"אין ראיות למסעות הרס איראניים – אבל זה עלול להשתנות"

"אין ראיות מאומתות לקמפיינים איראניים הרסניים, במסגרתן מופעלות נוזקות מחיקה (Wiper), או למתקפות סייבר רחבות היקף על תשתיות הקשורות ישירות למתקפות. אבל מצב זה עלול להשתנות", כך כתבו בפוסט (א') חוקרי פורטינט (Fortinet) – דרק מאנקי, קארל וינדזור ואמיר לחאני.

"היסטורית", כתבו השלושה, "תגובות הסייבר האיראניות לאירועים גיאופוליטיים אינן תמיד מיידיות, אך הן עלולות להיות משבשות. באירועים הקודמים, גורמי איום בסייבר הקשורים לאיראן, הפגינו סבלנות בטרם פעלו".

"התקיפות של ארה"ב וישראל על מטרות איראניות מעלות חששות מיידיים לגבי נקמת סייבר מצד איראן. ישנן ראיות מוגבלות לפעולות סייבר איראניות מתואמות, המבוצעות בקנה מידה רחב ושקשורות ישירות למתקפות. זה לא אומר שרמת האיומים תישאר כזו לאורך זמן".

לפי חוקרי FortiGuard Labs, גוף מחקר האיומים והמודיעין של פורטינט, "אנחנו רואים כרגע עלייה בפעילויות סייבר אזורית. היא קשורה בניסיונות שינוי תודעתי, השחתות, הפרעות שידור וניסיונות חדירה אופורטוניסטיים. הכל מתרחש בצילו של הסכסוך".

הם ציינו כי "בעימותים קודמים ראינו מתקפות מתרחבות במהירות מחוץ לשדה הקרב המסורתי. היו גורמים שהתמקדו אפילו בארגונים עם הקשר הרופף ביותר לאויביהם. היו מי שכוונו לא רק למערכות צבאיות, אלא גם לרשתות אזרחיות, תאגידיות וחוצות גבולות". לדבריהם, "באירועי עבר, האקרים המקושרים לאיראן הפגינו סבלנות ופעלו ימים או שבועות לאחר האירוע הראשוני, כשתשומת הלב השתנתה וההגנה התרופפה".

Cyber Fallout After the Strikes: Signal, Noise, and What Comes Nexthttps://t.co/N3Jfiwz2ev

— Jeff Whitehead (@Whitehead4Jeff) March 4, 2026

הגל הראשון הוא רעש – ההיערכות לגל השני

"בעימות הנוכחי", כתבו החוקרים, "ראינו השחתה ופגיעה ביישומים ונכסי מדיה איראניים, כולל אפליקציית לוח השנה BadeSaba הנפוצה; הפרעות בשידור ובתקשורת המפיצות מסרים פסיכולוגיים; שיבושי קישוריות לאינטרנט בתוך איראן; הגברת טענות מבוססות טלגרם אודות מתקפות סייבר המכוונות לישראל, ירדן, אפגניסטן ומדינות וישויות נוספות באזור; שיח מוגבר המצביע על מיקוד פוטנציאלי בשירותים פיננסיים ותשתיות קריטיות".

"רוב האירועים הללו נחלקים לשלוש קטגוריות: פעולות פסיכולוגיות, האקטיביסטיות וניצול אופורטוניסטי של רעש גיאופוליטי", הוסיפו. "בתוך כלל האירועים, בולטת המגמה הדחופה יותר: ניצול הרעש. דפוס אחד ראוי לתשומת לב מדוקדקת יותר: תקופות של הסלמה גיאופוליטית יוצרות סביבה רועשת שגורמי איום – כולל אלה שאינם קשורים ישירות לסכסוך – מנצלים לטובתם. הן יכללו השקת קמפיינים של פישינג בנושא חדשות מתפרצות, הפצת התרעות מזויפות מלאות נוזקות, או עדכוני אבטחה מזויפים. כולם מוסווים בתוך הכאוס המתפתח".

ארגונים צריכים להתכונן לטקטיקות מוכרות שהצליחו בעבר

"סביבות קונפליקט מספקות כיסוי לפעילות זדונית", כתבו השלושה. "הייחוס הופך לקשה יותר, הבחנה בין מדדים אמינים לטענות ממוחזרות דורשת מאמץ רב יותר, ופעולות 'דגל כוזב' קלות יותר לביצוע. כתוצאה מכך, הסיכון התפעולי של גורמי ההגנה גובר – גם כאשר תגובה אסטרטגית מתואמת עדיין לא התרחשה".

החוקרים ציינו כי "יש פעולות שכדאי לשים לב אליהן. בהתבסס על קמפיינים איראניים קודמים ועל התנהגות איומים אזורית רחבה יותר, ארגונים צריכים להתכונן לטקטיקות שהוכיחו את עצמן כיעילות: נוזקות מגב (מחיקה, Wiper) המתמקדות במגזרי ממשלה או אנרגיה; קמפיינים מבוזרים של מניעת שירות נגד מוסדות פיננסיים; קצירת פרטים מזהים סביב נושא של עדכונים הקשורים לקונפליקט; עדכוני אפליקציות מובייל מזויפים, או מתקיני תוכנה מזויפים; והשחתות אתרים שנועדו להניע הגברת מדיה".

"ייתכן שלא נראה סימני אזהרה מוקדמים", סיכמו הכותבים. "קונפליקט זה אינו דומה לקמפיין סייבר טיפוסי, המונע ממניעים פיננסיים. כאשר מעורבות פעולות פיזיות, תיאום תפעולי, אם קיים, לא סביר שיתרחש בערוצים פתוחים. במקום זאת, פעילות התכנון עשויה לעבור לתקשורת מוגבלת או חשאית ולהתרחש זמן רב לפני ההפעלה.

פעילות סייבר זדונית עלולה להגיע במהירות לפתח הארגון שלכם. לא ראינו כרגע פעולות סייבר איראני רחבות היקף מאומתות הקשורות ישירות למתקפות האחרונות. עם זאת, הבחנו בעלייה בפעילות סייבר אזורית ועלייה מדידה בהתנהגות אופורטוניסטית. בעימותים כאלה, הגל הראשון הוא לעיתים קרובות רעש. אם יגיע גל שני, הוא יכול להיות שקט יותר, מתואם וממוקד יותר, כך שחשוב להיות מוכנים למקרה שזה יקרה. מומלץ לארגונים לנצל את חלון הזמן הראשוני הזה לחיזוק היגיינת סייבר, לאכיפת אימות חזק ואימות רב-שלבי ולהפחתת חשיפה".