"אזהרת סייבר דחופה לחברות ישראליות בעלות קשרים בינלאומיים"

"גורמי תקיפת סייבר איראניים מסמנים כמטרה חברות בתעשיית הביטחון האמריקנית, והסיכון עבורן גובר במיוחד כשהן מקיימות קשרים עם חברות ביטחון ומחקר ישראליות. המשמעות המיידית היא: אם החברה שלכם מהווה צד לקשרים כאלה כשותפה, ספקית או לקוחה – אתם נמצאים בקו האש", כך אמר רם לוי, מנכ"ל ומייסד קונפידס.

לוי הוסיף כי "שרשרת האספקה והקשרים העסקיים של הארגון שנמצא על הכוונת של ההאקרים האיראניים הופכים לווקטור תקיפה מרכזי, והתוקפים יחפשו את החולייה החלשה ביותר כדי לחדור דרכה. מדובר באזהרה דחופה לחברות ישראליות בעלות קשרים בינלאומיים".

הוא ציין התרעה רשמית חריגה בנושא, שפרסמו באחרונה סוכנויות הביטחון של ארצות הברית – הסוכנות לביטחון לאומי, NSA, הבולשת, FBI, והסוכנות לאבטחת סייבר ותשתיות, CISA. לדבריו, אותה התרעה "חושפת דינמיקה מסוכנת עבור השוק הישראלי".

כך ההאקרים האיראניים פועלים

לוי פירט אודות אופן פעולתם של ההאקרים האיראניים: "התוקפים מנצלים פרצות אבטחה בסיסיות – מערכות בלא עדכוני אבטחה, שחשופות לפגיעויות ידועות (CVEs) שניתן למנוע; סיסמאות חלשות, שמביאות לכך שההאקרים משתמשים בכלי פריצה אוטומטיים נגד סיסמאות ברירת מחדל; ותקיפה ישירה של מערכות תעשייתיות ומערכות בקרה ותפעול (OT/PLC) – בדגש על כאלה מתוצרת ישראל".

"איום זה על שרשרת האספקה הוא ממשי ומיידי", אמר. "זוהי קריאת השכמה לבחון לא רק את ההגנות הפנימיות של הארגון, אלא גם את רמת האבטחה של שותפיו העסקיים. אסור לחכות לפריצה".

"מלחמת הסייבר של איראן נמשכת במלוא הקצב"

בתוך כך, הפייננשל טיימס דיווח אתמול (א') כי פעולות הסייבר בין ישראל לאיראן גברו מאז סיום מלחמת 12 הימים ביוני, וזאת למרות הפסקת האש. העיתון ביסס את הקביעה הזאת על דבריהם של גורמים ישראלים ומומחי אבטחת סייבר. "המערכה בשדה הסייבר התחממה אחרי המלחמה, ועדיין נמשכת", אמר בכיר ישראלי.

בועז דולב, מייסד ומנכ"ל קלירסקיי. צילום: ניב קנטור

בועז דולב, מייסד ומנכ"ל חברת מודיעין איומי הסייבר הישראלית קלירסקיי, ציין כי "מאז הפסקת האש ב-24 ביוני, קבוצות האקרים המזוהות עם איראן ניסו לנצל פגיעות בתוכנת השרתים של מיקרוסופט, שנחשפה באחרונה, כדי לתקוף חברות ישראליות". לדבריו, "מלחמת הסייבר של איראן נמשכת במלוא הקצב, אמנם יש הפסקת אש (בין ישראל ואיראן – י"ה) בעולם הפיזי, אבל לא בזירת הסייבר".

לפי דולב, "קבוצות הקשורות לאיראן ערכו מבצעי פריצה והדלפה נגד כ-50 חברות ישראליות, וגם ניסו לשתול נוזקות שמטרתן להשמיד מערכות מחשבים. נראה שהם לא הצליחו לחדור את ההגנות של צה"ל ושל חברות גדולות ביותר, ולכן עברו התוקפים להתמקד בעסקים קטנים, שהם מטבעם פגיעים יותר בשרשראות האספקה שלהם. אלה כללו ספקי לוגיסטיקה ודלק, כמו גם חברות משאבי אנוש, וההאקרים פרסמו מאוחר יותר קורות חיים של אלפי ישראלים בעלי רקע ביטחוני".

עוד סוג של מתקפות שחווה גידול ניכר בהיקף מאז סיום המלחמה הוא הודעות פישינג המתיימרות להגיע מדיפלומטים וממשרד ראש הממשלה – כך לפי צ'ק פוינט.

פעילות הסייבר של ישראל נגד איראן

מנגד, מומחי אבטחה ציינו כי מאז המלחמה, האקרים הקשורים לישראל ביצעו כמה מהתקיפות המשבשות ביותר נגד איראן. נראה שהקבוצה הפרו-ישראלית הפעילה ביותר היא הדרור הטורף. זהות חבריה אינה ברורה, ועל פי רוב ההערכות, הם תומכי ישראל. עם זאת, יש מומחים שסבורים אחרת, ושלדבריהם הדרורים הטורפים הם לא האקרים ישראלים או פרו-ישראלים.

במהלך המלחמה האחרונה נגד איראן, קבוצת הדרור הטורף תקפה קשות את רשת הבנקים הגדולה במדינה, ספאח, שקשורה למשמרות המהפכה. היא הביאה לכך שחלק מסניפי הבנק היו סגורים, שלקוחות לא הצליחו להשיג גישה מקוונת לחשבונותיהם ושהם לא היו יכולים למשוך כסף מכספומטים ששייכים לבנק. גם כרטיסים בנקאיים שהונפקו על ידי בנק קוסאר ובנק אנצאר, שקשורים לצבא איראן – לא פעלו. על פי הקבוצה, בנק ספאח שימש לעקיפת הסנקציות הבינלאומיות על איראן ולמימון פעילויות של משמרות המהפכה, לרבות תוכניות הטילים והגרעין.

קבוצת הדרור הטורף נטלה אחריות על המתקפות נגד הבנקים האיראניים, וכן על השמדת 90 מיליון דולר מבורסת הקריפטו האיראנית נוביטקס.

עוד מתקפות בתוך איראן שמיוחסות לקבוצה כוונו, בין השאר, נגד מגזרי התחבורה והפלדה. כך, מיוחסות לה פגיעות בתחנות דלק במדינה, בדצמבר 2023. הקבוצה ביצעה מתקפה על תחנות דלק במדינה גם באוקטובר 2021 – מתקפה שהשלטונות בטהרן עצמם הודו שפגעה ב-4,300 תחנות.

מנהיג איראן, עלי חמינאי. צילום: האתר הרשמי, מתוך ויקיפדיה

עוד תקיפה, שלפי חוקרי צ'ק פוינט תואמת לדרכי הפעולה של הדרורים הטורפים, אירעה שלושה חודשים קודם לכן – ביולי 2021, ופגעה בתחנות רכבת באיראן. התוקפים גרמו לעיכוב ולביטול נסיעות, ואף הביאו לפרסום מספר הטלפון בלשכתו של מנהיג המדינה, עלי חמינאי, כמספר הטלפון של מודיעין הרכבת, עם כיתוב שקורא לנוסעים להתקשר אליו.

אירוע נוסף שהקבוצה מקושרת אליה הביא להצתת אש במפעל פלדה באיראן. צילומי טלוויזיה במעגל סגור של המפעל הראו קבוצה של עובדים שעוזבים את המקום, ומיד לאחר מכן החלה להיפלט פלדה מותכת, שגרמה לפריצת השריפה.