים הינם: דרכי "הגירה" לזירות לחימה; הוראות להכנת חומרי נפץ ואמצעי לחימה שונים ופירוט שיטות פעולה מסוימות בדגש על זה של זאבים בודדים, כמו "דרכים לבצע התנקשות".

מגמות אלו משפרות משמעותית את היכולת המבצעית של ארגוני הטרור בעולם הפיסי, במיוחד באזורים בהם אין למתכנני הפיגועים נוכחות פיסית, בד בבד עם הקטנת פוטנציאל החשיפה במהלך ביצוע סיורי שטח לאיסוף מידע.    

מימון טרור

תחום מימון הטרור עבר שינוי משמעותי במקביל להתפתחות הטכנולוגית, במרכיבי גיוס הכספים ובדרכי העברתם. המגמות שהוצגו לעיל באו לידי ביטוי גם, ואולי אף ביתר שאת, בעולם מימון הטרור.

רשת האינטרנט אפשרה הלכה למעשה פעילות של גיוס כספים והעברתם מכל מקום לכל מקום בעולם. בכך היא  הרחיבה את מעגל מגייסי הכספים וכן באמצעותם ו/ או ישירות את קהל היעד הפוטנציאלי לגיוס הון. המבנה הארגוני הרשתי אפשר גם גיוס עצמאי של כספים על ידי תאי טרור ולוחמים זרים בדרכם לזירות הלחימה, דבר שייתר את הצורך במציאת דרכים להעברת כסף ממדינה למדינה.

האינטרנט מהווה זירה מועדפת לגיוס כספים גם בשל תחושת הביטחון המוקנית לתורם הנוטה להאמין כי זהותו נותרת אנונימית, גם אם הדבר אינו תואם את המציאות. תחושת האנונימיות מקבלת משנה תוקף כאשר תורמים פוטנציאליים מופנים מפלטפורמות חברתיות לאפליקציות מוצפנות.

אחת משיטות המימון הקיימות כיום, שיתכן ועשויה להשפיע על גידול בנכונות תורמים להעביר כספים לארגוני טרור הוא עולם המטבעות הדיגיטליים וכרטיסי פרי-פייד (Pre-paid) המהווה מעין "אזור מאובטח" המאפשר אנונימיות לתורם ולמקבל. כיום אין מספיק מידע לאשש או לסתור את רמת החשיפה  והאנונימיות של שיטת מימון זו.

המבנה הרשתי של האינטרנט תרם משמעותית לפוטנציאל היקף הגיוס הכספי, כמו תחושת האנונימיות המהווה חלק ממאפייני האינטרנט. האפליקציות המוצפנות, בהן נעשה שימוש בשלבים מאוחרים יותר של גיוס הממון יוצרות אנונימיות הלכה למעשה ופוגעות ביכולות המודיעיניות של המבקשים לעקוב אחר מקורות ודרכי המימון. השינויים הטכנולוגיים הפחיתו את הצורך בהעברת כספים פיזית ובערוצים הקלאסיים המפוקחים ובמקומן צמחו אמצעים חדשים דוגמת המטבעות דיגיטליים וכרטיסי פרי-פייד, העברות בפלטפורמות מוצפנות וכו'.   

השימוש בתוכנות מדף

בשנתיים האחרונות חלה עלייה בשימוש בתוכנות ''מדף'' (תוכנות שפותחו על ידי גופים מסחריים והניתנות לרכישה או להורדה מהאינטרנט), על פני השקעת מאמצים בפיתוח תוכנות באופן עצמאי או התאמתן לפעילות ארגון הטרור ותומכיו. כמו כן, קיים שימוש גובר בשירותי ענן כמוצר מדף, לצרכי אחסון תוכן. תוכנות המדף נחשבות לרוב כמוצר איכותי, נוכח המשאבים הרבים המושקעים בפיתוחן באמצעות חברות מסחריות, מה שלא בהכרח קיים בארגוני טרור.

