מומחים על העימות ישראל-איראן: "התפתח סכסוך סייבר מורכב"

במקביל לסיכומים הכלליים של מלחמת ישראל-איראן, ולניסיון להבין עד כמה נפגעו תוכניות הגרעין ומערך הטילים הבליסטיים של הרפובליקה האסלאמית, מומחים מסכמים את המלחמה הזאת גם בהיבט הסייבר. כך, חוקרי FortiGuard, צוות מחקר האיומים של פורטינט, קובעים בדו"ח חדש ש-"מלחמת ישראל-איראן התקדמה בקצב מהיר. ההתפתחות החדשה בה היא המהירות שבה העימות התרחב מעבר ללוחמה המסורתית, והיה לסכסוך סייבר מורכב. שתי המדינות ושלוחיהן כיוונו לתשתיות קריטיות, פיננסים, בריאות, טלקום ולפגיעה באמון הציבור".

"ישראל ואיראן הן יריבות ותיקות בסייבר", כתבו המומחים בדו"ח. "FortiRecon, צוות מודיעין הדארקנט שלנו, קלט עלייה ב-'פטפוטים' לפני תחילת העימות הפיזי. תוך שעות מתחילת העימות, חל שינוי משמעותי בפעילות, המהווה עדות ברורה לכך שההיערכות לקרב סייבר כבר בעיצומה". החוקרים הבחינו בכמה קבוצות האקרים, שחלקן מזוהות עם איראן וחלקן עם ישראל, שמשתפות פעולה בערוצי טלגרם ובפורומים בדארקנט "כדי להשיק מתקפות סייבר מתואמות נגד מטרות ממשלתיות ופרטיות אצל האויב. הן הגדילו את השפעת המתקפות, בשיתוף מטרות ופרטי תקיפה".

על פי המומחים, בחודשים האחרונים היה "זרם מתמשך" של פעילות סייבר של קבוצות APT הקשורות לאיראן. כמו כן, הם עלו באחרונה, לפני תחילת המלחמה, על כמה מתקפות הכנה משני הצדדים – "מה שמצביע על כך ששתי המדינות היו בכוננות לקראת העתיד לבוא".

עלייה משמעותית בפעילות בסייבר לאחר ההפצצה האמריקנית

החוקרים ציינו כי מיד לאחר שארצות הברית הפציצה שלושה מתקני גרעין באיראן, החלה עלייה משמעותית בפעילות בסייבר. "זוהו כמה קבוצות פעילות במיוחד בתקופה זו, בעיקר בהשחתת אתרים והתקפות מניעת שירות מבוזרות (DDoS)", כתבו.

מי נגד מי?

במחקר צוין כי קבוצות ההאקרים המזוהות כפרו-ישראליות הן: אנונימוס איטליה, BlackWolves | تیم سایبری, טים נטוורק 9 וקיימוס. עוד הם ציינו את קבוצת הדרור הטורף, שהתהדרה במתקפה על נוביטקס, בורסות הקריפטו מהגדולות באיראן, שמחקה 90 מיליון דולר במטבעות קריפטוגרפיים, וכן במתקפה שבה היא השביתה בנקאות מקוונת וכספומטים. "מתקפות משתקות על גופים פיננסיים מדגימות שינוי בטקטיקה, שמטרתה לפגוע הן בתשתיות הציבוריות והן באמון הציבור", קבעו אנשי פורטינט.

הקבוצות שזוהו כ-פרו-איראן הן: מאדקאפ, Z-BL4CX-H4T, כוחות הסייבר המרוקאים, Al Ahad | ٱلْ أَحَد, השדים הערביים, פדאיין (השם שבו כונו המחבלים ממצרים, שהסתננו לישראל בשנות ה-50'), התנגדות הסייבר האסלאמית, צבא ההאקרים האסלאמי ו-MTB.

עוד עסקה איראן בסייבר בחבלה בתשתיות ובלוחמה תעשייתית: "קבוצות סייבר איראניות כמו CyberAv3ngers, שפועלת תחת משמרות המהפכה, וקבוצות מסונפות לה, כגון MuddyWater, שפועלת במשרד המודיעין והביטחון האיראני (MOIS), מתמקדות זה מכבר במערכות בקרה תעשייתיות בארצות הברית, בישראל ומחוצה לה", נכתב. "CyberAv3ngers טענה ב-30 באוקטובר 2024 שפרצה ל-10 תחנות טיהור מים בישראל באמצעות תקיפת מכשירי יוניטרוניקס שהוגדרו באופן שגוי. לא נחשף בפומבי שציוד כלשהו נפגע".

