שוב: שלושה בנקים באיראן הותקפו ונפגעו ממתקפת סייבר

ברקע הפשרת כספים איראניים במסגרת ההסכם בין ארה"ב לאיראן, שיבושים פיננסיים-מקוונים:  מתקפות סייבר שכוונו לעבר שלושה בנקים באיראן שיבשו את שירותי הבנקאות המקוונת ומערכות הסליקה בתשלומי אשראי, כך הודיעה אתמול (ג') מחלקת ה-IT של מועצת התיאום הבנקאי ברפובליקה האיסלאמית. תחקיר של קלירסקיי (ClearSky) הישראלית שהגיע לידי אנשים ומחשבים מעלה, כי זו המשכה של מתקפת סייבר כבדה על מוסדות פיננסיים איראניים, שהחלה ב-13 ביוני השנה.

בנקים פרטיים במדינה לא נפגעו מהמתקפות. הנפגעים הם בנק מלי (Melli), בנק סאדראת (Saderat) ובנק טג'אראט (Tejarat). שלושת הבנקים קשורים למימון משכורות לחיילי וקציני משמרות המהפכה האיסלאמיים.

בטלוויזיה הממלכתית נמסר, כי "המתקפה הובילה להשבתה זמנית של כל הפעילות הקשורה לכרטיסי אשראי בשלושת הבנקים, כדי למנוע גישה בלתי מורשית נוספת… צוותי אבטחת הסייבר פועלים להשיב את הפעילות לשגרה"; ובהודעה אחרת: "שירותי כספומט, מסופי  נקודות מכירה ואפליקציות ניידות הקשורות למערכות כרטיסי האשראי – כולם נפגעו".

הבנק המרכזי של איראן אמר, כי "הבעיות האחרונות צפויות להיפתר עד הבוקר (ד') וכל השירותים יחזרו לשגרה".

איראן לא מסרה במי היא חושדת שעומד מאחורי מתקפות הסייבר. הרשויות האשימו בעבר שחקנים זרים עוינים, כמו ישראל. ישראל לא הגיבה להאשמות אלו.

שוב חוזר הניגון

לפני ימים אחדים, מתקפת סייבר השביתה לזמן קצר את שירותי הבנקאות. ב-14 ביוני הותקפו ארבעה בנקים גדולים, כולל מלי, סאדראט, טג'אראט ובנק פיתוח הייצוא של איראן. מתקפת הסייבר כוונה נגד מערכת תקשורת משותפת שלהם.

לפי תחקיר קלירסקיי הישראלית, "ההנחה שלנו היא שתוקף הצליח לייצר שרידות כך שהבנקים מתקשים לשוב לשגרה, מכמה סיבות: מערכת ההפעלה של המיינפריים שונתה והאיראנים לא מצליחים לאתר את השינוי; ברכיבי חומרה מסוימים שהותקנו בשנים האחרונות – הותקנו רכיבים זדוניים; התוקף עדיין שולט על הרשת ופוגע בתהליכי ההתאוששות. כתוצאה מהתקיפה, מערכות תשלומים וסליקה לאומיות שותקו ונגרמו שיבושים משמעותיים למערכות סליקה ולמערכות פנימיות בבנקים. גם בחלוף יותר מעשרה ימים, חלקם לא מצליחים להתאושש מהתקיפה".