נראה כי ההחלטה באילו מבין תוכנות המדף לעשות שימוש מבוססת בין השאר על ניתוח היתרונות הגלומים בכל פלטפורמה או אפליקציה, רמת האבטחה, לרבות השמירה על אנונימיות המשתמש וההצפנה, לצד הנוחות והיעילות שבשימוש. כך למשל, אחת המגמות הבולטות שזוהתה במהלך השנה החולפת, הינה המעבר משימוש נרחב ברשתות חברתיות כגון פייסבוק וטוויטר לאפליקציות מוצפנות (בדגש על טלגרם[7]) המאפשרות שמירה מוגברת על פרטיות ואנונימיות.

יש לציין כי בעבר בוצעו ניסיונות שימוש בתוכנות הצפנה עצמאיות מותאמות אישית, אשר הצריכו את המשתמשים לנהל רישום של מפתחות הצפנה. ארגוני הטרור אף ניסו להטמיע פלטפורמות עצמאיות בניהולן, הכוללות אפליקציות תקשורת ורשתות חברתיות (אם כי ללא הצלחה משמעותית). בארגון דאעש לדוגמא מבוצע פיתוח עצמאי של אפליקציות ותוכנות להפצה בין הפעילים, בהן אפליקציה בשם AMAQ למכשירי אנדרואיד, המרכזת חדשות על פעילות דאעש.

ארגוני הטרור, מעצם היותם ארגונים לומדים וחדשניים ולאחר כישלונות ביצור עצמאי של תוכנות ואפליקציות, השכילו להבין את העדיפות שבשימוש בתוכנות ושרותי מדף. הדבר משפר את התנהלותם של ארגוני הטרור בכלל ואת השמירה על אנונימיות המשתמש ואבטחת המידע בפרט.   

מגמות במרחב ההגנתי (Defensive)

מדריכים לאבטחת מידע ואנונימיות

בשנתיים האחרונות גובר הלחץ הציבורי והמדיני על שחקנים מובילים ברשת האינטרנט (ענקיות אינטרנט דוגמת פייסבוק, גוגל ומיקרוסופט) להגביר את הפיקוח על התכנים המופצים באמצעותם. במקביל חלה עלייה בפעילות עצמאית כגון זו של 'אנונימוס' להפלת אתרים, פורומים וחשבונות המזוהים עם ארגוני הטרור. לנוכח פעילות זו משקיעים גורמי הטרור מאמצים גדלים והולכים להגברת האנונימיות ולאבטחת חשבונות ואתרים המזוהים עמם. אחת הפעולות הננקטות בהקשר זה הינה הפצה שיטתית של מדריכים וכללי הגנה לשמירה על אנונימיות המשתמש ולאבטחת מידע בעת השימוש באפליקציות ובתוכנות ברשת האינטרנט וכן בהקשר למידע המאוחסן בציוד הקצה (שרתים, מחשבים, מכשירים סלולריים וכד'). דגש נרחב מושם בתחום זה  על שימוש באפליקציות ותוכנות ב"רשת האפלה".

פעילות ב"רשת האפלה"

במהלך השנים האחרונות חלה עלייה מתמדת בשימוש שעושים ארגוני הטרור ב'רשת האפלה', כחלק מהמגמה להגברת רמת אבטחת המידע ואנונימיות. כך למשל, במהלך שנת 2015 אותרו מספר חשבונות טוויטר המיוחסים ל-Cyber Khilafah אשר הפיצו קישור לאתר אינטרנט הפועל ב'רשת האפלה' באמצעות פרוטוקול שירותים נסתרים (Hidden Service Protocol) של TOR, המאפשר אנונימיות לבעל האתר ולמשתמש הגולש אליו. כמו כן, קיימת עלייה בניסיונות להפעיל אתרי אינטרנט ואתרי מראה (אתרים זהים בתוכנם) ב'רשת האפלה', מתוך כוונה להגביר את האבטחה על האתרים אשר נפרצים ומוסרים מהרשת על ידי פעילי 'אנונימוס' ואקטיביסטים נוספים.

