"הסיכון למתקפות סייבר – גדל משמעותית"

"המעורבות הצבאית של איראן עם ישראל וארה"ב, מגבירה משמעותית את הסיכון למתקפות סייבר. מלחמת תריסר הימים הרחיבה את שדות הקרב המסורתיים לתחום הדיגיטלי", כך לפי חוקרי יחידה 42, חטיבת מחקר האיומים של פאלו אלטו (Palo Alto).

בדו"ח שהנפיקו החוקרים הם כותבים כי "אמנם עדיין לא ראינו עלייה דרמטית במתקפות סייבר בהכוונה איראנית, אך הסלמה נוספת עלולה להתבטא בעלייה בפעולות סייבר – הן על ידי קבוצות בחסות מדינה והן על ידי האקרים עצמאיים. מטרתם תהיה לשבש, לאסוף מודיעין או להשפיע על מי שנתפשים כיריבים".

לפי החוקרים, "לקבוצות איומים איראניות בסייבר יש היסטוריה של פגיעה בתשתיות קריטיות ובתעשיות רגישות בארגונים ציבוריים ופרטיים ברחבי העולם. למתקפות שכאלה עלולות להיות השלכות מרחיקות לכת".

The latest Threat Brief from Unit 42 is an overview of cyberattacks related to Iran. As events gain more attention, we delineate the potential attack scope and provide recommendations. This resource includes Iranian threat groups tracked by Unit 42. https://t.co/eakDER0UCS pic.twitter.com/yO3TZqlrJF

— Unit 42 (@Unit42_Intel) June 25, 2025

"ייתכן שהפעילויות יתעצמו עוד יותר בשל האירועים האחרונים"

"בשנתיים האחרונות", נכתב, "נצפו קבוצות והאקטיביסטים הנתמכים בידי איראן, המרחיבים את פעילות הסייבר הגלובלית שלהם בכמה דרכים: מינוף של בינה מלאכותית יוצרת (GenAI) להנדסה חברתית, ופעולות השפעה; קישור ישיר בין מתקפות הרסניות לאירועים גיאו-פוליטיים. ייתכן שפעילויות אלה יתעצמו עוד יותר בשל האירועים האחרונים, ויכללו: מתקפות הרס, השחתת אתרים, מתקפות מניעת שירות מבוזרות (DDoS), גניבת נתונים ומתקפות מסוג 'מגב', המזכירות מתקפות עבר מקבוצות איראניות שכיוונו למגזרי החינוך והטכנולוגיה בישראל".

"איראן היא אחת מארבעת מדינות הלאום שאנו עוקבים אחריהן, לצד סין, רוסיה וצפון קוריאה. המטרות העיקריות של האקרים מאיראן הן ריגול ושיבוש. קבוצות אלה משתמשות במגוון טקטיקות, טכניקות ונהלים (TTPs), כולל קמפיינים ממוקדים של דיוג חנית וניצול נקודות תורפה ידועות".

עוד ציינו החוקרים כי "כך, באחרונה זיהינו תשתית חשאית איראנית לריגול: ההאקר התחזה לסוכנות מודלים גרמנית, לביצוע ריגול סייבר. הוא פרס אתרים מזויפים כדי לאסוף נתוני מבקרים נרחבים, מה שמרמז על יעדים אסטרטגיים לאיסוף מודיעין".

החוקרים המשיכו ועדכנו שראו קבוצת איומים איראנית, חתלתול מקסים (CharmingKitten) – או בשמה הנוסף Agent Serpens – משתמשת ב-GenAI ב-PDF זדוני, אותו היא מסווה כמסמך של ארגון המחקר האמריקאי RAND. לדבריהם, "הקבוצה פרסה את ה-PDF הזה לצד נוזקות ממוקדות".

בסעיף "פעולות הרסניות מתמשכות", ציינו חוקרי פאלו אלטו את קבוצת Agonizing Serpens APT הנתמכת על ידי איראן, שתקפה ארגונים במגזרי החינוך והטכנולוגיה בישראל במהלך ינואר-אוקטובר 2023, במטרה לגנוב נתונים רגישים, ולהשמיד מערכות.

