מתקפות הסייבר האיראניות עוברות מהמשטר לפרוקסיז ולהאקטיביסטים

מאז תחילת המלחמה, ההנהגות, הבכירים והתשתיות המרכזיות של משמרות המהפכה ומשרד המודיעין והביטחון של איראן נפגעו בהיקף לא קטן. בין השאר, ישראל תקפה את מטה הסייבר של המדינה במזרח טהרן. לכן, קבוצות האקרים הפועלות בגיבוי המשטר באיראן, פרוקסיז, כמו גם האקטיביסטים שקשורים אליה מחליפים חלקית את תוקפי הסייבר שנפגעו, ומהווים גורם פעיל מאוד מאז החלה המלחמה – כך לפי מומחי אבטחה. לדבריהם, שני סוגי הקבוצות "מפגינים עמידות – גם כאשר משמרות המהפכה ויחידות משרד המודיעין במדינה הותקפו ונפגעו על ידי צבאות ארצות הברית וישראל".

לפי המומחים, הדבר מהווה מימוש של אסטרטגיית הסייבר של איראן, שמתמקדת בניצול היכולות ההתקפיות שלה בסייבר כחלק ממערכה א-סימטרית, "במטרה להשפיע פסיכולוגית (על האויבים שלה – י"ה) ולהתמודד עם מחסור במשאבים".

"איראן – שחקן איום מוכשר מאוד בסייבר"

"בשנים האחרונות", ציינו, "איראן היא שחקן איום מוכשר מאוד בסייבר: היא נסמכה הן על מוסדות מדינה והן על האקטיביסטים (האקרים אקטיביסטים). היא השתמשה במגוון טקטיקות בסייבר לטובת ריגול ושיבוש מטרות, כולל בארצות הברית. בעוד שהחיסולים של אמריקה וישראל פגעו בפעילות קבוצות ה-APT (קבוצות תקיפה הפועלות באופן עקבי ומתמשך – י"ה), במיוחד אלה שתחת משמרות המהפכה, הרי שפרוקסיז וקבוצות האקטיביזם פרו-איראניות ממשיכות לנהל קמפיין סייבר משמעותי נגד ארצות הברית, ישראל ובעלות בריתן".

המומחים הסבירו כי "חוסן זה הולם את דוקטרינת ההגנה של איראן, שהיא 'פסיפסית': הביזור של הכוחות הופך אותם ליותר עמידים, ומפצה על חיסולי הבכירים".

"הסייבר האיראני נועד להתיש את מגיני הסייבר במדינות האויבות שלה ולפגוע בתמיכה הפוליטית במלחמה בקרב הציבור האמריקני. זהו יסוד אסטרטגי בלחימה הא-סימטרית של איראן", כתבו.

לצד הפרוקסיז – נקמה

מאפיין נוסף להתנהלות של איראן במצור שהוטל עליה, ציינו מומחי אבטחה, הוא "פעולות תגמול בסייבר. אלה רלוונטיות במיוחד במסגרת ההגנה והאסטרטגיה שלה, בשבוע השלישי של המלחמה. למרות הידרדרות משמעותית בתשתית הפיקוד והשליטה של משמרות המהפכה, תגובת הסייבר של איראן מהירה ומפוזרת – מה שמדגיש את יעילות השחקנים שלה בסייבר". חוקרי קלאודסק ופאלו אלטו ציינו כי "בתוך שעות מתחילת המבצע, יותר מ-60 קבוצות האקטיביזם פרו-איראניות הקימו קואליציה בשם 'ההתנגדות האסלאמית בסייבר' ופעלו במרחב הקיברנטי". לפי חוקרי קלאודסק, "הקולקטיב הפרו-איראני מארגן את התקפותיו ב-'חדר מבצעים אלקטרוני' בטלגרם. הם פועלים ממניעים אידיאולוגיים ולא מאחר שהם תחת חסות של המדינה. מצב זה מקשה על מעקב אחר תנועותיהם".