צילומי מסך מטוויטר של Cyber Khilafah הכולל כתובת לאתר ברשת האפלה באמצעות TOR 

צילומי מסך מטוויטר של Cyber Khilafah הכולל כתובת לאתר ברשת האפלה באמצעות TOR

הגברת אבטחת המידע והאנונימיות של המשתמש, במקביל להיענות החלקית בלבד של השחקנים המובילים במרחב האינטרנט לשתף פעולה לניטור והסרת תכנים הקשורים בטרור, מותירה את הבמה לפעילות ענפה של ארגוני הטרור ומערימה קשיים על סוכנויות הביטחון.

מגמות במרחב ההתקפי (Offensive)

שיתוף פעולה בין פשיעה וטרור

הקשר שבין עולם הפשיעה הווירטואלי לבין ארגוני הג'יהאד הגלובלי נותר בעינו במהלך השנתיים האחרונות. יחד עם זאת, קיומו של קשר מסוג זה בעולם הפיסי לצד זמינותם של כלים ויכולות סייבר התקפיות ברמה גבוהה יחסית ובמחירים סבירים בידי ארגוני הפשיעה, עשויים להקנות לארגוני טרור יכולות תקיפה הרבה מעבר ליכולתם העצמאית הנוכחית. לאחרונה (2016) נחשף כי פעילי דאעש שהיו מעורבים בפיגוע על אדמת אירופה רכשו נשק דרך אתר ב'רשת האפלה'.

יש להניח כי ארגוני טרור עוקבים אחר תקיפות סייבר המבוצעות על ידי ארגוני פשיעה, רוכשים ידע ומפיקים לקחים. ארגונים אלו עשויים לאמץ בעתיד דפוס תקיפה דומה או להתממשק עם ארגוני פשיעה, בדרך של פעילות משותפת או על ידי שכירתם כ"קבלני משנה".

אינדיקציה לפעילות הגוברת בממשק זה יכולה להיות הגידול בהצטרפות האקרים תומכי ארגוני טרור למאמץ ההתקפי במרחב האינטרנט, דבר שבא לידי ביטוי גם בעליה בכמות התקיפות. חלק מההאקרים המובילים אשר פעלו בעבר תחת שמות שונים, הצטרפו לארגון דאעש והחלו לפעול בשמו ולמען קידום רעיונותיו. למרות העלייה בכמות התקיפות, איכותן אינה מגיעה עדיין כדי יכולת פגיעה משמעותית בתשתיות קריטיות. עם זאת, קיימים שיתופי פעולה של פעילי דאעש עם האקרים ידועים וניסיונות לגיוס שכירי חרב בעבור תשלום.

באפריל 2016 התאחדו ארבע קבוצות האקרים תומכי דאעש Ghost Caliphate (Section, Sons Caliphate Army, Caliphate Cyber Army ו-Kalachnikv E-security Team) והחלו לפעול יחדיו תחת מבנה מסודר בשם United Cyber Caliphate. למרות הקושי לאמוד את מספר ההאקרים הכולל בהתארגנות זו, סביר כי פוטנציאל הנזק של הקבוצה המאוחדת גבוה יותר מתת הקבוצות המרכיבות אותה[8]. דאעש פעיל גם בזירת "מלחמות הספאם", במסגרתה הוא השיק קמפיינים התקפיים בהם פעילי הארגון דיווחו לטוויטר על מתנגדיו כמשתמשים "עוינים" המפיצים הודעות ספאם ובכך גרמו להסרת חשבונותיהם מרשת הטוויטר.

