בפעם הראשונה: איראן תקפה את ישראל בסייבר באמצעות AI

מתחילת המלחמה, איראן השתמשה בטכניקות ובטכנולוגיות חדשות במתקפות הסייבר שלה – בעולם בכלל ונגד ישראל בפרט, כולל, בפעם הראשונה, שימוש ב-AI כמרכיב מרכזי במתקפות ההשפעה האיראניות. זאת, במטרה לערער את היציבות בישראל ואת התמיכה הבינלאומית בה, ולייצר הפחדה. בנוסף, ב-75 הימים הראשונים למלחמה חלה עלייה של כמעט פי שניים בכמות מתקפות הסייבר על ישראל, לעומת התקופה שלפניה.

נתונים אלה עולים ממחקר חדש של מרכז מודיעין האיומים של מיקרוסופט, שנושא את הכותרת Iran surges cyber-enabled influence operations in support of Hamas (איראן מבצעת פעולות השפעה בסייבר לתמיכה בחמאס). מחברי הדו"ח ציינו כי "המטרות הללו חותרות לערער את ישראל ואת סביבת המידע של תומכיה, על מנת ליצור בלבול כללי וחוסר אמון".

מתוך הדו"ח: "כמעט כל מבצעי ההשפעה של איראן ושחקני הסייבר המרכזיים שלה התמקדו בישראל באופן ממוקד, מתואם והרסני יותר ויותר, מה שהוביל למערכה חסרת גבולות נגד ישראל"

המחקר קובע כי מספר קבוצות הסייבר הפעילות בישראל זינק מתשע בשבוע הראשון של המלחמה ל-14 בשבוע השני. מתקפות ההשפעה עלו ממתקפה אחת בכל חודשיים ב-2021 – ל-11 מתקפות רק במהלך אוקטובר 2023.

לצד הזינוק במתקפות הסייבר וההשפעה על ישראל בשבועות שאחרי המלחמה, חל באותה התקופה גידול של 30% בצריכת פייק ניוז ותעמולה איראנית במדינות דוברות אנגלית, שתומכות בישראל, ובהן בארצות הברית. המחקר מעלה שבשבוע הראשון של המלחמה היה זינוק של 42% – נתון שיא – בתנועה לאתרים שבהם פורסמו פוסטים וכתבות על ידי האיראנים. זאת, בעקבות עלייה במתקפות ההשפעה האיראניות ובפרסום כתבות ופרסומים אחרים במגוון רחב של פלטפורמות.

מנחה החדשות האיראני, שהוא בעצם דמות מבוססת AI. צילום: מיקרוסופט

כך, ציינו החוקרים לדוגמה: בתחילת דצמבר איראן עצרה סטרימינג של משדר טלוויזיה והחליפה את המנחה במנחה חדשות שיוצר באמצעות בינה מלאכותית. "זו דוגמה ראשונה לקמפיין השפעה מסוג זה", כתבו. "ה-AI שיחקה שם מרכיב מרכזי בהעברת המסרים וההודעות".

"מערכה חסרת גבולות נגד ישראל"

לפי החוקרים, "לא נמצאה הוכחה לתיאום בין מתקפות הסייבר של איראן ובין החמאס ביום המתקפה על ישראל. למרות הטענות האיראניות, כל מתקפות הסייבר שלה התחילו בימים שלאחר תחילת הלחימה, כאשר מתקפות מהימים הראשונים היו הדלפות של חומרים ישנים, או שקריות".

הדו"ח מציין שמיד אחרי ה-7 באוקטובר, איראן הגבירה את התמיכה הקיברנטית בחמאס באמצעות פריצות ממוקדות בשילוב מבצעי השפעה מבוססי סייבר, שהועצמו ברשתות החברתיות. "המתקפות האיראניות שינו את אופיין במהלך שלושת החודשים האחרונים", ציינו חוקרי מיקרוסופט. "בימיה הראשונים של המלחמה, שחקני הסייבר וההשפעה האיראניים היו תגובתיים. בחלוף הזמן, הם הגדילו במהירות את היקף מתקפות הסייבר שלהם, וממצב של תגובה הם עברו – מסוף אוקטובר – למצב של 'כל הידיים על הסיפון', משמע – כל מתקפות הסייבר וכל מבצעי ההשפעה והתודעה הגדולים כוונו לישראל. המתקפות הפכו ליותר ויותר ממוקדות והרסניות, והיקף מסעות ההשפעה גדל גם הוא. כמעט כל מבצעי ההשפעה של איראן ושחקני הסייבר המרכזיים שלה התמקדו בישראל באופן ממוקד, מתואם והרסני יותר ויותר, מה שהוביל למערכה חסרת גבולות נגד ישראל".

מבצע ההשפעה האיראני. תמונה מבסיס חיל האוויר? לא, זאת תמונה של רחוב בעיירה צפונית לתל אביב – ששופצה. צילום: מיקרוסופט

החוקרים הדגישו שבניגוד לחלק ממתקפות הסייבר של איראן בעבר, "כל המתקפות ההרסניות שלה נגד ישראל במלחמה זו – אמיתיות או מפוברקות – לוו במבצעי השפעה ברשת".

המטרות האיראניות בהרחבה

החוקרים מצאו כמה מטרות שהתוקפים האיראניים ביצעו את מתקפות הסייבר המדוברות נגד ישראל כדי להשיג אותן: "המטרות העיקריות של המתקפות הן ערעור היציבות, נקמה, הפחדה וערעור התמיכה הבינלאומית בישראל".

