המטרה של חמאס - להשיג מידע על צה"לדובר צה"ל

ראש מחלקת ביטחון מידע באגף המודיעין, אל"מ ר', התייחסה אחר הצהריים (חמישי) לסיכול פריצת החמאס לטלפונים של מאות חיילים וקצינים, בניסיון להשתלט על הטלפונים ולהשיג מידע מבצעי.

"במהלך סוף השבוע האחרון, הובילה מחלקת ביטחון המידע באגף המודיעין בשיתוף שירות ביטחון הכללי מהלך של סיכול טכנולוגי מוצלח של שרתי ארגון הטרור חמאס", אמרה ר'.

"המטרה של הסיכול הייתה לפגוע בתשתיות הטכנלוגויות של החמאס. זו לא הפעם הראשונה שהחמאס מנסה להדביק את המשרתים שלנו בפוגענים".

אל''מ ר' סיפרה שהמטרה של חמאס היתה להשיג מידע על צה"ל והארגון עשה זאת באמצעות ''הנדסה אנושית טובה יותר, שימוש בפלטפורמות הדבקה חדשות, לדוגמה אפליקציית טלגרם, וניסיונות להתרחב ולהתמקד בגורמי יעד חדשים לתקיפה".

סמל ל', משק ניטור באגף המודיעין, תיאר: "בחודשים האחרונים זיהינו חזרה לפעילות של דמות מזויפת שאפיינו כדמות המופעלת על ידי ארגון טרור חמאס מ-2018. העובדה שהצלחתי לזהות ולהוביל לסיכול ניסיונות שנעשו על ידי ארגון הטרור חמאס מאוד משמעותיים עבורי".

אחת הדמויות בהן נעשה שימוש על ידי חמאס
אחת הדמויות בהן נעשה שימוש על ידי חמאסצילום: דובר צה"ל

מוקדם יותר היום הודיע צה''ל כי חשף בשיתוף פעולה עם השב"כ תשתית שרתים של חמאס אשר סייעה לארגון הטרור ליצור קשר ולאסוף מידע באמצעות משרתים הגולשים במרחב הרשתי.

"מערך ביטחון המידע באגף המודיעין זיהה 6 דמויות בהן השתמש חמאס כדי להגיע לחיילים", מציין דובר צה"ל, תא"ל הדי זילברמן. "שרה אורלובה, מריה יעקובלבה, עדן בן עזרא, נועה דנון, יעל אזולאי ורבקה אבוקסיס - דמויות רבות מהמערך מציגות עצמן כעולות חדשות לארץ בעקבות היעדר שליטה מלאה בשפה העברית".

"לדמויות מספר מאפיינים נוספים שבאו לידי ביטוי", מסבירה ראש מחלקת ביטחון המידע, אל"ם ר'. "חמאס השתמש בהאשטגים במטרה להגדיל את האמינות וכמות המשתמשים אליהם הגיעו הדמויות ברשת, וגם בחר להשתמש בפונקציית Intro ("בקצרה") של פייסבוק - באמצעות המשפט המופיע בפרופיל, ניסו הדמויות לחזק את אמינותן בהתחזות לנערות צעירות תוך שימוש בסלנג ישראלי".

"פרט לכך, חמאס ערך את התמונות של הדמויות בכדי להקשות על מציאתן ברשת ולשייכן למקור, ודאג לפעול בפריסה רשתית - כלומר, יצר ישויות במספר פלטפורמות במטרה ליצור נגישות רשתית רחבה", מוסיפה אל"ם ר'.

ומהו בדיוק אותו פוגען?

בתקופה האחרונה זוהו בצה"ל שלוש אפליקציות "מדביקות" (קישור לאייטם אפליקציות) - "Catch&See", "ZatuApp", "GrixyApp" - בהן השתמש חמאס במטרה להעביר את הפוגען. באתרי האפליקציות מתואר כי הן נועדו להעברת תמונות בין משתמשים לפרק זמן קצר ומוגבל, בדומה לאפליקציית סנאפצ'אט.

