מאז המתקפה של ארגון הטרור חמאס על ישראל ב-7 באוקטובר, אתרי חדשות ותקשורת ישראלים וכן חברות תוכנה ומוסדות פיננסיים מהווים יעד למתקפות DDoS (התקפת מניעת שירות).
ב-7 באוקטובר 2023 בשעה 03:30 GMT (06:30 שעון ישראל), ארגון הטרור חמאס החל במתקפת פתע על ערים ישראליות ושיגר אלפי רקטות לעבר אזורים מאוכלסים בדרום ובמרכז ישראל, לרבות תל אביב וירושלים. הופעלו אזעקות "צבע אדום" ואזרחים הונחו להיכנס למרחבים המוגנים.
כ-12 דקות לאחר מכן, המערכות האוטומטיות של Cloudflare זיהו ובלמו מתקפות DDoS שכוונו נגד אתרי אינטרנט המספקים מידע חיוני והתרעות "צבע אדום" לאזרחים. המתקפה הראשונית הגיעה לשיא של 100,000 בקשות בשנייה (rps) ונמשכה 10 דקות. כ-45 דקות מאוחר יותר, הגיעה המתקפה השנייה שהייתה רחבה הרבה יותר והגיעה לשיא של מיליון בקשות בשנייה. היא נמשכה 6 דקות. לאחר מכן, מתקפות DDoS המשיכו לפגוע באתרי האינטרנט, אך הן היו קטנות הרבה יותר.
מתקפות DDoS נגד אתרי אינטרנט ישראלים המספקים מידע לאזרחים ומתריעים בזמן אזעקות "צבע אדום"
לא רק מתקפות DDoS
אתרי אינטרנט ישראלים רבים ואף אפליקציות מובייל סומנו כמטרות של קבוצות "האקטיביסטים" (hacktivists) פרו-פלסטיניות שונות. לפי אתר Cybernews, אחת מהקבוצות הללו, AnonGhost, ניצלה נקודת תורפה באפליקציית מובייל בסגנון "צבע אדום" המתריעה על ירי רקטות, "Red Alert: Israel". הפרצה באפליקציה אפשרה להאקרים ליירט בקשות שרתים, לחשוף שרתים וממשקי API, ולשלוח התרעות "צבע אדום" כוזבות למספר משתמשים באפליקציה, לרבות הודעה לפיה "שוגרה פצצה גרעינית". קבוצת ההאקטיביסטים AnonGhost טענה שתקפה אפליקציות "צבע אדום" נוספות.
ב-14 באוקטובר חשפנו את הממצאים שעלו מחקירה מודיעינית שביצע צוות המודיעין שלנו Cloudforce One. מסקנות החקירה העידו על כך שאפליקציות אנדרואיד זדוניות המתחזות לאפליקציות "צבע אדום" אמיתיות הותקנו על מכשירי טלפון של ישראלים והשיגו מידע רגיש של משתמשים כגון רשימת אנשי הקשר, הודעות SMS, יומני שיחות טלפון, אפליקציות מותקנות ומידע אודות הטלפון וכרטיס ה-SIM עצמו. ניתן למצוא מידע טכני נוסף על החקירה שלנו כאן.
צילום מסך של האתר הזדוני עם הקישור לאפליקציות מובייל זדוניות
יתרה מכך, Cloudflare זיהתה אתר אינטרנט ישראלי שחלקים ממנו נפרצו והושחתו (defaced) על ידי קבוצת ההאקטיביסטים AnonGhost. האתר הזה לא השתמש ב-Cloudflare, אך יצרנו קשר עם מנהלי האתר כדי להציע עזרה.
"מוות לכל היהודים" בחלק מהאתר שנפרץ והושחת על ידי AnonGhost
המשך מתקפות DDoS אינטנסיביות
בימים שלאחר מתקפת הטרור של ה-7 באוקטובר, אתרי אינטרנט ישראלים היו נתונים למתקפות DDoS אינטנסיביות. הצוותים שלנו ב-Cloudflare מסייעים לרבים מהם להתגונן מפני המתקפות הללו.
מתקפות HTTP DDoS נגד אתרי אינטרנט ישראלים המשתמשים ב-Cloudflare
מאז מתקפת ה-7 באוקטובר 2023, היעדים המרכזיים של מתקפות ה-DDoS היו אתרי חדשות ותקשורת ישראלית. כ-56% מסך כל המתקפות נגד אתרי אינטרנט ישראלים כוונו אל אתרי חדשות ותקשורת. ראינו את אותן המגמות כשרוסיה תקפה את אוקראינה. אתרי חדשות ותקשורת אוקראיניים הותקפו קשות. לחימה קרקעית מלווה לעיתים קרובות במתקפות סייבר נגד אתרי אינטרנט המספקים מידע חיוני לאזרחים.
תעשיית התוכנה בישראל הייתה היעד השני הכי מותקף. כ-34% מסך כל מתקפות ה-DDoS כוונו אל עבר אתרי חברות תוכנה. במקום השלישי, ובאופן משמעותי יותר, הותקפו אתרי בנקים, שירותים פיננסיים וחברות ביטוח (Banking, Financial Services and Insurance, BFSI). במקום הרביעי נמצאים אתרי האינטרנט של ממשלת ישראל.
