גוגל: המלחמה בחמאס תתדלק את פעילות הסייבר ההתקפי של איראן
הדו"ח השנתי של Google Cloud לאיומי הסייבר מצייר תמונה מדאיגה: הורדת חסמי כניסה להאקרים, AI תהפוך את התקיפות ואת מבצעי ההשפעה לקלים יותר, המוטיבציה של תוקפים מטעם מדינות עולים מלחמות ותקיפות של סחיטה ודליפות מידע רק ימשיכו
"כל עוד הסכסוך בין ישראל לחמאס יימשך, הוא צפוי להמשיך לשלוט בפעילות הסייבר של איראן". כך נכתב בדו"ח השנתי של Google Cloud לתחזיות בעולם הסייבר.
הדו"ח חוזה כי המלחמה תתדלק את פעילותה של איראן בריגול באמצעות סייבר, תקיפות להרס ושיבוש ומבצעי השפעה על תודעה. המיקוד הזה לא ימנע מהאקרים איראנים לתקוף גם במקומות אחרים במזרח התיכון ובצפון אפריקה לאורך זמן, שם הם ינסו לפגוע בממשלות ובארגוני תקשורת.
ישראל לא לבד כמובן. גוגל חוזה שימשיכו להיות מתקפות סייבר וריגול כחלק מהמלחמה של רוסיה נגד אוקראינה, וכן במאבק של רוסיה במדינות אחרות, במיוחד באירופה ובקרב חברות נאט"ו. החברה צופה גם כי ההשקעות המוסדיות שסין ביצעה בשדרוג תשתיות תוקפי הסייבר שלה בעשור האחרון ימשיכו לתרום להיקף פעילות האיומים ולמגמות פיתוח יכולות גם בשנת 2025.
לפי הדו"ח, פעולות הריגול הסייברי של קוריאה הצפונית ימשיכו לתמוך במטרות המדינה, כולל מיקוד בממשל, ביטחון, חינוך ומכוני מחקר, בעיקר בקוריאה הדרומית ובארצות הברית, עם עניין מסוים גם בבריטניה, גרמניה, אוסטרליה, סין ורוסיה.
בגוגל אומרים כי סין, רוסיה ואיראן, לא יפסיקו את המתקפות כנגד ממשלת ארצות הברית גם כעת, אחרי הבחירות, ואף ינסו לנצל את חילופי השלטון כדי להמשיך לרגל וליצור קמפייני השפעה.
מתקפות וישינג ופישינג
הדו"ח מבוסס על תובנות של בכירי Google Cloud בתחום הסייבר, בהם בכירי Google Threat Intelligence, חברת Mandiant, ומנהל האבטחה הראשי (CISO) של Google Cloud, ושל חוקרים ואנליסטים מצוותי האבטחה של גוגל קלאוד.
גוגל כמובן מתייחסת ל-AI בדו"ח, וצופה שיהיה שימוש ב-LLM לפיתוח ולהרחבת מתקפות פישינג לצד וישינג (פישינג קולי), הודעות SMS והנדסה חברתית משכנעת יותר. כלומר, לא עוד עברית משובשת ושגיאות בהודעות מהדואר, אלא הודעה שמנוסחת בשפה רהוטה ורובוט שמתקשר ונשמע ממש כמו הספק שלכם או הפקיד בבנק.
גוגל צופה גם צמיחה בדיפ-פייקים לצורך גניבת זהות, הונאה ועקיפת דרישות אבטחה של מנגנוני הכרת הלקוח (KYC), כאשר זה לא ישמש רק לתקיפות נגד אנשים פרטיים, אלא למחקר פגיעות, איסוף מודיעין ויכולת להכניס מילים אסורות בחיפוש בפורומים מחתרתיים.
וקטור תקיפה נוסף שיעשה שימוש ב-LLM הוא היכולת ליצור במהירות ובסקייל מאמרי פייק ניוז וייצור פרסונות שיפיצו אותן ברשתות חברתיות, כדי לסייע בקמפיינים של השפעה על דעת קהל.
