נחשפה מתקפת סייבר איראנית על מאות מטרות בישראל ובמזרח התיכון

קבוצת סייבר איראנית תוקפת בשנה האחרונה מאות יעדים בישראל ובמזרח התיכון – כך נודע לאנשים ומחשבים. המתקפה, שנחשפה על ידי ClearSky הישראלית, החלה ביולי 2014. בין יעדיה: אלופים במילואים, עובדים בחברות לייעוץ ביטחוני, חוקרי אקדמיה ישראליים, שר אוצר של מדינה במזרח התיכון, גורם בשגרירות קטאר בבריטניה, גורמים רבים בערב הסעודית, וכן עיתונאים ופעילי זכויות אדם. חלק מהמתקפות נחלו הצלחה.

מתקפת הסייבר כוללת פעילות תקיפה רב שלבית, של יעדים ותשתיות מחשוב, ובמגוון ערוצים. היא מכוונת להשגת הרשאות גישה לחשבונות מייל; השגת הרשאות ופרטי הזדהות למערכות מחשב; השתלטות על מחשבים ותיבות מייל של היעדים המותקפים; גניבת המידע המאוחסן בהם; ושימוש במחשבים ובתיבות הדואר של המותקפים כבסיס לתקיפת קורבנות נוספים.

על פי חוקרי ClearSky, "מדובר בקמפיין תקיפה ממוקד, עיקש ושיטתי במיוחד, המבוסס על איסוף מודיעין ומידע מקדים וממוקד על יעדי התקיפה". כדי להשיג את מטרותיהם, משתמשים התוקפים בנוזקות הנשלחות כקבצים מצורפים למיילים; פריצה לאתרי אינטרנט "לגיטימיים ומוכרים", בהם שותלים ההאקרים דפי פישינג ממוקדים ליעדי התקיפה; הפניית הקורבן לדפי פישינג ייעודיים באתרים לגיטימיים, על מנת לעורר אמינות; ושימוש בטכניקות של הנדסה חברתית – בטלפון, במייל ובפייסבוק (Facebook).

החוקרים חשפו שמות ותיבות דואר של יותר מ-550 יעדי תקיפה – מתוכם 40 יעדים ישראליים, שעוסקים בחקר המזרח התיכון, איראן, יחסים בינלאומיים, חברות ביטחוניות וגורמים נוספים. בין היתר, מדובר באלופים במילואים, עובדים בחברות לייעוץ ביטחוני וחוקרים מאוניברסיטת בר אילן ומאוניברסיטאות נוספות. יעדי תקיפה מעבר לישראל הם בעיקר ממדינות המזרח התיכון, ובראשן מערב הסעודית, אולם גם שר אוצר של מדינה באזור, גורם בשגרירות קטאר בבריטניה, עיתונאים ברחבי העולם, פעילי זכויות אדם ועוד.

להערכת החוקרים, מאחורי המתקפה עומדת קבוצת טרור סייבר איראנית בשם Ajax Team. "מדובר בקבוצת האקרים, האקטיביסטים-אידיאולוגיים, שהחלו לפעול ב-2010 וגויסו, ככל הנראה, לשירות הביטחון האיראני", הם קובעים. "ניתן לזהות בפעילות הקבוצה מאפיינים דומים לקמפיינים שזיהינו בעבר"

כמו כן, לדבריהם, "הרמה הטכנולוגית של התקיפות אינה גבוהה, קיימות שגיאות טכניות ושגיאות דקדוק בטקסט. טעויות בקמפיין הביאו לחשיפה של תשתיות תקיפה ולקושי של התוקפים לתקשר באופן ישיר עם המותקפים". כך, למשל, הם שלחו מיילים בהם הזדהו כאנשי מכון וייצמן, אלא שהם כינו אותו, בטעות, אוניברסיטת וייצמן. עוד היו להם שגיאות דקדוק המבלבלות בין זכר ונקבה – טעות הנפוצה בקרב דוברי פרסית, בה אין הבדל בין המינים.

אחת מיעדי התקיפה. ד"ר תמר עילם-גינדין

על אף הכשלים הללו, קובעים חוקרי ClearSky כי "התוקפים הצליחו ומצליחים במשימתם. אנחנו יודעים על מקרים רבים במהלך החודש האחרון בהם הודבקו מחשבים בהצלחה, נגנבו פרטי הזדהות ונגנב מידע רגיש". ככלל, לדבריהם, "התוקפים עושים את עבודתם על בסיס יומיומי. יש להם סבלנות והם מיומנים בשיטות התקיפה. על אף שרמת המקצועיות שלהם בינונית, מידת ההצלחה שלהם גבוהה".

"מאגר תמר" – לא רק בים

החוקרים כינו את מתקפת הסייבר "מאגר תמר", על שמה של ד"ר תמר עילם-גינדין, אחת מיעדי התקיפה, שדיווחה עליה וסייעה בתחקורה. ד"ר גינדין היא בלשנית המתמחה בפרסית ובאיראן הקדומה והמודרנית, ומשמשת כעמיתת מחקר במכון לחקר איראן באוניברסיטת חיפה. החוקרים מעריכים כי היא הפכה ליעד למתקפת הסייבר בעקבות ראיון שהעניקה לגלי צה"ל על תחום התמחותה – איראן.

בפרק המסקנות של הדו"ח כתבו חוקרי ClearSky כי "היכולת של משתמש רגיל להתמודד ולסכל תקיפה מסוג זה היא אפסית וזו של משתמש מתוחכם – בינונית עד נמוכה. יכולת המשתמשים לזהות כי המחשב שלהם הודבק בנוזקה היא נמוכה עד אפסית. רק למערך אבטחה בחברה יש יכולת בינונית עד טובה לסכל תקיפה שכזו".

התקיפות הללו הן עוד חלק במלחמת הסייבר המתנהלת, על פי פרסומים שונים, בין איראן לישראל ולארצות הברית. לפני ימים אחדים פורסם כי קספרסקי (Kaspersky) מצאה וירוסים שתקפו מחשבים רבים, בהם כאלה שנמצאים במלונות ששימשו למשא ומתן בין איראן למעצמות על תוכנית הגרעין של המדינה האסלאמית. מומחים ייחסו את התקיפות הללו לישראל.