איראן במקום הראשון במדינות שניסו לפגוע בסייבר בישראל ב-2025

בועז דולב, מייסד ומנכ"ל קלירסקיי. צילום: ניב קנטור

"ישראל ואיראן מנהלות מזה שלוש שנים מלחמה רציפה בסייבר. זו כוללת מתקפות הרס, ריגול ומבצעי השפעה ותודעה. השנה החולפת התאפיינה בעימותים מדינתיים וגיאו-פוליטיים, ובראשם המלחמה בין ישראל לאיראן, שהיא האירוע המרכזי בזירת הסייבר בישראל.

בתוך יממה מפרוץ המלחמה עם איראן, נרשמה קפיצת מדרגה משמעותית באופי ובהיקף התקיפות האיראניות, והן שינו במהירות רבה את דפוס הפעולה שלהן.

כעת, בסיכום 2025, ניתן לומר כי איראן מדורגת במקום הראשון בין המדינות שניסו לפגוע בסייבר בישראל השנה, ומנגד – שישראל עשתה השנה 'בית ספר' בסייבר לכולן", כך לפי מחקר חדש של קלירסקיי (ClearSky) הישראלית, שהגיע לידי אנשים ומחשבים.

בראיון לאנשים ומחשבים אמר בועז דולב, מייסד ומנכ"ל חברת הסייבר הישראלית, כי הקביעה שישראל היא שניצחה השנה במערכה בממד הסייבר, נובעת מכמה אירועים: השבתה של מערכות ניהול ובקרה ברחבי הרפובליקה האיסלאמית; ניסיון לפגוע במערך הטילים האיראנים; פגיעה ניכרת במערכת הפיננסית במדינה; וההערכה לפיה חלק מהמתקפות שאיראן חוותה – טרם פורסמו, ולפיכך הפגיעות משמעותיות יותר ממה שדווח.

מלבדן הותקפנו גם הסייבר. מתקפות הטילים האיראניות צילום: Shutterstock, Photo Agency

"גם האקרים מישראל, או פרו-ישראליים, לא ישבו בחיבוק ידיים"

לפי המחקר, "ביוני השנה חל גידול ניכר בכמות המתקפות על עסקים קטנים-בינוניים בישראל, והתוקפים התמקדו במשרדי עורכי דין, חברות בנייה וכוח אדם, וספקיות שירותים לוגיסטיים. האיראנים ביצעו מתקפות מניעת שירות מבוזרות (DDoS) על חברות סליקה ותשתיות תקשורת". 

עוד על פי המחקר, "קבוצות התקיפה האיראניות שינו מיידית את דפוס הפעולה שלהן ועברו ממבצעי איסוף מודיעין והדלפות מידע – לביצוע מתקפות הרס והפעלת קמפייני תודעה אגרסיביים".

גם האקרים מישראל, או פרו-ישראליים, לא ישבו בחיבוק ידיים: קבוצות התקיפה ערכו קמפיינים תודעתיים נגד איראן, שיתקו באופן כמעט מוחלט את קבוצות התקיפה האיראניות השייכות למשמרות המהפכה, פגעו פיזית במרכזי מחשוב קריטיים, פגעו פיזית בחלק מהמפקדים האיראניים המובילים בסייבר, וערכו תקיפות הרס על התשתיות הפיננסיות באיראן. "כל אלו", כתבו החוקרים, "גרמו לפגיעה קשה, הנאמדת במיליארדי דולרים במערכת הפיננסית האיראנית".

כמה קבוצות תקיפה איראניות בלטו בפעילותן השנה: מים עכורים (MuddyWater), וחתלתול מקסים (Charming Kitten), ולצידן – קבוצות תודעה איראניות, בהן DarkBit, Phoenix, סייבר טופאן (Cyber Toufan) וחנדלה (Handala). קבוצות אלו תקפו עשרות חברות בישראל. הקבוצות שילבו מסעות של פישינג ממוקד, הפצת תוכנות RMM להשתלטות מרחוק, ערכו הדלפות מידע רבות, ועשו שימוש בנוזקות הרס. חלק מהקמפיינים פעלו במתכונת משולבת: הדלפת מידע, לצד הפצת חדשות כזב ברשתות החברתיות, במטרה להרתיע ולפלג את החברה הישראלית.

