נחשפו פרטים חדשים על מתקפת הסייבר על בי"ח זיו בצפת

ערוץ איראן אינטרנשיונל (Iran International) חשף בסוף השבוע פרטים חדשים על מתקפת הסייבר שאירעה בשנה שעברה על בית החולים זיו שבצפת. מהפרסום עולה, כי המתקפה, שבוצעה על ידי משרד המודיעין של הרפובליקה האסלאמית, בוצעה תחת מסווה של חברת היי-טק. עוד עולה, כי ההאקרים חברי הקבוצה פעלו בעבר נגד מטרות ישראליות נוספות.

רשת הטלוויזיה הבינלאומית פועלת מלונדון ומשמשת אופוזיציה למשטר. היא מתהדרת בהיותה עצמאית, אף שמקור המימון שלה הוא סעודי, ובעקיפין – בית המלוכה הסעודי. למרות זאת, הרשת נחשבת אמינה וידועה בחשיפות רבות שלה על הקורה באיראן. בית החולים זיו בצפת הותקף בסייבר בנובמבר האחרון.

לפי הערוץ, קבוצת ההאקרים פועלת תחת משרד המודיעין של הרפובליקה האסלאמית. זו ערכה  מתקפות סייבר כנגד מטרות אזרחיות ישראליות והסוותה את פעילותה בהתחזות לחברה טכנולוגית.

לפי הערוץ, הקבוצה מכונה בשם "צל שחור" (Saye-ye Siah בפרסית), שתקפה את בית החולים, פועלת תחת חברת היי-טק בשם Raahkarha-ye Fanavari-e Etela’at-e Jahatpardaz. תחקירן של איראן אינטרנשיונל גילה, כי שני המשרדים שמהם פועלים חברי קבוצת הסייבר "הצל השחור" ממוקמים בטהרן.

באתר החברה נכתב. כי "קבוצה של בני נוער נאמנים ומחויבים" השיקה אותו, בהתאם ל"הצעד השני של המהפכה". הצעד השני של המהפכה הייתה הצהרה של עלי חמינאי, המנהיג העליון של איראן ב-2019, במלאת 40 שנה למהפכה האסלאמית. הוא סיפק בה הוראות כיצד לקדם את המהפכה ורעיונותיה. הצל השחור ידועה גם בכינוי סופת חול ורודה (Pink Sandstorm). החברה לא השיבה לפנייה של איראן אינטרנשיונל לתגובה.

ב-18 בדצמבר פורסם, כי חקירה של מערך הסייבר הלאומי, צה"ל, השב"כ ומשרד הבריאות, העלתה, שמשרד המודיעין האיראני ומערך הסייבר של החיזבאללה הם האחראים על התקיפה. זו גרמה לגניבת חלק מהמידע הרגיש המאוחסן במערכות בית החולים, אולם המתקפה לא פגעה בטיפול שנותן בית החולים הצפוני. "במאמצים משותפים… נבלמה המתקפה בטרם הצליחה להשיג את מטרתה – לשבש את פעילות בית החולים ולפגוע בטיפול הרפואי באזרחים", נמסר. לפי מערך הסייבר, מדובר בקבוצת התקיפה בסייבר אגריוס (Agruis), המשתייכת למשרד המודיעין האיראני… המתקפה בוצעה על ידי משרד המודיעין, במעורבות של יחידת סייבר של החיזבאללה, שעונה לשם Lebanese Cedar (ארז לבנוני), שמובלת על ידי מוחמד עלי מרעי".

לפי איראן אינטרנשיונל, חברי "הצל השחור" תקפו גם חברות היי-טק ומוסדות אקדמיה בישראל, ועשו זאת במשך 10 חודשים ב-2022 כדי לגנוב נתונים רגישים. חברי הקבוצה עשו שימוש בנוזקת "מגב" (Wiper) כדי להקשות על איתורם.

בנובמבר האחרון אמר רוב ג'ויס, ראש מנהלת אבטחת הסייבר ב-NSA, הסוכנות לביטחון לאומי של ארה"ב, כי לצד המלחמה בעזה, ישראל מתמודדת עם לחץ משמעותי, של מתקפות סייבר ודיסאינפורמציה מצד איראן ומדינות אחרות. לדבריו, חלק מהתקיפות נועדו למחיקת נתונים, ועושות זאת באמצעות נוזקות מגב, בעוד שאחרות הן מתקפות כופרה, שהתרחשו גם בעבר. דבריו הדהדו להתרעה שהנפיק מערך הסייבר הלאומי הישראלי ימים אחדים קודם לכן, על קבוצת תקיפה איראנית שפועלת באמצעות "פוגענים למחיקת שרתים ותחנות עבודה" (משמע, נוזקות מגב) במרחב הרשת הישראלי. לדברי ג'ויס, "ישראל מודאגת כעת משלוש קבוצות איומים שונות בסייבר, כאשר הרפובליקה האסלאמית נמצאת בחזית".

עוד בנובמבר, מרכז ניתוח האיומים של מיקרוסופט (MTAC) דיווח, כי איראן הגבירה את היקף מתקפות הסייבר ופעולות ההשפעה שלה מאז 2020, כשהיא מכוונת לישראל ולמדינות אחרות. המרכז הזהיר גם, כי איראן, רוסיה וסין צפויות להשפיע על הבחירות הקרובות בארה"ב ובמדינות אחרות השנה.

בדצמבר איראן תקפה בסייבר תשתית בחברת מים שבמחוז ביבר שבפנסילבניה. את המתקפה ערכה קבוצת האקרים איראנית, ודפוס הפעולה של המתקפה דומה לזה שחוותה ישראל מידי ההאקרים חברי הקבוצה בעבר. ההאקרים, סייבר אוונג'רס (Cyber Av3ngers), קשורים למשמרות המהפכה.