מה תעשה איראן נגד ישראל, אם תעשה – בסייבר?

המזרח התיכון נמצא בימים אלה בנקודת רתיחה, לאחר החיסול של בכיר משמרות המהפכה חסן מהדווי, מתקפת הכטב"מים והטילים האיראנית על ישראל שבאה בעקבותיו והכוונה של ישראל להגיב עליה. החשש למלחמה אזורית כוללת הולך וגובר. המתיחות הזאת באה לידי ביטוי לא רק בממד הקינטי, אלא גם בממד הסייבר. השאלה מה האיראנים יכולים לנסות לעשות לנו מטרידה את בכירי התעשייה.

בעקבות מתקפת הכטב"מים האיראנית אמר בכיר בסייבר הישראלי לאנשים ומחשבים: "מה אתה חושב שהאיראנים עושים עכשיו? הם לא מבזבזים זמן, סורקים את פגיעות יום האפס הקריטית שנחשפה בפיירוול של פאלו אלטו, בודקים אילו מהארגונים בישראל היו שאננים ולא טיפלו בעדכון שלה – ואז מנסים לתקוף אותם".

מה יקרה בעתיד? הנבואה ניתנה לשוטים, ולא נותר אלא להתבסס על ההווה והעבר. גבי פורטנוי, ראש מערך הסייבר הלאומי של ישראל, אמר בשבוע שעבר כי "מאז ה-7 באוקטובר, איראן והחיזבאללה תוקפים את ישראל סביב השעון. הקצב הממוצע של המתקפות שלהם על ישראל זינק בחצי השנה האחרונה פי שלושה. שיתוף הפעולה בין איראן לחיזבאללה התחזק במלחמה… יש התפתחות בתוקפנות האיראנית".

הסייבר עלה בשנים האחרונות מדרגה, ומהווה חלק בלתי נפרד מהמארג הגיאו-פוליטי העולמי ומהסכסוכים הצבאיים. המלחמה בין ישראל לחמאס – ועכשיו גם המלחמה הפוטנציאלית בינה לבין איראן – לא שונות. למעשה, הגידול בהיקף מתקפות הסייבר נגד ישראל בעקבות האירועים הביטחוניים באזור הפך אותה למדינה שמהווה את המיקוד הגדול ביותר למתקפות קיברנטיות בשנה האחרונה.

"המתחים המחודשים עלולים בקלות להוביל לפעילות סייבר נוספת"

לפני ימים אחדים, ב-7 באפריל, חל הקמפיין האנטי ישראלי השנתי של ההאקרים, OpIsrael#. אמנם, גם השנה הוא לא נחל הצלחה כבירה, בלשון המעטה – ולו בגלל חוסן הסייבר הישראלי (רק היום פרסמנו דברים של בכירה בצ'ק פוינט שהתייחסה לחוסן הזה), אבל כאן המקום להפנות להתרעת אבטחה שחוקרי רדוור פרסמו לפני ה-7 באפריל, שלמרבה הצער התגשמה. החוקרים ציינו את סמיכות התאריכים: קמפיין OpIsrael# ב-7 באפריל; חצי שנה למלחמה בין ישראל לחמאס – בדיוק באותו היום; ויום ירושלים האיראני יומיים לפני כן, ב-5 באפריל. "השנה", כתבו, "התפקיד של איראן כחלק מהקמפיין יתעצם. מפרוץ המלחמה בעזה, איראן הסלימה במהירות את תמיכתה בחמאס. מאז, שחקני הסייבר – איראן ושלוחותיה – יזמו מתקפות סייבר רבות כלפי ישראל".

רון מירן, ראש מחלקת מודיעין הסייבר ברדוור, אמר כי "נוצר מרחב איומים מורכב. ישראל עומדת בצומת קריטי, ועלולה להתמודד עם גל חדש ומשמעותי יותר של תקיפות". כך, ב-5 באפריל – עשרות מתקפות DDoS הופעלו כנגד מטרות ישראליות. לפי החוקרים, "המתחים המחודשים בין ישראל, איראן ולבנון עלולים בקלות להוביל לפעילות סייבר נוספת".