גוף נוסף שצוין במסמך הוא קבוצת הכופרה הפרו-פלסטינית חנדלה, שתקפה מטרות רבות, לרבות קבוצת דלק והחברה הבת שלה, דלקול, יצרנית המל"טים הארגנטינאית AeroDreams, חברת הבנייה הישראלית Y.G, המתמחה בהשקעות נדל"ן, ספקית התקשורת והרשת פרימו טלקום 099 ועוד. "חנדלה נצפתה בעבר תוקפת ארגונים ישראליים באמצעות נוזקת הרס מגב (Wiper). בחלק מהמקרים המטרה הייתה דליפת נתונים משבשת", כתבו עורכי המחקר.

מנגד, צוינו בדו"ח גם תקיפות תשתיות נגד איראן, "שתועדו בהזדמנויות רבות": מתקפת הסייבר על מערכת הרכבות האיראנית ב-2021, חבלה בצנטריפוגות במתקן הגרעיני בנתנז וכן מתקפת סטוקסנט הידועה, "שסימנה אבן דרך משמעותית בהיסטוריה של לוחמת הסייבר".

"לפעולות אלה יש השלכות מוחשיות בעולם האמיתי: שיבושים במערכות שאיבה ונזק למתקנים פיזיים עלולים להסלים – מחדירות דיגיטליות לכשלים מוחלטים בתשתית קריטית… מעבר לשיבוש מיידי, יש גם רצון להשפעה פסיכולוגית על האוכלוסייה".

קבוצות APT איראניות

אנשי פורטינט ציינו את קבוצות ה-APT (מתקפות עקביות ומתקדמות) האיראניות MuddyWater, APT33, APT34/OilRig ו-Rocket Kitten, "שממשיכות לפגוע במגוון ארגונים ממשלתיים ופרטיים במגוון מגזרים: טלקום, ממשל מקומי, ביטחון וארגוני נפט וגז. APTs אלה מכוונים לדיפלומטים, אנשי ביטחון ואקדמאים בישראל ובמדינות שהן בעלות ברית שלה".

יש כמה וכמה קבוצות APT איראניות. צילום: BigStock

החוקרים הבחינו בטכניקות המשמשות להשגת גישה ראשונית לרשתות להתקפות המשך: פישינג ממוקד מאוד, שימוש בהודעות מייל לטובת דיוג חנית (ספייר פישינג), עם קישורים זדוניים וקבצים מצורפים שמכילים קישורים לארכיונים שמתארחים בפלטפורמות שונות לשיתוף קבצים, חברות מזויפות ואפילו דיפ פייק. עוד הם ציינו כי "ארגונים אמריקניים, אירופיים ואזוריים, במיוחד אלה המחוברים באמצעות שרשראות אספקה ישראליות, מתמודדים עם נזק אגבי פוטנציאלי מהתקפות שגויות או אופורטוניסטיות".

תעמולה דיגיטלית

המחקר מציין גם את מתקפות התודעה, שהולכות ומתרבות בשנים האחרונות. "מבצעי סייבר ושימוש בתעמולה דיגיטלית הולכים כעת יד ביד", כתבו חוקרי פורטינט. "זו כוללת התרעות שווא על טילים, תוכן שעבר מניפולציה והדלפת מידע רגיש להפחיד אזרחים. הבינה המלאכותית מקשה עוד יותר על הזיהוי, אבל זה לא תמיד מצליח, כפי שמראים הניסיונות ליצור תמונות של מטוס B-2 אמריקני שהופל כביכול. ככל שהתחום ישתפר, יהיה קשה יותר ויותר להבחין בין תוכן AI ומציאות".

זה AI: מטוס B-2 ש-"הופל" על ידי האיראנים. צילום: לכידת מסך מהמחקר של פורטינט

עוד צוין כי איראן, וכן החמאס, "עושות, זה שנים, שימוש לרעה במצלמות כדי לעקוב אחר תנועות של אנשים. הן מדגישות את הסכנות של מכשירי IoT לא מאובטחים שהופכים לדלתות אחוריות, ומספקים מודיעין סיור". יצוין כי חוקרי צ'ק פוינט מצאו שהאיראנים חדרו למצלמות אבטחה בישראל גם במלחמה הנוכחית, במטרה לאתר מיקומים של נפילות טילים, ולנסות ללמוד מזה, על מנת לדייק את הביצועים שלהם ולגרום לנפגעים רבים יותר.

צנזורה דיגיטלית והחרמת מידע

חוקרי פורטינט מציינים גם את העובדה שהשלטונות באיראן הורידו במלחמה כמעט לחלוטין את רשת האינטרנט, וכי המהלך הזה גרם לעלייה כמעט כפולה בשימוש של האיראנים ברשתות VPN.

לסיום כתבו החוקרים כי "מלחמת ישראל-איראן ממחישה כיצד לוחמה דיגיטלית היא כיום חלק בלתי נפרד מהעימות הקינטי. היא מכוונת לא רק למערכות צבאיות, אלא גם לרשתות אזרחיות, תאגידיות ובינלאומיות, וכך מגבירה את הסיכונים ברחבי העולם. המגנים זקוקים לגישה חדשה, שכן לשדה הקרב הקיברנטי של ימינו אין גבולות".

.