מחקר: איראן נכשלה בפעילות הסייבר שלה במלחמה

איראן כשלה בניסיונותיה לגרום נזק אסטרטגי במתקפות הסייבר שהיא ערכה נגד ישראל במלחמה הנוכחית. המלחמה התאפיינה במתאם גבוה בין מתקפות הסייבר של איראן למתקפות הקינטיות (פיזיות) שלה. בניגוד למערכה ביוני האחרון, הרפובליקה האסלאמית הרחיבה את מטרות הסייבר שלה, מעבר לישראל – למדינות ערב, ובכלל זה מדינות המפרץ, ולארצות הברית. נתונים אלה עולים ממחקר חדש של חברת אבטחת המידע והסייבר הישראלית קלירסקיי, שהגיע לידי אנשים ומחשבים.

על פי המחקר, בסופו של יום, איראן הצליחה ליצור "רעש לבן" בסייבר, עם מאות הכרזות על תקיפות מדומות ולא אפקטיביות – שברובן היו זניחות או שקריות, ומטרתן תעמולה. היא ניסתה ליצור תחושה של תקיפות סייבר נרחבות נגד ישראל, ולכן גם נטלה את האחריות עליהן. אלא שכאמור, מדור בנטילת אחריות מזויפת על מתקפות שברובן לא היו ולא נבראו.

עם זאת, לפי החוקרים, חלק מהמתקפות היו יכולות להיות אפקטיביות אלמלא מערכי ההגנה של ישראל ושותפותיה, להם הם זוקפים את ההצלחה המועטה של האיראנים.

כישלון איראני

חוקרי קלירסקיי סיכמו את המלחמה בסייבר מתחילת מבצע שאגת הארי, כפי שנקרא בישראל, או זעם אפי, כשמו בארצות הברית, ב-28 בפברואר, ועד ליום ראשון בשבוע שעבר – כמה ימים לאחר כניסתה לתוקף של הפסקת האש במלחמה הקינטית. הם עקבו אחרי קבוצות תודעה, האקטיביסטים וקבוצות תקיפה מדינתיות על ארגונים בישראל, במזרח התיכון בכלל ובמדינות נוספות.

מקור: קלירסקיי

החוקרים ציינו כי למרות הזמן שעמד לרשות האיראנים לשדרג את יכולות התקיפה בסייבר שלהם מסוף המלחמה ביוני האחרון (עם כלביא), "לא אותרה קפיצה משמעותית בהן, למעט בשליטה המלאה שלהם בחיבור לאינטרנט. ככלל, בישראל לא נגרם במלחמה נזק אסטרטגי מתקיפות סייבר, המשק לא נפגע משמעותית וחברות גדולות לא שותקו".

על פי המחקר, "מקורו של חלק גדול מהכישלון האסטרטגי של האיראנים ושאר תוקפי הסייבר בפעילות של מערכת הביטחון בישראל ושותפים, שהצליחו לסכל ולמנוע חלק גדול מהתקיפות, לצד עבודתם של צוותי ומנהלי ההגנה בסייבר בארגונים – שנערכו והדפו אלפי מתקפות".

אין שינוי אסטרטגי

אנשי קלירסקיי ציינו כי קבוצות התקיפה האיראניות ממשיכות לפעול באותו מתווה אסטרטגי שהן נקטו בו במלחמה הקודמת. "הן פעלו בכמה ערוצים: מתקפות תודעה – פרסמו מידע רב שנקצר מפריצות קודמות לארגונים בישראל, מרשתות חברתיות ומדמויות עבר ביטחוניות. לצד זאת, הן השתמשו בגישה שהושגה בעבר לחברות, לטובת ביצוע מתקפות. זאת, בשל פישינג מוצלח, סיסמאות שנגנבו, חולשות ידועות שנוצלו וחדירה לספקי אירוח. או אז ערכו הקבוצות הללו מחיקות באמצעות נוזקות הרס, מגב, ששודרגו קלות למניעת זיהוי. שיטה נוספת הייתה מתקפות הרס מהירות, בכל שיטה אפשרית – למשל, הפצת נוזקות הרס לצד מחיקות ידניות", כתבו החוקרים.

כמו כן, התוקפים שלוחי המשטר בטהרן ביצעו מתקפות DDoS, אולם רק כ-10% מהן היו משמעותיות והיוו סיכון.

מקור: קלירסקיי

איזו קבוצה הייתה הפעילה ביותר?

לדברי חוקרי קלירסקיי, "קבוצות התקיפה האיראניות המדינתיות המשיכו לפעול באופן שוטף, ובהן מים עכורים (MuddyWater). חבריה פעלו בשיתוף קבוצות נוספות, ניצלו תשתיות תקיפה שהוכנו מראש ושיתפו כלים בין הקבוצות".

עוד הם ציינו כי "בניגוד למלחמה הקודמת, האיראנים, וקבוצת חנדלה בראשם, תקפו גם את ארצות הברית, ירדן, ערב הסעודית ומדינות המפרץ. במקרים רבים שולבו מתקפות סייבר ופיזיות. המטרה הייתה הרתעה ולחץ על האמריקנים".