עוד דליפה ועוד דליפה
בשנת 2024 מתקפות כופר וסחיטה השפיעו על כל ענפי התעשייה ביותר מ-100 מדינות, ואתרי דלף מידע (DLSים) הוכפלו מאז 2023. לגוגל אין בשורה אופטימית בתחום והחברה אומרת שאלה יהיו המתקפות המשבשות ביותר גם ב-2025, בשל מספר האירועים וההיקף הפוטנציאלי של הנזק בכל אירוע.
גוגל צופה שהשימוש באישורים גנובים (stolen credentials) יימשך גם ב-2025, כאשר נוזקות גניבת מידע (infostealers) ימשיכו לשמש וקטור מרכזי להשגתן, במיוחד בסביבות שבהן אימות דו-שלבי אינו נאכף. חדשות טובות יש בתחום הזמן שעובר בין גילוי פרצה לניצול שלה (time-to-exploit – TTE) ב-2023 הוא עמד על ממוצע של 32 ימים, בשנה האחרונה הוא ירד לחמישה ימים בלבד וב-2024 הוא עלול אף להצטמצם יותר.
חסמי הכניסה להאקרים יורדים
גוגל טוענת בדו"ח שלה, אם נתרגם למילים פשוטות, שנהיה קל יותר להיות האקר וכלי הפריצה הפכו לנגישים יותר. "ארגונים ימשיכו להתמודד עם עולם שבו חסמי הכניסה לפושעי סייבר ולמדינות בעלי מיומנות נמוכה יותר, הולכים ונעלמים", נכתב בדו"ח.
על פי החברה, ככל שיותר כלים, ערכות פישינג ומשאבי as-a-service יכללו יכולות מתקדמות, תוקפים פחות מיומנים וגורמים חדשים בעולמות פעילות הסייבר הזדוני יזכו להזדמנויות לבצע מתקפות ביעילות ובמיומנות רבה יותר, מרפרוף על רשתות (web skimming) ועד עקיפת אימות רב-שלבי (MFA).
קצת אופטימיות לסיום
בשביל לסיים עם תקווה, נספר שבמרדף הזה, לפי הדו"ח של גוגל, לא רק העכברים יהפכו למתוחכמים יותר. אלא גם החתולים.
כלי AI, למשל, יאפשרו להתגונן טוב יותר מאיומים. בשנה האחרונה, נכתב בדו"ח, נעשה שימוש בבינה מלאכותית כדי לייצר אוטומציה של תקצור דוחות מורכבים, חילוץ מידע ממאגרי נתונים רחבים בקלות וקבלת סיוע בזמן אמת למגוון משימות. בגוגל חוזים שב-2025 התהליכים עדיין יצטרכו פעילות של בני אנוש, אבל יהיו חצי אוטונומיים.
גוגל גם צופה אימוץ נרחב יותר של פתרונות לניהול מידע ואירועי אבטחה (SIEM) מבוססי ענן. מה שעשוי לאפשר ניתוח נוזקות אוטומטי, ניטרול מתקפות פישינג ואפילו תיקון פרצות לפני שהן נוצלו. בנוסף, סיכונים ספציפיים לענן כמו הגדרות זהויות שגויות (IAM), פרצות בסביבות ללא שרת (serverless) ודליפה ממכולות (container escapes) יזכו לטיפול טוב יותר.
ולבסוף, החקיקה. המעבר המוגבר של שירותים קריטיים לענן, לפי גוגל, יעודד גם רגולציה הדוקה יותר שתוביל את ספקי השירות להגביר את האבטחה. גוגל מציינת כבר את ה-NIS2 Directive, חקיקה אירופאית שמציגה דרישות אבטחה מחמירות יותר במגוון רחב של מגזרים וארגונים, כולל גופים חיוניים וחשובים. החקיקה מתייחסת ליישום אמצעי אבטחה חזקים, ביצוע הערכות סיכונים ודיווח על תקריות בזמן.