"האיראנים תקפו חוקרי זכויות אדם – כדי להגיע לגורמים בישראל"

האקרים שקשורים לאיראן השתמשו בדמות מזויפת, שמזוהה עם המועצה האטלנטית, כדי לפגוע בחוקרי זכויות אדם – כך לפי מחקר חדש של סקיורוורקס. אלא שגורם בכיר בעולם הסייבר הישראלי העריך בפני אנשים ומחשבים שהיעדים האמיתיים של המתקפה היו חוקרי מדיניות ומודיעין בישראל.

בשבועות האחרונים חוקרי סקיורוורקס עוקבים אחרי ההאקרים, שככל הנראה מהווים חלק מקבוצת הפשיעה Cobalt Illusion, שידועה גם בשמות APT42, פוספורוס (Phosphorus, שפירושו זרחן) והחתלתול המקסים (Charming Kitten). אין להתבלבל עם קבוצת האקרים רוסית בעלת השם קובלט.

החוקרת המתחזה – והזהות האמיתית

ההאקרים בנו לצורך ביצוע המתקפה פרופיל טוויטר ל-"שרה שוקוהי'', שנחזתה להיות חוקרת רצינית, שמתמקדת בנושאי המזרח התיכון. הציוצים בחשבון שלה כוללים ריטוויטים של קולות שמוחים נגד ממשלת איראן. הביוגרפיה שלה כוללת דוקטורט מאוניברסיטת נורת'ווסטרן בלואיזיאנה, ובתמונת הפרופיל שלה היא מצולמת כשלצדה ערמת ספרים.

חוקרי סקיורוורקס ציינו כי ההאקרים האיראנים השתמשו בפרסונה של "שרה שוקוהי" כדי לפנות לחוקרים אמיתיים ולשאול אותם אם הם מעוניינים לתרום מאמרים לדו"ח של המועצה האטלנטית, שצפוי לראות אור בקרוב, שייכתבו יחד עם חוקר (אמיתי) מהמכון. המועצה היא גוף מחקר שיושב בוושינגטון ושעומד בראשו דן שפירו, לשעבר שגריר ארצות הברית בישראל. אלא שהחוקרים גילו ש-"שרה שוקוהי" היא דמות מזויפת, ושהתמונות שהוצגו בפרופיל הן בכלל של פסיכולוגית רוסית שקוראת בקלפי טארוט – ולא של חוקרת שמתמקדת במזרח התיכון

הולי דאגרס, חוקרת (אמיתית) מהמועצה האטלנטית, צייצה בטוויטר כי הטענות שהיא עובדת יחד עם שוקוהי הן שקר וכי היא בטוחה שמדובר בפישינג. לדאגרס יש "היסטוריה" עם קבוצת החתלתול המקסים: ב-2020 היא תיארה בוושינגטון פוסט את המאמץ "הבלתי פוסק והמתוחכם" של אותם האקרים איראנים לתקוף אותה במגוון סוגי מתקפות.

נרימאן ע'ריב, פעיל אופוזיציה איראני הגולה בבריטניה והוא חוקר ריגול בסייבר, הזהיר את 13,100 המנויים שלו בטלגרם על המתקפה הנוכחית של הקבוצה. גם צוות תגובת החירום הממוחשב בפרסית, קבוצה של חוקרי אבטחה שמתמקדת באיומי אבטחת סייבר שקשורים לאיראן, פרסם אזהרה בנושא.

האם ההאקרים הצליחו?

לא ברור אם המאמצים של "שרה שוקוהי" הביאו למתקפות פישינג מוצלחות. חשבון הטוויטר שלה, שנוצר באוקטובר 2022, עדיין פעיל, אבל חשבון אינסטגרם שלה כבר לא זמין.

כך או כך, בכיר בענף הגנת הסייבר העלה בפני אנשים ומחשבים את ההשערה שיעד המתקפה הסופי של חברי הקבוצה היה חוקרים בישראל. הוא הזכיר בהקשר את השותפות האסטרטגית שהמכון למחקרי ביטחון לאומי (INSS), המועצה האטלנטית ומרכז המדיניות של איחוד האמירויות – אויבת נוספת של איראן – הכריזו עליה ב-2020, במטרה לקדם את יחסי המדינה המפרצית וישראל.

"הקבוצה – שלוחה של משמרות המהפכה"

לפי חוקרי סקיורוורקס, קבוצת הפריצה פעלה כשלוחה של ארגון הביון של משמרות המהפכה האסלאמית. לא רק סקיורוורקס עקבה אחריה: חוקרי Proofpoint דיווחו בדצמבר האחרון שהקבוצה הוסיפה בשנתיים האחרונות בשקט מטרות "חריגות" לתיק היעדים שלה – פוליטיקאים אמריקניים, חוקרים בתחום הרפואה ואפילו מתווך בתים שעובד ליד מטה פיקוד המרכז של צבא ארצות הברית בטמפה, פלורידה.

צוות תגובת החירום הממוחשב בפרסית פרסם בספטמבר 2022 דו"ח שמפרט קמפיינים דומים של אותה קבוצת פריצה. חברי הצוות כתבו אז כי "שחקני האיום חתלתול מקסים תקפו מאז 2014 אקדמאים, עיתונאים, פעילים חברתיים ופעילי זכויות אדם, מכוני חשיבה, מכוני מחקר, וכן ארגוני צבא וממשל בארצות הברית, אירופה והמזרח התיכון".

המועצה האטלנטית וטוויטר לא הגיבו לדיווח.