תמונת מצב בסייבר לשנת 2025. צילום: קלירסקיי

ב-2026: "כולם על הכוונת"

"היקף המתקפות של מדינות על ארגונים בישראל, ובכללם ארגוני תשתיות קריטיות – יגדל", העריכו החוקרים. הם הוסיפו וכתבו כי "משרדי ממשלה, חברות אנרגיה, ספקים ביטחוניים, בנקים וארגוני בריאות – כולם על הכוונת, מכמה מניעים: ריגול וגניבת סודות וקניין רוחני, שיבוש וחבלה ופשיעה פיננסית. אם החיכוכים הגיאו-פוליטיים יימשכו, תקיפות מדינתיות יימשכו ב-2026, ויהוו חלק מהזירה. התוקפים ינסו למקסם השפעה, למשל, בשילוב מתקפות קיברנטיות וקינטיות".

"ב-2025 חלה עלייה מתמשכת בהיקף ובתחכום של קמפייני תקיפה הפועלים בישראל. איראן הייתה השחקנית המרכזית ביותר בסייבר נגד ישראל השנה", נכתב, "ושיא פעילותה היה במלחמת 'עם כלביא' – האירוע המרכזי בסייבר הישראלי".

לפי המחקר, "פעילות איראן מתבצעת בשני מישורים מקבילים: קמפייני תקיפה נגד גופי ממשל, מוסדות פיננסיים וארגונים אזרחיים בישראל, לצד קמפייני תודעה, שמטרתם להשפיע על דעת הקהל הישראלית, להעמיק שסעים בחברה ולעורר תחושות של חוסר ביטחון עם חדשות כזב ומידע מודלף".

החוקרים ציינו כמה מהמסעות הגדולים של איראן השנה: "משרת החלומות" (Dream Job) – קמפיין פישינג ממוקד לעבודה מפתה שערכה קבוצת התקיפה האיראנית TA455; וכן את קמפיין RMM, של 'מים עכורים', להפצת תוכנות השתלטות מרחוק בפישינג.

בין מסעות התודעה האיראניים, החוקרים ציינו את אלה של קבוצת התודעה 'חנדלה', "המפעילה את המספר הגדול ביותר של קמפיינים בישראל, לרבות הפצות של נוזקות Stealer ושילוב עם נוזקת הרס wiper". לפי המחקר, במלחמה הודלף מדי יום מידע של ארגונים ישראליים, "אך לפעולות לא הייתה השפעה אסטרטגית".

קבוצת התודעה 'סייבר טופאן' "כללה פרסום מידע של חברות ישראליות שנפרצו והפצת נוזקת הרס ייעודית בזיהוי ומיקוד מחשבים ישראליים". 

החוקרים זיהו נוזקת הרס חדשה שמשנה את רקע שולחן העבודה עם מסר אנטי-ישראלי ומצפינה קבצים. קבוצת התודעה DarkBit, המשויכת למשמרות המהפכה, שבה לפעול השנה ופרסמה נתונים מפריצות למכללות בארץ. Phoenix היא "קבוצת תודעה חדשה, שהחלה לפעול בפברואר, והדליפה ומחקה נתונים ממערכות". קבוצת התודעה Cyber Isnaad Front "הופיעה בראשונה ב'עם כלביא', והדליפה מידע מארגונים ישראליים".

"יש להעמיק ולשכלל את מערכות ההגנה בישראל"

לפי חוקרי קלירסקיי, "חלה עלייה חדה בכמות המתקפות במלחמה, ביניהן אלו מסוג מניעת שירות, DDoS, לצד גידול בפרסומים של קבוצות האקטיביסטיות אנטי-ישראליות".

"השנה", נכתב, "לא נצפתה פעילות סייבר מצד קבוצות תקיפה של חמאס. בנובמבר נחשפה פעילות מעקב רבת שנים של חמאס, אחרי כמאה אלף חיילי צה"ל ברשתות החברתיות – כהכנה למתקפת ה-7.10, תוך הצלבת אלפי פריטי מידע מהרשתות החברתיות ובניית מודלים מדויקים של כוחות צה"ל".

"המתקפות האיראניות על ארגונים בישראל יהפכו מתוחכמות יותר", סיכמו חוקרי קלירסקיי. "הן יתבססו על כלי AI ויסבו נזקים גדולים יותר לקורבנות בישראל. ניצול כלי AI כחלק מהמתקפות – לטובת התחזות, איתור חולשות וביצוע תקיפות רחבות על תשתיות ישראליות – יגרום ליותר נזקים בישראל ב-2026. יש להעמיק ולשכלל את מערכות ההגנה בישראל".