הממשק של גופי הטרור עם עולם הפשע עשוי לקדם את יכולתם ההתקפית בטווח הזמן המידי. סביר להניח כי איחוד הכוחות של האקרים תומכי דאעש שיפר את יכולות הארגון, אם כי יש קושי לקבוע באיזו מידה, והאם רמת המסוכנות של הקבוצה המאוחדת גבוהה משמעותית  מזו של קבוצות הסייבר האחרות של ארגוני הג'יהאד הגלובלי. 

פגיעה בתשתיות קריטיות

לארגוני הטרור עניין מיוחד בפגיעה בתשתיות קריטיות של מדינות ובכלל זה בכאלו המפעילות מערכי סקאדה (SCADA). אין המדובר בתופעה חדשה. במחשבים אשר שימשו את אנשי אל-קאעדה באפגניסטן התגלה מידע על מערכות סקאדה, בעיקר כאלו המפעילות סכרים, יתכן כחלק מתכנון מגה-פיגוע בסכר הובר, במטרה להציף את המרחב ולפגוע ביכולת ייצור החשמל בתחנת הכוח ההידרואלקטרית המצויה בתחתיתו של הסכר. לאור זאת  יש לקחת בחשבון כי גורמי דאעש הנחשפים באופן בלתי אמצעי למערכות הקשורות הפעלתן של תשתיות הפקת נפט בעיראק ינצלו את הידע המצוי ברשותם, במטרה לנסות לתקוף תשתיות דומות.

פריצה לאתרים וחשבונות

הפעילות ההתקפית של הטרור בעולם הסייבר כוללת פריצה לאתרים הנתפשים בעיניהם כ"מטרות איכות" דוגמת אלו של גופים ממשלתיים, סוכנויות ביטחון וצבא, ערוצי חדשות וחברות עסקיות, בצד אתרים  "זניחים" כגון גופים ועסקים קטנים. פריצות אלו מבוצעות לשרתים, מחשבים אישיים, חשבונות ברשתות חברתיות, מכשירים סלולריים וכדומה.

ברוב המכריע של המקרים הפריצה נועדה לשרת מטרה רחבה יותר. כך למשל, פריצה יכולה לכלול השתלת סוס טרויאני, לצורך גניבת מידע מחשבונות ברשתות חברתיות, מאגרי נתונים בשרתים, או לשם איסוף מודיעין לקראת תקיפת סייבר, או תקיפה בעולם הפיסי (מודיעין לפני מבצע ומודיעין סיכולי, כגון רשימות חיסול). ארגוני הטרור חיזבאללה וחמאס, פועלים לאיסוף מידע באמצעות הפצת נוזקות כגון סוס טרויאני לצד פעולות מידענות מתקדמות.

ישנם מקרים בהם הפריצה עשויה לשמש לצורכי תעמולה, בין אם בדרך של השחתת אתרים או פרסום חומרי תעמולה בחשבונות משתמשים ברשתות החברתיות שנפרצו. מסרים אלו כוללים בין היתר הדגשת  יכולות תקיפות סייבר של הארגון התוקף, שיגור איום על כוונות תקיפות עתידיות (סייבר או פיזיות), או הדלפת מידע.

 צילום מסך של עמוד פייסבוק של חברת התעופה הקוריאנית   Air Koryo שנפרץ על ידי CyberCaliphate

צילום מסך של עמוד פייסבוק של חברת התעופה הקוריאנית   Air Koryo שנפרץ על ידי CyberCaliphate

צילום מסך מחשבון הטוויטר של חברת החדשות Newsweek לאחר שנפרץ ובו  איום על אשת נשיא ארה"ב
צילום מסך מחשבון הטוויטר של חברת החדשות Newsweek לאחר שנפרץ ובו  איום על אשת נשיא ארה"ב 

השחתת אתרים (Defacement)

החל משנת 2015 אותרה עלייה בכמות התקיפות מסוג השחתת אתרים. עלייה זו אותרה בעיקר בקרב פעילי ותומכי דאעש, אך ניצניה ניכרים גם בקרב פעילים תומכי אל-קאעידה. יש לציין כי הרמה הטכנולוגית הדרושה לביצוע תקיפה מסוג זה אינה גבוהה במיוחד וכי הנזק הנוצר הינו בעיקר תדמיתי.

