מהו הנזק מ-18 חודשים של גישה בלתי-מורשית לרשת קבלן ביטחוני? לפחות 17 ארגוני ביטחון נוספים שנפגעו, שרטוטים מסווגים של מערכות נשק שהודלפו, ומודיעין על פרויקטים בינלאומיים שהגיע לידי גורמים עוינים. זה לא תסריט היפותטי - זה מה שקרה.

מקרה זה ממחיש את האיום הייחודי של Persistent Threat Actor בתעשייה הביטחונית: לא תקיפה חד-פעמית, אלא שהייה ממושכת ברשת שמטרתה איסוף מודיעין לאורך זמן - ובמקביל, מיפוי הגישה לשרשרת האספקה הרחבה יותר.

18
חודשי שהייה ברשת ללא גילוי
17
קבלני ביטחון שנפגעו משרשרת
מסווג
חומרת החומר שהודלף

שחזור האירוע - איך 18 חודשים לא זוהו

הקבוצה התוקפת - המזוהה עם גורמי ביון איראניים - בחרה בגישה "low and slow": כניסה שקטה, שהייה שקטה, ואיסוף נתונים בהיקף מינימלי שלא יעורר חשד. הם לא ביצעו שיבוש, לא השמידו קבצים, ולא הריצו כלים שעלולים להפעיל התראות - פשוט ישבו ברשת וקראו.

🔴 וקטור הכניסה - ניצול פגיעות VPN

הכניסה בוצעה דרך פגיעות בגרסה ישנה של שרת VPN שלא עודכנה בזמן. הפגיעות אפשרה ביצוע Remote Code Execution ללא אימות. לאחר הכניסה, הוטמע implant מינימלי שדאג לשמור על נוכחות מתמדת (Persistence).

🟠 שלב הריגול - תנועה רוחבית ומיפוי

לאחר כניסה ראשונית, בוצעה תנועה רוחבית מדוקדקת: מיפוי הרשת, זיהוי שרתי קבצים, ואיתור תיקיות עם מסמכים מסווגים. הגישה לרשתות של קבלני ביטחון אחרים בוצעה דרך חיבורי VPN ו-RDP לגיטימיים שנמצאו במחשבי הקורבן.

🔴 ההדלפה - שרטוטים ופרויקטים בינלאומיים

לאורך 18 חודשים הודלפו שרטוטים טכניים של מערכות נשק, מסמכי R&D ומידע על פרויקטים בינלאומיים. הנפח הכולל של הנתונים שהועברו החוצה נאמד בעשרות גיגה-בייט. הגילוי התרחש רק כאשר גורם ביון ממדינה ידידותית התריע.

למה 18 חודשים לא זוהו

הסיבה המרכזית: אין אפשרות לזהות מה שלא מחפשים. רוב הארגונים הביטחוניים מוגנים טוב כנגד תקיפות "רועשות" - ransomware, DDoS, phishing. אבל הגנה מפני Persistent Threat Actor בגישת "low and slow" דורשת יכולות שונות לגמרי:

🔍

חוסר ב-Threat Hunting

ניטור מבוסס חוקים (rules) לא מספיק כדי לזהות תוקף שיודע להתחמק מהם. Threat Hunting פרואקטיבי - חיפוש אקטיבי אחרי סימני נוכחות - לא היה קיים.

📊

חוסר ב-Baseline התנהגותי

ללא הגדרה ברורה של "מה תקין" ברשת, קשה לזהות "מה חריג". העברת עשרות GB של נתונים לאורך חודשים לא עוררה התראה כי לא היה baseline להשוואה.

🔗

גישת Flowdown לא מספקת

17 קבלנים אחרים נפגעו דרך חיבורים לגיטימיים. כל ארגון שיש לו חיבור רשת לגיטימי לקבלן - ולא ביצע בדיקות תקופתיות - הפך לנקודת כניסה פוטנציאלית.

פתרונות - הגנה מפני APT בתעשייה הביטחונית

01
ניהול תיקון פגיעויות קפדני (Patch Management)
VPN, firewalls, ו-edge devices - עדכון מיידי בתוך 24-48 שעות מפרסום CVE קריטי. אלה הם נקודות הכניסה המועדפות על APT.
02
Network Segmentation וניטור תעבורה
הפרדת רשתות לפי רמת רגישות, ניטור תעבורה בין סגמנטים, ובדיקת DLP (Data Loss Prevention) לזיהוי העברת נפחי נתונים חריגים.
03
Threat Hunting תקופתי
חיפוש פרואקטיבי אחרי IOC (Indicators of Compromise) וTTP ידועים של קבוצות APT - לפחות אחת לרבעון.
04
בדיקות חיבורים חיצוניים (Third-Party Access Review)
סקירה תקופתית של כל VPN, RDP וחיבורי צד-שלישי - מי מחובר, מתי, ומה הוא עושה. ביטול גישות שאינן נדרשות.
05
Zero Trust Architecture
אימות מתמיד של כל גישה - "לעולם אל תסמוך, תמיד אמת". גם מחשב מאומת ברשת הפנימית צריך לאמת מחדש גישה למשאבים קריטיים.

השורה התחתונה

18 חודשים של ריגול מוכיחים שהגנה ביטחונית אפקטיבית אינה מסתכמת בחסימת כניסה - אלא גם בזיהוי מהיר של נוכחות. MTTD (Mean Time to Detect) של 18 חודשים הוא כישלון מוחלט בהקשר ביטחוני.

ארגון ביטחוני שאינו יכול לזהות נוכחות עוינת בתוך שבועות ספורים - אינו עומד בדרישות הרגולציה הביטחונית ומהווה סיכון לכל שרשרת האספקה שלו.

מקורות

  1. דיווחי תקשורת על תקיפות APT בתעשייה הביטחונית הישראלית, 2024
  2. CERT-IL, Threat Intelligence Reports - Defense Sector APT Activity (2024)
  3. MITRE ATT&CK Framework - APT33, APT34 TTPs
  4. NIST SP 800-171 Rev. 3 - Protecting CUI in Defense Contractor Systems
  5. NSA/CISA Joint Advisory - Iranian Government-Sponsored APT Actors (2023)