איך זה עובד? ההרשמה לאפליקציה מתבצעת באמצעות כתובת מייל וסיסמה, וכי בשונה מהקמפיין הקודם היישומונים לא הונגשו לחנות האפליקציות וניתן היה להוריד אותן אך ורק באמצעות קישור. מחלקת ביטחון המידע באמ"ן זיהתה מחקירת האפליקציה כי היא מבקשת הרשאות רבות, אך אלו משמשות אותה אך ורק לפעילות לגיטימית כביכול (על מנת לשלוח תמונות, לאפליקציה צריכה להיות גישה למצלמה וכו').

מיד לאחר ההורדה, מופיע במכשיר הסלולרי אייקון של האפליקציה. עם הלחיצה עליו, ייפתח כביכול היישומון ותופיע הודעת שגיאה לפיה הגרסה של האפליקציה לא נתמכת במכשיר - ועל כן תמחק את עצמה. לאחר מכן, האפליקציה נסגרת והאייקון שלה נעלם – לכאורה נמחקה. בפועל, מסבירים לנו באמ"ן, המכשיר הסלולרי כבר הותקף והותקן עליו פוגען המאפשר לחמאס להשתלט על המכשיר.

מתברר כי לאפליקציה יכולות גבוהות, שאינן שונות במהותן ממה שראינו באירועי סייבר קודמים: יצירת קשר אל מול שרת של חמאס והעברת קבצים מהמכשיר הנגוע באופן אוטומטי, צילום תמונות מרחוק באופן עצמאי, מתן גישה למערכת הקבצים (read/write), הורדת קבצים נוספים והרצתם, איסוף מזהים על הטלפון, איסוף סמסים, הקלטת נפח, איסוף אנשי קשר, מתן גישה למיקום (GPS), וגישה למצלמה.

מה כן השתנה בניגוד לפעמים קודמות?

לראשונה, נערך סיכול טכנולוגי אל מול תשתיות חמאס מסוג זה. כחלק משלים לכך, יזמנו באגף המודיעין החל מהיום מאות בודדות של משרתים שלפי ההבנה יש סבירות כי מכשירם נגוע בפוגען - וזאת לטובת תשאול והסרת הפוגען מהמכשיר

בשונה מאירועים קודמים בהם התמקד הארגון בלוחמים, הרחיב הפעם חמאס את מאתריו ופנה לאוכלוסיות נוספות.

הזיהוי התאפשר בין היתר באמצעות מעקב אחר אחת הדמויות שזוהתה עוד באירועים הקודמים, ולא נחשפה בזמנו במטרה לעקוב אחר השתנות התשתית הטכנולוגית של חמאס ולזהות חזרה לפעילות נגד חיילי צה"ל

פרט לכך, ניצל חמאס לראשונה את פלטפורמת הטלגרם לפיתוח שיח עם משרתים, בנוסף לרשתות המוכרות - פייסבוק, ווטסאפ ואינסטגרם

ניכר כי ההנדסה החברתית גבוהה ואמינה יותר - והפעם החליטו בחמאס להציג דמויות כחירשות או ככבדות שמיעה. כך הצליח המערך לנטרל רצון לשיחות טלפוניות או וידאו

ישנן עדויות כי חמאס שלח לקורבנות הודעות קוליות גנריות של נשים ("כן", "לא" וכו') על מנת להגביר את אמינות הדמות. רמת הביצוע של הפוגען גבוהה ומשוכללת יותר בהשוואה לתשתיות עבר של ארגון הטרור.

"ככל שאנחנו מזהים כעת, לא נגרם נזק ביטחוני", מבהירה אל"ם ר'. "במקרים שזוהה כי ייתכן וייגרם נזק - פעלנו באופן מיידי מול אותו משרת צה"ל. אחת מאבני היסוד היא הערנות והמודעות של משרתי צה"ל".