חוקרים: "הסייבר של משמרות המהפכה – חובבני"

"קיים כשל מבני בדרך שבה איראן מנהלת את פעילות המודיעין המשולבת שלה. הניתוח שלנו מעלה כי בניגוד לציפיות מגוף צבאי בעל משאבים, מטה 40 (Department 40) פועל מתוך הלך רוח של האקרים ולא של אנשי מודיעין מבצעיים מקצועיים – תוך ערבוב לא הגיוני של משימות מודיעין שונות בתוך אותה יחידה", כך לפי קבוצת מחקר הסייבר DIR של טרנד מיקרו (Trend Micro).

באוקטובר האחרון פרצה קבוצת האקרים בשם מכסחי החתולים (Kitten Busters – הדהוד לשמות של קבוצות האקרים איראניות ששמן הוא חתלתול, י”ה) לרשת האיראנית. הם פרסמו מסמכים גנובים מ"מחלקה 40" ב-GitHub, כולל כלי סייבר, דו"חות פנימיים והנחיות בשפה הפרסית. מחלקה 40 היא שם נוסף לקבוצת חתלתול מקסים (Charming Kitten). הדליפה נחשבת לאחת מהמשמעותיות אצל הרעים – ומספקת הצצה לפעילותה, לנוהלי העבודה שלה ולזהות העובדים בה.

מטה 40 היא יחידת הסייבר של משמרות המהפכה (IRGC-IO) והיא כפופה לאגף 1500, האחראי למבצעי חוץ. לפי החוקרים, "מטה 40 מפגין חוסר עקביות דרמטי בניהול המשימות, המתבטא בשני היבטים. האחד, היחידה מקשרת באופן ישיר בין מבצעי סייבר טהורים לבין תכנון טרור קינטי (חיסולים). מטה 40 מפתח ומפיק רחפנים מתפוצצים למטרת טרור, כשהמודיעין לתקיפות אלו נאסף באמצעות פריצה למערכות סוכנויות נסיעות (FlyDubai, EgyptAir) או בתי מלון יווניים. זהו שימוש מבצעי-לוגיסטי בסייבר, כשלב בשרשרת הרג, אך הערבוב הזה – של לוגיסטיקה, פיתוח אמל"ח ואיסוף מודיעין – תחת יחידה אחת, מעיד על ליקוי חמור בקווי ההפרדה המבצעיים".

ההיבט השני בחוסר העקביות, כתבו, "הוא, שהיחידה לא רק תוקפת גורמים זרים (כגון משטרת דובאי, או משרדי ממשלה בירדן) – היא מפעילה במקביל מודיעין נגדי פנימי. דוגמה לכך היא ביצוע מעקבים פיזיים בטהראן, יחד עם ריגול נגדי סביב שגרירויות מערביות, כולל ניטור שגרירויות גרמניה, טורקיה ויפן".

חוקרי טרנד מיקרו טוענים, כי "המסמכים שדלפו מאשרים כי במטה 40 קרס עקרון ההפרדה והמידור הנדרש בארגון מודיעין מקצועי. המקרה הבולט ביותר הוא מסמך סודי ביותר, מ-2004, שנכתב על ידי משרד המודיעין (MOIS), ונמצא במחשבו האישי של מפקד מטה 40, עבאס רהרווי. המסמך, הדן בהשגת דו"חות חשאיים של סבא"א (IAEA) על תוכנית הגרעין, מספק הקשר לכך שאחד מכותביו, אולי היינונן, הוגדר מאוחר יותר כיעד איסוף של מטה 40".

על פי חוקרי DIR של טרנד מיקרו, "העובדה שמסמך מודיעיני אסטרטגי כל כך, המקשר בין השגת מידע מודיעיני לבין מטרות החיסול הקינטיות של היחידה, מאוחסן בתשתית הרשת האישית של המפקד, מלמדת על כשל חמור בביטחון המידע הפנימי ועל התנהלות של 'חאפרים' טכניים בעלי גישה בלתי מוגבלת – ולא של מנהלי מודיעין ממוסדים".

לפי החוקרים, "דו"ות העבודה היומיים שנחשפו, של צוות הפישינג, ממחישים הלך רוח בעייתי: במקום להתמקד במשימות איסוף מודיעין ברמה גבוהה, הצוותים האיראניים מבזבזים זמן רב על התמודדות עם לוגיסטיקה חובבנית. בנוסף, ניסיונות הפישינג מלמדים על חוסר תחכום טכנולוגי ועבודה רבה ב'שיטת מצליח', בלא מיקוד והגדרות אופרטיביות מדויקות".

"המסמכים שפורסמו מעידים על חפיפה בין חשבונות ונכסים המיועדים למבצעי השפעה, דעת קהל, פישינג ותקיפות", כתבו החוקרים. "מדובר בבזבוז זמן יומיומי. הדו"חות מתעדים שעות עבודה שהוקדשו לפתרון תקלות בסיסיות וחוסר יכולת טכנית להתמודד עם שגיאות קלות".

בנוסף, "קיימת תלות באבטחת חשבונות פייק – הפעילים מנהלים קמפיינים הנסמכים על חשבונות פייסבוק וטוויטר רגישים שנקנו בשוק הפתוח. ידוע שיש להמתין 3-5 ימים לפני שינוי האימייל הראשי בחשבונות שנקנו, מחשש שהפלטפורמות יחסמו אותם. זה מעיד שהיחידה לא הצליחה לייצר בסיס אמין של זהויות מבצעיות, ונאלצת להתמודד בקביעות עם מערכות הגנה אזרחיות מערביות".

"מטה 40 מנוהל כארגון צבאי ממוסד, עם זהויות כפולות לדרג הפיקוד, תשתית ביטקוין מתוחכמת, המשתמשת בארנקים חד-פעמיים כדי לשמור על אבטחה פיננסית גבוהה, ופלטפורמת מעקב טוטאלית", סיכמו חוקרי טרנד מיקרו, "ודווקא היחידה הזאת, בעלת המשאבים והמומחיות הטכנית הגבוהה, נכשלת ברמת אבטחת המידע המודיעיני הבסיסית ביותר, ומבזבזת משאבים אדירים על תפעול קמפיינים טקטיים, שאינם עומדים בסטנדרטים מקצועיים, כתוצאה מהערבוב הכאוטי של יעדים ומשימות תחת קורת גג אחת".