ענפים ישראלים מובילים שחוו מתקפות HTTP DDoS
בגרף מטה ניתן לראות את המתקפות נגד אתרי חדשות ותקשורת ישראלים מיד לאחר מתקפת הטרור שהתרחשה ב-7 באוקטובר.
מתקפות HTTP DDoS נגד אתרים ישראלים המשתמשים ב-Cloudflare לפי ענף
מאז ה-1 באוקטובר 2023, Cloudflare זיהתה ובלמה באופן אוטומטי מעל 5 מיליארד בקשות שרת זדוניות כחלק ממתקפות DDoS. לפני ה-7 באוקטובר, כמעט ולא היו ניסיונות לבצע מתקפות DDoS נגד אתרי אינטרנט ישראלים המשתמשים ב-Cloudflare.
עם זאת, ביום בו חמאס ביצע את המתקפה, הייתה עלייה בכמות תעבורת מתקפות DDoS. אחת מכל 100 בקשות שרת מאתרי אינטרנט ישראלים המשתמשים ב-Cloudflare היו חלק ממתקפות HTTP DDoS. הנתון הזה גדל פי ארבע ב-8 באוקטובר.
אחוז בקשות DDoS מסך כל הבקשות מאתרי אינטרנט ישראלים המשתמשים ב-Cloudflare
מתקפות סייבר נגד אתרי אינטרנט פלסטיניים
במקביל, החל מה-1 באוקטובר, Cloudflare זיהתה ובלמה באופן אוטומטי מעל 454 מיליון בקשות שרת זדוניות במסגרת מתקפות DDoS שכוונו נגד אתרי אינטרנט פלסטיניים המשתמשים ב-Cloudflare. בעוד נתון זה מהווה בקושי עשירית מכמות הבקשות למתקפות שראינו נגד אתרי אינטרנט ישראלים המשתמשים ב-Cloudflare, הוא מייצג חלק גדול יותר, באופן יחסי, מסך התעבורה הכוללת של אתרי אינטרנט פלסטיניים המשתמשים ב-Cloudflare.
בימים שלפני המתקפה של חמאס, לא ראינו מתקפות DDoS נגד אתרים פלסטיניים המשתמשים ב-Cloudflare. כל זאת השתנה ב-7 באוקטובר; מעל 46% מסך כל התעבורה אל עבר אתרי אינטרנט פלסטיניים המשתמשים ב-Cloudflare היו חלק ממתקפות DDoS.
ב-9 באוקטובר, הנתון הזה גדל לכמעט 60%. מעט 6 מכל 10 בקשות שרת לאתרי אינטרנט פלסטיניים המשתמשים ב-Cloudflare היו חלק ממתקפות DDoS.
אחוז בקשות DDoS מסך כל הבקשות לאתרי אינטרנט פלסטיניים המשתמשים ב-Cloudflare
בגרף מטה, ניתן לראות את העלייה החדה במתקפות מיד לאחר מתקפת הטרור של חמאס.
מתקפות HTTP DDoS נגד אתרי אינטרנט פלסטיניים המשתמשים ב-Cloudflare
שלושה ענפי תעשייה פלסטיניים הותקפו בשבועות האחרונים. רובן המוחלט של מתקפות DDoS כוונו נגד בנקים — כ-76% מסך כל המתקפות תקפו אתרי בנקים. התעשייה השנייה הכי מותקפת היא תעשיית האינטרנט הפלסטינית שספגה 24% מסך כל מתקפות ה-DDoS. אחוז קטן נוסף מהמתקפות כוון נגד אתרי הפקת מדיה.
מתקפות HTTP DDoS נגד אתרי אינטרנט פלסטיניים המשתמשים ב-Cloudflare לפי ענף
הגנה על אפליקציות ומניעת מתקפות DDoS
כפי שראינו בשנים האחרונות, סכסוכים ומלחמות תמיד מלווים במתקפות סייבר. הכנו רשימת המלצות לשיפור ההגנה נגד מתקפות DDoS. בנינו גם מדריך למידה עצמאית שמסביר כיצד להגן על אפליקציות ולמנוע מתקפות DDoS.
אנחנו מזמינים אתכם להשתמש בשירות החינמי שלנו, Radar, כדי לקבל מידע על תעבורת אינטרנט וללמוד על מגמת מתקפות סייבר בישראל ועל אתרים פלסטיניים.
ניתן גם לעיין בניתוח שביצענו על תעבורת האינטרנט ומגמת המתקפות בישראל ובאתרים הפלסטיניים מיד לאחר מתקפת חמאס ב-7 באוקטובר.
תחת מתקפת סייבר או זקוקים להגנה נוספת? לחצו כאן לקבלת סיוע.
לחצו כאן כדי להתגונן נגד אפליקציות מובייל זדוניות
הערה בנוגע למתודולוגיות שלנו
תובנות שאנו מפיקים מתבססות על תעבורת אינטרנט ועל המתקפות שאנו מזהים נגד אתרי אינטרנט שמשתמשים ב- Cloudflare, אלא אם כן צוין אחרת או שקיימת הפניה למקור צד שלישי. ניתן למצוא מידע נוסף אודות המתודולוגיות שלנו כאן.