לפי קלירסקיי, "נקודת החדירה והכשל שהובילה לקריסתם בו-זמנית של ארבעת הבנקים לא נמצאת במערכות של כל אחד מהבנקים, אלא בספקית התשתית המשותפת שלהם. הבנקים נפגעו כי חברת ISC (ר"ת Informatics Services Corporation), המשמשת כזרוע הטכנולוגית של הבנק המרכזי של איראן – נפגעה… שתי חולשות אבטחה מרכזיות שנוצלו על ידי התוקפים: חומרה מיושנת והיעדר עדכוני אבטחה. בשל העיצומים על איראן, הם נאלצו לרכוש רכיבים לתחזוק המיינפריים בלא עדכוני קושחה ואבטחה, ונוצר משטח תקיפה רחב ופער אבטחתי מובנה… התוקפים הצליחו לחדור בצורה עמוקה למערכות החברה… הפגיעה שיבשה את הנתונים ופגעה הן בשרתי הליבה והן במערכות הגיבוי. דפוס תקיפה זה נצפה גם בתקיפה הקודמות באיראן, שבה חברות ספקיות שירותי IT שימשו כסוס טרויאני להחדרת נוזקות הרס, שהשביתו מערכים שלמים בלא יכולת שחזור… עדיין לא נקבעו המקור והסיבה העיקרית לתקיפה… מערך הגנת הסייבר הלאומי האיראני והצוותים הטכניים עדיין מתקשים להבין מי התוקף וכיצד נכנס… הופעלה מניפולציה פסיכולוגית מצד הבנקים, עם מצגי שווא של חזרה לשגרה, שלא תאמו את המצב לאשורו… זה לא היה אירוע כופרה רגיל… אף קבוצה לא לקחה אחריות רשמית, אבל אופי האירוע תואם למתקפות עבר של קבוצות כמו 'הדרור הטורף' (Predatory Sparrow)".

התקשורת הממלכתית האיראנית אישרה את עצם התקיפות, אך המעיטה בהיקף ובעוצמת הנזק שלהן. לא פורסמה זהות התוקפים, ואלה לא התגאו במתקפות ברשת האפלה.

עם הגופים הפיננסיים שהותקפו בסייבר נמנתה גם שאטאב אינטרבנק (Shatab Interbank), מערכת הסליקה הבין-בנקאית של המדינה. בתוך זמן קצר המערכת קרסה. שאטאב היא המערכת הראשית של איראן להחלפת כרטיסים ועסקאות בין-בנקאיות. לקוחות ברחבי המדינה התלוננו שאינם יכולים לבצע פעולות כספיות כלל, לרבות פעולות פשוטות, כגון העברות תשלומים.

ובלי כל קשר

בשנתיים האחרונות היו לא מעט פעילויות של קבוצת "הדרור הטורף", המזוהה כפרו-ישראלית. במרכז הפעילות: המתקפות נגד הבנק הגדול באיראן, בנק ספאח (Bank Sepah), ובורסת הקריפטו האיראנית נוביטקס (Nobitex). התוקפים גרמו להתפוגגותם של 95% מהנכסים של בורסת הקריפטו וגנבו עשרות מיליוני דולרים. נוביטקס נחשבת למסלול להשקעות שעוקף את הסנקציות המוטלות על איראן. בהמשך, קבוצת האקרים לא מזוהה בשם "פורצי קוד" (CodeBreakers) איימה להדליף 47 מיליון פריטי מידע – מאוד רגישים – של קצינים ובעלי תפקידים במשמרות המהפכה, שאותם הם טענו שהשיגו במתקפה על בנק ספאח. היא הדליפה חלק מאותם פריטים.

הנזק שספגה הכלכלה האיראנית בעקבות התקיפות עומד על מיליארדי דולרים, והבנקים הושבתו ותפקדו חלקית במשך תקופה ארוכה.

ביולי 2021 נערכה מתקפת סייבר שגרמה לכאוס במערך הרכבות. מאות קווי רכבת עוכבו ובוטלו ברחבי הרפובליקה האסלאמית בעקבות שיבושים במערכות המחשוב של חברת הרכבות הממלכתית (Islamic Republic of Iran Railways). על לוח זמנים דיגיטלי באחת התחנות נכתב, כי הסיבה היא מתקפת סייבר – ולהודעה אחרת צורף מספר הטלפון של לשכת עלי חמינאי.

ה"כאוס חסר התקדים" בתחנות הרכבת ברחבי המדינה הביא לביטולים ולעיכובים של מאות קווים. הפגיעה במערכות המחשוב פגעה גם בדוכני הכרטיסים של הרכבת, ובאפשרות הכניסה והיציאה מהתחנות באמצעות קורא דיגיטלי. בנוסף, אתר חברת הרכבות הממלכתית של איראן הושבת. הלוחות הדיגיטליים בתחנות הרכבת הודיעו על ביטול כל הקווים, והופיעה בהם הודעה: "יש עיכובים משמעותיים בעקבות מתקפות סייבר". בהודעה אחרת, בתחנת רכבת בטהרן הופנו נוסעים למספר טלפון ששייך ללשכתו של המנהיג העליון דאז של איראן, חמינאי.