חודש למלחמה: איראן חיה ובועטת בסייבר – בעיקר בפייק

לפני ארבעה שבועות פתחו ארצות הברית וישראל במתקפה משותפת על איראן – שהאמריקנים מכנים אותה זעם אפי וכאן קוראים לה שאגת הארי. צה"ל והצבא האמריקני נחלו הצלחות רבות במתקפות הקינטיות, וגם במרחב הסייבר – כולל כחלק מהמתקפה שפתחה את המלחמה, שבה חוסל המנהיג העליון של איראן, עלי חמינאי.

גם האיראנים, כצפוי, לא שקטו על השמרים במרחב הסייבר. הם הגדילו מאוד את היקף מתקפות הסייבר שלהם – בחודשים שלפני המלחמה ובפרט מאז שהיא פרצה. בשבוע שעבר כינס ראש מערך הסייבר הלאומי, תא"ל (מיל') יוסי כראדי, מסיבת עיתונאים, שבה דיווח על זינוק של 1,700% במתקפות הסייבר האיראניות על ישראל מאז תחילת המלחמה. לדבריו, המגזרים המועדפים על ההאקרים שלוחי הרפובליקה האסלאמית הם כאלה שהרציפות התפקודית שלהם חשובה ברמת המדינה – בתי חולים, חברות דלק ואנרגיה, וארגוני ייצור והפצת מזון, וכן חברות הנדסה, תשתיות ומשרדי אדריכלות. גם אנשי מערכת הביטחון נמצאים על הכוונת שלהם.

חוקרי יחידה 42, מודיעין האיומים של פאלו אלטו, ציינו בסקירה חדשה שהוציאו, לסיכום המלחמה עד כה, שלאיראן יש היסטוריה של מתקפות הרס כבר מאז 2012. "יש להם יכולת וכוונה", כתבו. החוקרים ציינו שבמהלך המלחמה, כמו גם לפניה, ההאקרים שלוחי טהרן "ערכו גלים רחבים של מתקפות שונות: הונאות פיננסיות, קצירת אישורים והפצת תוכן בלתי חוקית, שכוונו למגזר העסקי והצרכני. הם התחזו לגופים מהימנים ביותר: ספקיות טלקום גדולות, חברות תעופה לאומיות, רשויות אכיפת החוק ותאגידי אנרגיה קריטיים".

לפי החוקרים, "הם מינפו טקטיקות התחמקות זריזות, כולל חילופים של דומיינים, שרשור של תתי דומיינים, ותשתית ייעודית שנועדה לחקות פורטלים רשמיים של תאגידים ותהליכי עבודה של תשלומים ממשלתיים. יתר על כן, הם ניצלו באופן אופורטוניסטי את המלחמה באמצעות פיתיונות הקשורים אליה – כדי להקל על הונאות של תרומות והונאות קריפטו נרחבות. הם אף ניצלו את האמון במותגים אזוריים לגניבת נתונים ופיננסים, באופן מתוחכם".

מלחמה אזורית גם בסייבר

אנשי יחידה 42 ציינו שגם מלחמת הסייבר במסגרת המערכה הזאת היא אזורית, ומתנהלת אף מעבר למזרח התיכון: איראן תקפה לא רק את ישראל וארצות הברית, כי אם מדינות נוספות באזורנו. עוד הבחינו החוקרים בהסלמה בהיקף מתקפות הסייבר מצד פעילים מחוץ למדינה, "אך השפעתם בעלת משמעות נמוכה עד בינונית".

התוקפים האיראניים ותומכי המשטר רשמו אלפי דומיינים חדשים הקשורים לסכסוך, ששימשו ליצירת חנויות מזויפות, הונאות תרומות ואירוח פורטלים של פישינג. כך, חוקרי פאלו אלטו זיהו שני קמפיינים זדוניים נפרדים, שכוונו לאנשים באיחוד האמירויות הערביות – האחד הוא הונאה פיננסית, שבה נעשה שימוש במותג של חברת התעופה אמירייטס, והשני – הונאות קריפטו והשקעות, שם הם השתמשו בדומיינים שכוללים את המילה "דובאי", כביכול לצורך מכירת נדל"ן יקר ערך.

עוד הם חשפו גל של מתקפות איראניות ממוקדות נגד ארגונים בולטים בערב הסעודית. התוקפים נקטו באסטרטגיה דו שלבית: תחילה פישינג ולאחר מכן הונאה פיננסית נרחבת, כולל גניבות של פרטי כרטיסי אשראי ומעקף של רכיבי הגנה. בין השאר, ההאקרים האיראניים התחזו לשלושה בנקים מקומיים, כדי לתמרן את הקורבנות ולגרום להם לספק את מספרי החשבונות שלהם ועוד פרטים בנקאיים. כמו כן, הם הקימו דומיין שנחזה למפעילת הסלולר הגדולה ביותר באיראן, כנראה לצורך ציד מתנגדי משטר במדינה.