ניתוח מאפייני התקיפות מצביע על כי במרבית המקרים המדובר בתקיפת אתרי אינטרנט שנבנו באמצעות מערכות "קוד פתוח", למשל WordPress, תוך ניצול פרצת אבטחה ידועה שטרם טופלה. על פי נתוני אתר Zone-h, המתעד פעולות השחתת אתרים, מעל ל-7,500 אתרים דיווחו כי נפרצו על ידי  IslamicState כך שסביר להניח כי קיימים אתרים נוספים אשר תקיפתם לא דווחה ואשר תויגו תחת אותו כינוי.

צילום מסך מתקיפת אתר אינטרנט ממשלתי אמריקאי 

צילום מסך מתקיפת אתר אינטרנט ממשלתי אמריקאי[9]

השחתת אתרים נחשבת לחלק מהתעמולה והלוחמה הפסיכולוגית שמנהלים ארגוני הטרור נגד המערב. פעילות זו מהווה חלק בלתי נפרד מהמאמצים שמקדישים ארגוני הטרור בכלל ודאעש בפרט לתקיפה פיסית של יעדים במדינות אלו.  

מתקפות מסוג מניעת שירות מבוזרת (DDoS)

השימוש בכלים ושיטות לביצוע תקיפות מסוג מניעת שירות מבוזרת נמשך כבעבר וללא שינוי משמעותי. יחד עם זאת, נראה כי קיימת עלייה בהיקף התקיפות הכוללות תיאום רב משתתפים, כמו במסגרת תקיפות מניעת שירות המבוצעות במסגרת מבצעי OpIsrael השמים להם למטרה שרתים ממשלתיים וציבוריים בישראל. יש לציין כי אין אינדיקציה ברורה לפיה ארגוני הג'יהאד העולמי מעורבים בתקיפות אלו.

רשימות חיסול

במהלך שנת 2015 החלו פעילי דאעש בפרסום רשימות של אישים תחת השם "רשימות חיסול", כולל קריאה ל"זאבים בודדים" לתקוף ולפגוע באישים המופיעים ברשימה. בתחילה פורסמו רשימות בנות עשרות או מאות שמות של אנשי צבא וכוחות ביטחון. לאחרונה מופצות רשימות גדולות יותר המונות עד אלפי שמות, לרבות אזרחים. יצוין כי חלק מהרשימות הושגו בפריצה למאגרי מידע (עצמאית או באמצעות רכישה / קבלה מגורם שלישי), בעוד חלקן האחר הושג באמצעות עבודת מידענות, בין אם איסוף נקודתי של פרטי אנשים מרשתות חברתיות, או בדרך של איתור מאגרי מידע קיימים ברשת.

בתחילה פורסמו רשימות החיסול במטרה להציג יכולות סייבר התקפיות ולמצב את ארגון דאעש כשחקן מוביל בזירת הסייבר (למרות שבפועל חלק נכבד מהרשימות שהודלפו לא הושגו באמצעות פריצה, אלא באמצעות פעולות מידענות). לאחרונה משמשות רשימות אלו גם במטרה להניע מפגעים בודדים ליטול יוזמה ולפגוע באנשים המופיעים ברשימות. בשלב זה נראה כי תופעת "רשימות החיסול" לא הצליחה ליצור פאניקה בקרב הציבור ואינה מהווה איום ממשי על חיי אדם. יחד עם זאת, יש להניח כי לדבר השפעה, לפחות בקרב אותם אנשים המופיעים ברשימות עצמן.[10]

רשימות החיסול מהוות נדבך נוסף במלחמה הפסיכולוגית שמנהל ארגון דאעש כנגד המערב. לאחרונה ישנו מאמץ לעודד "זאבים בודדים" לבצע תקיפות של ממש כנגד אנשים המופיעים ברשימות הללו בעולם הפיסי.