א-פרופו חנדלה, החוקרים מצאו שהיא הייתה שחקן האיומים האיראני הדומיננטי בתקופת המלחמה, ופעילותה זינקה פי 15.5. "הקבוצה לקחה אחריות על הדלפות מודיעיניות רבות. ההאקרים שלה לא 'הפלו' בין אוכלוסיות שונות ופגעו, או הצהירו שפגעו, או פרסמו פרטים מזהים של אנשים וארגונים שלטענתה תמכו בישראל – והבטיחו 'לצוד אותם עד שהצדק ייעשה'. הם התפארו, בין השאר, שגנבו 851 ג'יגה-בייט של מידע חסוי מחברי חסידות צאנז", נכתב במחקר.

מתקפות חדשות

לצד האסטרטגיות שהחוקרים הכירו מהמלחמה הקודמת, הם ציינו מתווה תקיפה חדש שאותו הם גילו במלחמה הנוכחית: ניסיונות לפגוע בתשתיות מחשוב של מדינות המפרץ, כולל פגיעה במגזר הפיננסי ובתשתיות קריטיות, וכן שיגור טילים לעבר מרכזי המחשוב והענן של החברות האמריקניות במפרץ. "ההצלחה המשמעותיות ביותר הייתה מול סטרייקר האמריקנית. מתקפה זו מחקה כ-80 אלף מחשבים ומכשירי סלולר בסניפי החברה בעשרות מדינות, עיכבה ניתוחים והשביתה קווי ייצור", כתבו.

עוד ציינו החוקרים את הפעילות בסייבר של אויבים אחרים של ישראל וארצות הברית – החיזבאללה וחמאס סניף טורקיה. כמו כן, לדבריהם, רוסיה סייעה לאיראן עם מתקפות DDoS.

מתאם בין המתקפות הפיזיות והסייבריות

החוקרים מצאו מתאם בין המתקפות הקינטיות והקיברנטיות שביצעו האיראנים: "ככל שעלתה עוצמת הפעילות הפיזית נגד איראן, כך עלה היקף פעילות הסייבר שלה. דפוס זה חזר על עצמו לאורך המלחמה", ציינו. כדוגמה הם הביאו את העובדה שאיומי הסייבר האיראניים על מגזר האנרגיה הגיעו שלושה ימים לאחר התקיפה הישראלית על שדה הגז South Pars – פער זמנים שמעיד על תגובה מכוונת, ולא צירוף מקרים.

בכירי הסייבר באיראן חוסלו, אך המתקפות לא חדלו

חוקרי קלירסקיי כתבו כי "אחד השינויים הבולטים בפעילות האיראנית בסייבר נבע מהיכולת להותיר שרידות תפעולית של תשתית האינטרנט באיראן. האיראנים הצליחו להשלים בניית תשתית קישור לאינטרנט, שמאפשרת להם להחליט, בזמן אמת, את מי לחבר לרשת – למרות ניתוק כלל האזרחים ממנה. הם עשו זאת בסיוע כלים מסין".

"האיראנים השיגו שרידות תפעולית של מערכי התקיפה בסייבר – למרות חיסול מפקדים בכירים בתחום", הוסיפו החוקרים. "בכירים ממשרד המודיעין וממשמרות המהפכה שניהלו ותיאמו את פעילות יחידות התקיפה האיראניות חוסלו, אך התקיפות בסייבר לא חדלו".

"אחת התובנות המרכזיות מהמעקב אחר הסייבר האיראני", ציינו, "היא בפער בין היקף ההצהרות לבין ההשפעה בפועל. לאורך כל התקופה, ההצהרות היו רבות, ורק מיעוטן היה אמת. הקבוצות תפקדו בעיקר ככלי תעמולה ותודעה ושירתו את הנרטיב של התנגדות ונקמה, גם כשההשפעה בפועל מוגבלת מאוד. גם התקיפות המוצלחות היו ברובן ברמה נמוכה – ולא פגעו באופן הרסני במערכות קריטיות".

פעילות הסייבר הישראלית והאמריקנית

המחקר מאיר זרקור גם על מתקפות הסייבר שביצעו ישראל וארצות הברית. החוקרים כתבו כי "בעבר, פעילות הסייבר ההתקפית שלהן נותרה חסויה. כעת, הסייבר שולב ופורסם כזרוע לוחמה מרכזית ומתואמת עם התקיפות הפיזיות שביצעו שתי המדינות. יכולות סייבר ולוחמה אלקטרונית שולבו החל מפתיחת המלחמה. מבצעים משותפים שיבשו מערכות פיקוד, שליטה וחיישנים איראניות – לפני תקיפות חיל האוויר".

חוקרי קלירסקיי ציינו שהמערכת הכספית האיראנית שובשה בסייבר, לרבות השירותים של שני בנקים איראניים, ובוצעו מתקפות תודעה רבות, ביניהן זאת על אפליקציית התפילה האיראנית BadeSaba Calendar ועל מתקנים של השידור הממלכתי האיראני IRIB.