Iranian threat group #AgentSerpens (#CharmingKitten) was observed likely using generative AI in a malicious PDF masquerading as a document from U.S. non-profit research organization, RAND. The PDF is deployed alongside Agent Serpens’ “PowerLess” malware. https://t.co/IyY0RJQZIz pic.twitter.com/ITM8jQxB4S

— Unit 42 (@Unit42_Intel) June 9, 2025

ארבע פעילויות פוטנציאליות של איומי סייבר

החוקרים פירטו ארבע פעילויות פוטנציאליות של איומי סייבר: האיום הראשון – שחקני איום של מדינות לאום איראניות – "בטווח הקרוב, האקרים איראנים צפויים למנף התקפות ממוקדות, החל מהודעות דוא"ל פישינג המכוונות לדיפלומטים ועד נוזקות הרסניות המכוונות לארגונים בעלי קשרים לאינטרסים אמריקנים".

האיום השני מגיע מצד האקטיביסטים: "סביר להניח שהאקטיביסטים התומכים באיראן ימשיכו לבצע התקפות משבשות ולהשפיע על פעולות המכוונות לאינטרסים מבוססי ארה"ב, הן מבית והן מחוצה לו. זה כולל התקפות DDoS כדי לשבש את הגישה לאינטרנט ולהשפיע על פעולות בפלטפורמות מדיה חברתית".

פוטנציאל איום נוסף מגיע מצד קבוצות פושעי סייבר: "קבוצות אלה יכולות לנצל באופן אופורטוניסטי את אי הוודאות העולמית, כדי להשיק קמפיינים של דיוג, ולמנף אירועים עולמיים כנושא להודעות דוא"ל וקבצים מצורפים זדוניים".

האיום הרביעי והאחרון, כתבו החוקרים, "הוא מצד שחקנים אחרים של מדינות לאום: קיים פוטנציאל לשחקני איום אחרים של מדינות לאום, שיעשו שימוש באירועים – כדי לקדם את האינטרסים שלהם. התקפות אלה יכולות לכלול מבצעי 'דגל כוזב', בהם שחקנים ממקום אחר מלבד איראן, מסווים את התקפותיהם, כך שייראו כאילו מקורן באיראן. ראינו זאת בעבר, כאשר רוסיה חטפה את תשתית הסייבר של איראן ב-2019, כדי לשקם רשתות (שלה) שנפגעו על ידי שחקנים איראניים". 

"אנו עוקבים אחר שחקנים שונים בחסות המדינה האיראנית, הפועלים תחת השם Serpens", סיכמו החוקרים. "קבוצות אלה עשויות להגביר או להסלים את הפעילות בשבועות הקרובים. יכולות הסייבר האיראניות משמשות לעתים קרובות להדהוד ולהגברה של מסרים פוליטיים. מאמצים אלה צפויים להתמקד ביעדים אזוריים (למשל, ישראל) וכן במה שהם רואים כיעדים בעלי ערך גבוה (למשל, פוליטיקאים, מקבלי החלטות מרכזיים וגורמים אחרים המעורבים ישירות). קמפיינים בחסות המדינה עשויים להתמקד בשרשראות האספקה, התשתיות הקריטיות, הספקים או הספקים של הקורבנות שלהם. רוב מתקפות הסייבר שדווחו הן התקפות מניעת שירות (DDoS) משבשות במכוון. תוקפי צד ג', כגון האקטיביסטים ושחקני פרוקסי, תומכים בדרך כלל בצד זה או אחר, במטרה להשפיע לרעה ולהשפיע על הצד השני. על פי הדיווחים, 120 קבוצות האקרים פעילות בתגובה לאירועי העימות בין ישראל לאיראן. דיווחים אחרים מצביעים על פעילות מצד קבוצות פושעי סייבר וגם קבוצות פרוקסי הנתמכות על ידי המדינה".