מימון טרור באמצעות תקיפה   

במהלך השנים 2015-2016 התרחב השימוש בנוזקות מסוג כופרות (Ransomware). נוזוקת אלו שתקפו מאות אלפי משתמשים ברחבי העולם פועלות בצורה של מניעת גישה לשירותים או למחשב, או שהן מצפינות מידע ודורשות תשלום כופר על מנת לפתוח את הקבצים בחזרה. הצלחת דפוס פעולה זה עודדה פיתוח נוזקות כופר למגוון רחב של מחשבים, מכשירים סלולריים ומערכות הפעלה ובכלל זה: חלונות, לינוקס, OsX (אפל) ומערכת הפעלה אנדרואיד המשמשת להפעלת מכשירים סלולריים.

בשלב זה אין בידינו אינדיקציות המצביעות על שימוש ארגוני הטרור בכופרות להשגת מימון לפעולות הטרור. עם זאת, לא מן הנמנע כי השימוש הנרחב בנוזקות אלו וחשיפתן במדיה התקשורתית עשוי לעודד את ארגוני הטרור לאימוץ בכלים אלו.

מגמות בהתמודדות עם סייבר-טרור

בשנים האחרונות משתרשת ההבנה בקרב מדינות רבות כי קיים צורך ממשי בהקמת יחידות ייעודיות להתמודדות עם איומי הסייבר, לרבות אלו הקשורים בטרור. כמו כן, מתחדדת ההבנה כי עולם הסייבר אינו מותיר מקום רב להתמודדות עצמאית של כוחות הביטחון בלחימה בטרור, בשל היעדר הגבולות הגיאוגרפיים בעולם זה, עומס התעבורה בו וקצב ההתפתחות הטכנולוגית. כך למשל, גל הפיגועים האחרון באירופה הדגיש בפני מדינות היבשת את הצורך הגובר בהתמודדות עם מרחב הסייבר. הנושא נדון באיחוד האירופי במסגרתו נבחנה הגברת שיתוף הפעולה בין המדינות בלוחמה בסייבר טרור ובכלל זה פיקוח על מימון טרור באמצעים אלקטרוניים אנונימיים כגון הביטקוין וכן ניטור פעילויות בלתי חוקיות נוספות ברשת.[11]

הצורך בשיתופי פעולה אינו מוגבל לשחקנים המדינתיים בזירה הגלובלית וכולל גם שחקנים על מדינתיים דוגמת ענקיות הרשת גוגל ופייסבוק, בעלות יתרונות טכנולוגיים ספציפיים משמעותיים בשל נגישותן למערכות הטכנולוגיות ולמשתמשים. המאמצים הנזכרים לעיל נתקלים בדרך כלל בניגוד האינטרסים המובנה שבין הממשלות וגופי הביטחון הפועלים לשמירה על ביטחון הציבור, לבין הגופים העסקיים השואפים למקסום רווחים. רגולציות מגוונות המוצעות חדשות לבקרים על ידי גורמי חקיקה במדינות השונות נתקלות גם הן בחומה בצורה של היעדר סמכות טריטוריאלית לגבי ענקיות הרשת הפועלות ממקומות שונים ברחבי העולם וכן בלחץ ציבורי המביע חשש בפני מיסוד ורגולציה של רשת האינטרנט ואובדן זכויות וחופש הפרט.

פעילות המדינות אל מול גופים עסקיים זוכה לעדנה מסוימת, במיוחד כאשר המדובר בהגנה מפני תקיפת "תשתיות קריטיות", אך גם של גופים עסקיים גדולים, מתוך מגמה לעודד גופים אלו לפעילות ביטחון סייבר עצמאית, בתמיכת ועידוד המדינה.