"את ערעור היציבות התוקפים רוצים להשיג באמצעות קיטוב: איראן שואפת להעמיק ולהחריף את השסעים הפוליטיים והחברתיים הפנימיים בישראל", הרחיבו החוקרים. "המטרה השנייה היא נקמה ותגמול, ורבים מהמסרים והיעדים של איראן הם בפירוש כאלה. כך, חברי קבוצת Cyber Avengers טענו כי מיקדו את מתקפותיהם על תשתיות חשמל, מים ודלק ישראליות, כמעשה נקמה בישראל, בבחינת 'עין תחת עין'. הם הצהירו לא פעם כי יפעלו לניתוק החשמל, המים והדלק בישראל, בתגובה לנעשה בעזה".

מתוך הדו"ח: "43% מכלל פעילות הסייבר של איראן מתחילת המלחמה התמקדה בישראל – נתון הגדול יותר מהיקף פעילותה ב-14 מדינות אחרות בהן היא פעלה"

"לגבי ההפחדה – פעולותיה של איראן מכוונות לערער את הביטחון ולהפחיד את אזרחי ישראל. זה נעשה בין השאר באיומים על משפחות חיילי צה"ל, בהפצת מסרים ב-X שלפיהם 'לצה"ל אין כל כוח להגן על חייליו' ובהדהוד מתקפות, אמיתיות ושקריות", כתבו החוקרים.

הם הוסיפו כי "המטרה הרביעית היא ערעור התמיכה הבינלאומית בישראל: מבצעי ההשפעה האיראניים כוללים לעתים קרובות מסרים והודעות שמטרתם להחליש תמיכה זו, על ידי הדגשת הנזק שנגרם מהמתקפות של ישראל על עזה. כלל מטרות אלה חותרות גם לערער את ישראל ואת סביבת המידע של תומכיה, על מנת ליצור בלבול כללי וחוסר אמון".

"איראן הצליחה לגייס ישראלים, שוב ושוב, ללא ידיעתם"

על פי החוקרים, כדי שמבצעי ההשפעה שלהם ברשת יקצרו הצלחה רבה יותר, "שחקני איומים איראנים השתמשו, בין השאר, בשם ובלוגו של הזרוע הצבאית של החמאס, גדודי עז א-דין אל-קסאם, להפצת הודעות שווא ואיומים על חיילי צה"ל". החוקרים התייחסו למבצע ההשפעה שהשב"כ חשף באמצע ינואר, שכלל ניסיונות לגיוס ישראלים למשימות שונות, ביניהן צילום כתובות מגורים של אנשי מערכת הביטחון ושל גורמים שמופיעים בתדירות בתקשורת ושמתבטאים נגד איראן. עוד כלל המבצע שימוש ציני ומניפולטיבי ברשת וקידום פעילות מול משפחות חטופים.

שלט נגד נתניהו שנתלה בעקבות קמפיין השפעה איראני – מבלי שמי שתלה את השלט ידע זאת. צילום: מיקרוסופט

"איראן הצליחה לגייס, שוב ושוב, ישראלים, בלא שהם ידעו או היו מודעים לכך – על מנת לעסוק בפעילות שתואמת את האינטרסים שלה", צוין בדו"ח. "כך, במבצע שנקרא 'דמעות מלחמה', האיראנים שכנעו ישראלים לתלות כרזות ממותגות, שנוצרו על ידי בינה מלאכותית, נגד נתניהו. כמו כן, גדל השימוש של איראן בקמפיינים של הודעות טקסט ומיילים בכמות גדולה, כדי להעצים את ההשפעות הפסיכולוגיות של פעולות ההשפעה שלה בסייבר".

גם אלבניה ובחריין על הכוונת של האיראנים

מחברי הדו"ח ציינו ש-"43% מכלל פעילות הסייבר של איראן מתחילת המלחמה התמקדה בישראל – נתון הגדול יותר מהיקף פעילותה ב-14 מדינות אחרות שבהן היא פעלה". אולם, הם כתבו, "ככל שהתקדמה המלחמה, בעיקר מסוף חודש נובמבר, ובמקביל למתקפות החות'ים, הקבוצות האיראניות הרחיבו את פעילותן למדינות נוספות שתומכות בישראל, כמו אלבניה ובחריין, ולחברות שמקיימות איתה יחסי מסחר".

חוקרי מיקרוסופט סיכמו בציינם כי "אנחנו מעריכים שהגידול בפעילות איראן ברשת יימשך. אנחנו צופים שפעולות הסייבר ההתקפי ומבצעי ההשפעה האיראניים יימשכו, יתעצמו, ויהיו ממוקדים והרסניים יותר. איראן תמשיך לבדוק את גבולות הגזרה ולבחון את הקווים האדומים, כפי שעשתה במתקפות על בית חולים ישראלי (נראה שהכוונה היא למתקפה על בית החולים זיו בצפת, שנמצא שהיא בוצעה על ידי קבוצות המשויכות לאיראן ולחיזבאללה – י"ה) ועל מערכות מים בארצות הברית. שיתוף הפעולה המוגבר שראינו בין גורמי איום איראניים שונים יהווה אחד האיומים הגדולים ביותר ב-2024, וייצור סביבת איומים מורכבת ושזורה יותר".