פלטפורמת מודיעין הסייבר SOC Radar קבעה כי "בשבועיים הראשונים למלחמה, הקולקטיב לקח אחריות על יותר מ-600 מתקפות נפרדות, ביותר מ-100 ערוצי טלגרם". עם זאת, צוין כי "חלק מהטענות לא ניתנות לאישוש".

"הסיכון המיידי לא יגיע מהמפקדים החדשים, אלא מהפרוקסיז"

חוקרי ביונד טראסט ציינו כי "הסיכון המיידי ביותר לא יגיע מהמפקדים החדשים שהחליפו את אלה שנהרגו במשמרות המהפכה – אלא ממערכת שלמה בסייבר, שנבנתה ונערכה מראש, של קבוצות פרוקסי שפועלות תחת הנחיות המשטר, לצד קבוצות שפועלות עצמאית, ממניעים אידיאולוגיים".

בקלאודסק יודעים לספר שכמה קבוצות איראניות ותיקות שקשורות למדינה פועלות נגד תשתיות קריטיות אמריקניות. על פי החברה, הקבוצות CyberAv3ngers ,APT33 ו-APT55, שקשורות למשמרות המהפכה, השיקו מתקפות על מערכות בקרה תעשייתיות אמריקניות, מחשבים שמפעילים תשתיות פיזיות כמו מתקני טיהור מים, רשתות חשמל וקווי ייצור, וכן חברות אנרגיה וחשמל. כמו כן, הן תוקפות אנשים שקשורים למגזרי האנרגיה והביטחון בארצות הברית, כדי לאסוף עליהם מידע שמועבר למודיעין איראני. "את הגישה הראשונית עורכת קבוצת מים עכורים (MuddyWater): היא תוקפת ארגונים מתחומי התקשורת, הנפט והגז, וארגוני ממשלה, אוספת סיסמאות על ידי פריצה לרשת ומעבירה אותן לתוקפים אחרים", כתבו החוקרים. הם לא ציינו מה מידת ההצלחה של המתקפות.

לפי סימנטק וקרבון בלאק מבית ברודקום, "האקרים איראנים התקינו דלתות אחוריות ברשתות של כמה חברות אמריקניות בסוף פברואר". הממצא מהדהד למתקפה של קבוצת חנדלה על חברת המכשור הרפואי סטרייקר ממישיגן, שפקידים אמריקניים תיארו כ-"מתקפת הסייבר המשמעותית ביותר בזמן מלחמה נגד ארצות הברית אי פעם". סטרייקר, המשרתת 150 מיליון מטופלים בשנה, הורתה לעובדיה בעולם להתנתק מכל הרשתות שלהם.

סיוע רוסי

חוקרי קראודסטרייק מצביעים על כך שאיראן מקבלת סיוע רוסי במרחב הסייבר. כך, קבוצת ההאקרים הרוסית Z-Pentest משבשת ומפריעה לפעילות של רשתות אמריקניות מתחילת המלחמה – כתמיכה בטהרן, "אך לא ברור האם הפעילות שלה מתואמת מול הקרמלין".

אחד החוקרים כתב ש-"איראן היא יריב סייבר עוצמתי, שלעתים קשה לחיזוי. היא לא תהסס לתקוף חברות חשמל וסוכנויות ממשל אמריקניות, ככל שהמלחמה תסלים". יצוין שלפני כמה ימים איראן פרסמה רשימה של חברות טכנולוגיה גדולות מארצות הברית שעלולות להיות יעד במלחמה.

אחד החוקרים היטיב לסכם: "מה שהופך את איראן ליריבה חזקה בסייבר הוא המצב של חוסר הוודאות שבו היא מצויה – בשילוב היקף המשאבים הדיגיטליים וההכנות המוקדמות מראש שלה. האיראנים הכינו את היסודות למתקפות סייבר ולפעולות השפעה, חודשים ואף שנים לפני שהמתחים הגיאו-פוליטיים החריפו".