משלוחי הדואר הבינלאומיים מבריטניה משותקים זה היום השלישי בגלל תקלה בתוכנת שטרי מטען. שירות הדואר הלאומי רויאל מייל נתפס בלתי ערוך למשבר הסייבר, לא יודע מתי ישוב לפעילות תקינה – ועדיין לא הודיע אם מדובר בפריצה <עדכון 15.1.2023> בלוקביט מכחישים מעורבות וטוענים שהאקר בולט עומד מאחורי המתקפה
הדואר הבריטי נפל קורבן ל"תקרית סייבר". לא האימייל, אלא הרויאל מייל, הדואר הפיזי הישן והטוב. התקרית הביאה לשיתוק שליחת הדואר הבינלאומי מהמדינה, כשיותר מחצי מיליון פריטי דואר – מכתבים וחבילות – תקועים ונערמים במחסני הדואר, שנחשב לתשתית לאומית קריטית. <עדכון 15.1.2023> קבוצת לוקרביט טוענת שזיהתה את ההאקר התוקף. פירוט בתחתית הידיעה <\עדכון 15.1.2023>
תשתית לאומית קריטית נוספת בבריטניה נפלה קורבן למתקפת סייבר לפני מספר חודשים. אז זה היה NHS, שירות הבריאות הלאומי. המתקפה הסלימה למשבר כשהתברר שה-NHS לא ערוך כראוי. זאת למרות שידוע שהאקרים מטרגטים תשתיות לאומיות בכלל, ושירותי בריאות בפרט; ועל אף של-NHS היו חמש שנים להתכונן למתקפה, אחרי שחטף מכה קשה במתקפת WannaCry.
הדואר הבריטי משלח מאות אלפי פריטים לחו"ל בימים רגילים. תקרית הסייבר מגיעה בתזמון רע מאוד, אחרי שיבושים ועיכובים רבים בגלל חודשים של שביתות של עובדי הדואר, שפגעו גם במשלוחי הברכות והמתנות של תקופת החגים הנוצרית. רק לפני חודש וחצי נאלץ הרויאל מייל לסגור למספר שעות את Click & Drop, שירות איסוף ושילוח חבילות לעסקים קטנים, בגלל תקלת פרטיות חמורה שחשפה ללקוחות מידע על לקוחות אחרים, כולל הזמנות שאנשים ביצעו, היסטוריית ההזמנות של עסקים ופרטי לקוחותיהם. בסוף דצמבר קרסו אתר ואפליקציית הדואר ליותר מארבע שעות.
שירות הדואר הלאומי הבריטי נפתח לציבור הרחב ב-1635 ומהווה את אחד משירותי הדואר מהגדולים בעולם. תקרית הסייבר ותגובתו אליה מעידות שכמו NHS, גם הוא לא ערוך באופן מספק למשברי סייבר. זו מגמה שצריכה להדאיג מאוד את הבריטים – ולהוות סימן אזהרה למדינות אחרות.
דואר בלי אוויר
בשנה שהסתיימה במרץ 2022 שילח הרויאל מייל ל-231 מדינות וטריטוריות בחו"ל 152 מיליון פריטים, שהכניסו לו 779 מיליון פאונד. אף שהשילוח הבינלאומי מהווה חלק קטן מאוד מפעילות הדואר, הוא רכיב חשוב בשרשרת האספקה של חברות רבות, ששולחות מוצרים ללקוחות ברחבי העולם. לפיכך, חשוב שהדואר יהיה ערוך להמשיך ולספק את השירות גם בעת משבר – למשל, באמצעות תחזוק מערך IT חלופי בכוננות, או הסכמים עם חברות שילוח פרטיות שיבצעו את המשלוחים עד לפתרון התקלה.
בפועל, השירות משותק: "זמנית אנחנו לא יכולים לשלח פריטים ליעדים מעבר לים". הדואר המליץ לכלל הציבור להשעות שליחה דואר בינלאומי לעת עתה, והזהיר שדואר בינלאומי שכבר נשלח עלול להתעכב. חטיבת משלוחי החבילות המהירים Parcelforce Worldwide עדיין פעילה, אולם גם היא תסבול מעיכובים ולכן לא תעמוד בהתחייבות של הגעת משלוח תוך יום או יומיים. הבי.בי.סי דיווח שגם דואר מחו"ל לבריטניה סובל מעיכובים עקב המתקפה. השירות הבינלאומי היחיד שלא מושפע מהתקרית הוא כנראה הדואר לאנשי הצבא ומשרד הבטחון הבריטיים המוצבים בבסיסים בריטיים ברחבי העולם, מאחר שהוא משולח באמצעות מטוסים צבאיים.