האפליקציה האמיתית של פיקוד העורף. צילום: לכידת מסך

מה באשר אלינו? כבר דווח על מתקפות סייבר שונות של איראן נגד ישראל במהלך המלחמה ולפניה, וחוקרי יחידה 42 תרמו לרשימה קמפיין פישינג פעיל שהאיראנים ביצעו נגדנו בחודש פברואר, לפני פרוץ המערכה. הקמפיין משתמש בהעתק זדוני של האפליקציה של פיקוד העורף. נעשה בו שימוש בחבילת אנדרואיד (APK) שנראית לגיטימית, כדי לספק יכולות מעקב, ריגול וקצירת נתונים.

"חדר המבצעים האלקטרוניים" של איראן

ביום תחילת המלחמה, או בסמוך לו לפני, איראן השיקה מגוון פעולות סייבר משבשות, שחלקן קשורות ל-"חדר המבצעים האלקטרוניים" שקבוצות הסייבר האיראניות הקימו אז. חדר זה ריכז פעילויות של כמה קבוצות, ביניהן חנדלה – הקבוצה הבולטת ביותר; APT איראן – קולקטיב האקטיביסטי רב מוניטין; ההתנגדות האסלאמית הקיברנטית – קולקטיב גג פרו-איראני למתקפות DDoS מסונכרנות, מחיקת נתונים והשחתת אתרים ישראליים ומערביים; צוות Dark Storm (הידוע גם כ-MRHELL112), שמתמחה ב-DDoS ובכופרות; צוות FAD של גורמים תומכי המשטר, שמתמקד במחיקת נוזקות ובהשמדת נתונים לצמיתות; Evil Markhors – קבוצה שמתמחה באיסוף אישורים ובזיהוי מערכות קריטיות שלא תוקנו; כנופיית סילהט, שמגייסת האקרים עבור חזית ההאקטיביסטים הפרו-איראנית ומשתתפת במתקפות DDoS; צוות 313, "התנגדות סייבר אסלאמית בעיראק" – תא האקרים פרו-איראני; ו-DieNet – קבוצת האקרים שמבצעת מתקפות DDoS במזרח התיכון.

מלחמת מידע איראנית מתוחכמת – בסיוע רוסיה וסין

חוקרים קבעו שמאחר שמדובר במלחמה א-סימטרית – ישראל וארצות הברית חזקות מאיראן בהרבה בממד הקינטי, וגורמות לה נזק פיזי גדול לאין שיעור משהיא גורמת (בעיקר) לישראל ולמדינות המפרץ, איראן מחפשת להשיג יתרון בלוחמת המידע שלה. לדבריהם, איראן הציפה את האינטרנט בתעמולה ודיסאינפורמציה, "במאמץ מתוחכם לערער את התמיכה במתקפות האמריקניות והישראליות. לצד שקרים על מנהיגי המערב ודיווחים על פגיעה בלתי פוסקת במטרות אזרחיות ללא הבחנה – הם ממציאים תוכן על תקיפות על מטרות של ארצות הברית וישראל, כולל סרטונים מזויפים ואזכורים תכופים של ג'פרי אפשטיין" (עבריין מין ששמותיהם של בכירים ובכירים לשעבר במערב, כולל דונלד טראמפ, אהוד ברק והנסיך אנדרו, נקשרו בשמו).

סרטון פייק של חיילים איראניים לוכדים בשבי חיילים אמריקניים. צילום: לכידת מסך

"נשק כמעט עוצמתי""איראן מנהלת מלחמת מידע מתוחכמת, בסיוע רוסיה וסין", כתבו החוקרים. "היא מפיצה תוכן שנועד לנצל את ההתנגדות העולמית למבצע הצבאי האמריקני-ישראלי ולהסיט את הזרקורים מהאבדות המשמעותיות שלה בשדה הקרב". לדבריהם, "חודש למלחמה, כלי התקשורת הממלכתיים והסוכנים החשאיים של איראן מייצרים שטף מתמשך של תעמולה, נרטיבים מוגזמים ומידע שגוי באופן מוחלט. לעתים קרובות הם משתמשים בכלי AI ליצירת תמונות וסרטונים שנראים אמיתיים יותר ויותר. רוב התוכן השקרי הופרך, אך לפני כן הוא הצליח להגיע למיליוני אנשים במדיה החברתית".

The most viral video right now 👇
It is being claimed that Netanyahu’s house has burned down!

Is this true, @grok? pic.twitter.com/pFDcnLvY8n

— SilencedSirs◼️ (@SilentlySirs) March 9, 2026

הם הוסיפו כי "לוחמת המידע העניקה לאיראן ולהנהגתה נשק כמעט עוצמתי, דומה בחשיבותו ליכולתה לשבש את כלכלת האנרגיה העולמית על ידי חסימת מיצרי הורמוז. קשה למדוד השפעה של לוחמת מידע, אך היא עוררה זעם ציבורי ותחושת אי נוחות סביב המלחמה בארצות הברית".

דארן לינוויל, מנהל מרכז הפורנזיקה למדיה באוניברסיטת קלמסון, אמר כי "האיראנים מנצחים במלחמת התעמולה. הם היו מוכנים לזה יותר מארצות הברית, כי הם התכוננו לסכסוך הזה במשך 50 שנה".