פעילותם המסיבית של ארגוני הטרור במרחב הסייבר, בצד היעדר כמעט מוחלט של חקיקה לאומית ובינלאומית בתחום זה, יצרו ואקום אליו נכנסו שחקנים פרטיים (אזרחים וגופים עסקיים) שנפגעו מהפעילות במרחב הסייבר, הם מגישים תביעות נזיקין אזרחיות כנגד "שחקנים" מובילים בעולם זה בטענה שיש להם אחריות לגבי התכנים המפורסמים באמצעות הפלטפורמה שלהם.

לצד יוזמות אזרחיות אלו, צמחו יזומות נוספות כגון "תעמולת הנגד" שמטרתה לחתור תחת המסרים והנרטיבים אותם מפיצים ארגוני הג'יהאד באינטרנט. חלק מהמאמצים הללו עוסקים בפיתוח תעמולת נגד אותם פרסומים רדיקליים וחלקם אף מייצרים תכנים עם מסרים אלטרנטיביים[12]. דוגמה לפרויקט מסוג זה, בשיתוף עם רשת פייסבוק, (נקרא Counter-Speech) הינה הצפת עמודים של מסיתים, ארגוני טרור ופעילי ימין רדיקליים[13]. מגמה נוספת הנמצאת כיום בשלבי מימוש שונים הנה עידוד גופים מוסלמיים לא ממשלתיים לקחת חלק "בתעמולת נגד הסתה" כנגד ארגון דאעש[14]. מטרת מאמץ זה הינה להביא לחזית המאבק דווקא את ההנהגה המוסלמית המתונה, זאת על מנת לכרסם בתמיכה בארגוני הג'יהאד העולמי באותם נרטיבים, אך עם פרשנות שונה. על אף המאמצים שנעשים בערוץ זה, יעילות "תעמולת הנגד", עומדת בסימן שאלה. זאת בנוסף לכך שהיא למעשה מציעה פתרון מצומצם לבעיה רחבה יותר, שכן ארגוני הטרור עושים שימוש באינטרנט לשם ביצוע פעילויות בלתי חוקיות נוספות מלבד הסתה.

התמודדות עם השימוש שעושה הטרור בעולם הסייבר חייבת להתבצע על בסיס רחב ככל האפשר, בין השאר בשל היעדר הגבולות המוחלט בתחום זה והחוסר במעורבות שלטונית, אשר בדומה לעולם הפיסי משמשים כר פעולה נוח לארגוני הטרור. תופעת היעדר הגבולות מגבירה את החשיבות והצורך לשיתוף פעולה רב תחומי, מקומי ובינלאומי, הצריכה להיעשות בראיה כוללנית מקיפה ומשולבת, בה ייטלו חלק זה לצד זה הגופים הממשלתיים שהוכשרו לצורך כך וגופים אזרחיים עסקיים ואחרים הפועלים ממילא בתחום, בין אם כספקי שירות ואפילו כמשתמשי קצה. על גורמי הביטחון להטיל מחויבות על הגופים האזרחיים הפעילים בתחום האינטרנט, ברמה של "הכר את המשתמש", מעקב אחר התעבורה, הסרתה ודיווח לגורמים המתאימים ובהתאם לנהלים שיקבעו, בדומה להערכות הכללית הפועלת בתחום מניעת מימון טרור.



[2] Von Behr, I., Reding, A., Edwards, C., & Gribbon, L. (2013). Radicalisation in the digital era. Rand Retrieved from:http://www.rand.org/content/dam/rand/pubs/research_reports/RR400/RR453/RAND_RR453.pdf 

[3] http://www.homelandsecurity.org/docs/reports/Internet_Radicalization.pdf; Weimann, Gabriel. Terrorism in Cyberspace. : Columbia University Press, 2015. ProQuest Ebook Central. Web. 25 June 2016.

[4] Weimann, Gabriel. Terrorism in Cyberspace. : Columbia University Press, 2015. ProQuest Ebook Central. Web. 25 June 2016.

Download Full Publication Download