הרויאל מייל אפילו לא יודע להעריך כמה זמן השילוח הבינלאומי יהיה משותק: "הצוותים שלנו עובדים מסביב לשעון לפתור את ההפרעה, ונעדכן אתכם ברגע שיהיה לנו מידע נוסף", כתב בהודעתו הראשונית. לקוחות שפנו לדואר היום (ה') שמעו ממנו שאין צפי לסיום המשבר. האנה דארלי, ראשת מחקר איומים בחברת הסייבר דארקטרייס, וג'ייק מור, יועץ סייבראבטחה גלובלי בחברת ESET, מעריכים שהתיקון עשוי לארוך שבועות.
הוא פגוע קשה, לא יודעים מה יש לו
בבוקר יום שלישי התגלתה התקלה – פגיעה במערכת שמנפיקה שטרי מטען לחבילות, אשר משמשת בשישה אתרים פיזיים של הדואר. אחד מהם הוא מתקן המיון הגדול ליד נמה"ת הית'רו, שאחראי על חלק הארי של מיון הדואר הבינלאומי היוצא, וממילא סובל מעומס ועיכובים בגלל השביתות.
הדואר הודיע על התקלה למחרת: "רויאל מייל חווה הפרעה חמורה לשירות במשלוחים הבינלאומיים שלנו בעקבות תקרית סייבר". צוותים של הדואר ומומחים חיצוניים פועלים לחקור ולפתור את הבעיה "מסביב לשעון", אולם גם יומיים אחרי הגילוי הם עדיין לא יודעים לומר מה גרם לה, או אפילו אם מדובר בפעולה של האקרים. זאת הסיבה שהדואר ממשיך לכנות את האירוע "תקרית" ולא "מתקפת סייבר" או "פריצה", כך מסר לבי.בי.סי.
אפשר להבין שהאקרים הם כיוון חקירה משמעותי, לאור זהות הרגולטור שהדואר דיווח לו על התקרית – לשכת נציב המידע (ICO), וזהות הגופים המעורבים בסיוע ובחקירה – רשות הסייבראבטחה (NCSC) ושוטרים מרשות הפשיעה הלאומית (NCA). עם זאת, גם ב-NCA נזהרים מלהיות פסקניים כרגע.
הטלגרף טוען הערב (ה') כי אכן מדובר במתקפת סייבר – התקפת כופרה שבוצעה על ידי כנופיית לוקביט המקושרת לרוסיה. עוד נטען בפרסום כי ההאקרים מאיימים לפרסם בדארקנט מידע שגנבו מהדואר. ברויאל מייל סירבו להגיב לפרסום.
[עדכון 15.1.2023]
ביום רביעי, באותו יום שבו הדואר הודיע על התקרית, דיווח העיתון בלפסט טלגרף [£, 0] כי מדפסות במתקן מיון דואר במאלוסק שבצפון אירלנד החלו להדפיס הודעות כופרה. התוקפים הציגו את כלי התקיפה, "לוקביט בלאק רנסומוור" (הידועה גם בשם לוקביט 3.0), הציעו פענוח קובץ בודד (כדי להוכיח שהם אכן התוקפים ומחזיקים במפתח ההצפנה), ודרשו תשלום או שידליפו דרך TOR מידע שגנבו. דוברות הרויאל מייל מסרה כי המתקן חווה "בעיה טכנית" שנמצאת "תחת חקירה".
ahhhh found it…. #RoyalMail #LockBit #Ransomware pic.twitter.com/WTef3s6bDn
— mRr3b00t (@UK_Daniel_Card) January 12, 2023
בעולם המשונה של מתקפות הכופרה, יש פרצנים שתוקפים, מצפינים מחשבים, משתקים פעילות של ארגונים ומדליפים מידע שגנבו – אבל מספקים שירות לקוחות יעיל למותקפים (למשל, הסבר איך לרכוש ביטקוין), ומקפידים לשמור על תדמיתם ואמינותם – ומיד עם קבלת הכסף מספקים את מפתח-ההצפנה ומוחקים את המידע שגנבו, כפי שהבטיחו.
ל-LockBitSupp, הדובר הלא-רשמי של לוקביט, היה חשוב להכחיש את הפרסום בטלגרף על כך שקבוצתו עומדת מאחורי התקיפה. הוא טען שתוקפים אחרים ביצעו אותה תוך שימוש בקוד בניית הרושעה של לוקביט, שדלף. הוא גם פרסם פוסט ברוסית בפורום האקרים, שבו הוא מעלה חשד שהתוקף מעוניין לפגוע בתדמית של לוקביט, על ידי כך שיקבל את הכופר אך לא ישחרר את הקבצים, והמליץ לרויאל מייל להימנע מלשלם.
למחרת כתב לוקביטסטאפ בפורום כי איתר את התוקף, האקר מהעשירייה הראשונה, והרגיע שברגע שהכסף יועבר, ההאקר יספק את מפתח-ההצפנה וימחק את המידע הגנוב.
עידו קינן הוא סמנכ"ל התוכן של סייטקטיק, חברה לייעוץ וניהול משברי סייבר 🖼️ תמונת שער: בול דאלק (George Redgrave cc-by-nd). תודה למיכל קמנסקי על הסיוע