"קבוצות איראניות ימשיכו לבצע התקפות סייבר הרסניות"

במחקר שהנפיקה מנדיאנט מבית גוגל לפני כחודשיים נכתב כי "לאחר ה-7 באוקטובר חל גידול בהיקף הפעילות בסייבר נגד ישראל מצד איראן והחיזבאללה. קבוצות התקיפה בסייבר ממוקדות ומרוכזות יותר, ועוסקות גם בלוחמת השפעה ובערעור התמיכה הציבורית במלחמה". החוקרים מצאו, בין השאר, מסעות פישינג שערכו האקרים בגיבוי ממשלת איראן, פעולות פריצה והדלפה, פעולות השפעה (IO), כמו גם מתקפות סייבר משבשות נגד יעדים באיראן ובחמאס. החוקרים לא ציינו את זהות התוקפים, אבל אולי הם הגיעו ממדינה קטנה במזרח התיכון…

עוד ציינו המומחים ש-"ברקע המלחמה, איראן ממשיכה לכוון באגרסיביות בסייבר נגד ישויות ישראליות ומארצות הברית, כשהתוצאות אינן חד משמעיות. אחרי מתקפת החמאס ראינו מאמץ ממוקד יותר מצד איראן, שהתרכז בפגיעה בתמיכה הציבורית במלחמה. פעילות איראן כללה התקפות הרסניות נגד ארגוני מפתח בישראל; פעולות פריצה והדלפה, כולל טענות – מוגזמות – על מתקפות על תשתיות קריטיות בישראל ובארצות הברית; ופעילות תודעה והשפעה, במטרה להפחיד את אזרחי ישראל, לגרום להורדת המורל שלהם, לשחוק את אמון הציבור בשלטון ולהפנות את דעת הקהל העולמית נגד ישראל".

שלט נגד נתניהו שנתלה בעקבות קמפיין השפעה איראני – מבלי שמי שתלה את השלט ידע זאת. צילום: מיקרוסופט

"אנחנו מעריכים בביטחון רב", סיכמו חוקרי מנדיאנט, "שקבוצות הקשורות לאיראן ימשיכו לבצע התקפות סייבר הרסניות, במיוחד בעת הסלמה של הסכסוך, למשל בשל פגיעה בשלוחי איראן במדינות שונות, כמו לבנון ותימן". החוקרים אמנם לא כתבו זאת במפורש, אבל לא מן הנמנע שזה יהיה המצב גם אם ישראל תתקוף באיראן.

ימים אחדים לאחר הדו"ח של מנדיאנט, חוקרי איומי המודיעין של החברה – אופיר רוזמן, חן אבגי וג'ונתן לת'רי – זיהו קבוצת תקיפה איראנית שפעילה לפחות מאז יוני 2022, ושערכה קמפיין שהיה פעיל עד פברואר 2024. לדבריהם, "הקבוצה תוקפת את מגזרי התעופה, החלל והביטחון במדינות במזרח התיכון, בפרט בישראל ובאיחוד האמירויות… המודיעין שנאסף רלוונטי לאינטרסים האסטרטגיים של איראן, ועלול להיות מנוצל לצרכי ריגול וכן לפעולות קינטיות".

החוקרים שייכו את הפעילות לקבוצה האיראנית UNC1549, שקשורה לקבוצת שריון צב (Tortoiseshell), שזוהתה בעבר עם משמרות המהפכה. שמותיה הנוספים הם סופת החול של הארגמן, חתלתול אימפריאליסטי ו-Yellow Liderc. חבריה ניסו בעבר לפרוץ לשרשראות אספקה של ארגונים ביטחוניים. "מאז 2022, כלי התקיפה של הקבוצה התפתחו ויש להם שיטות ייחודיות, שלא ראינו בפעילות סייבר של קבוצות איראניות אחרות", כתבו חוקרי מנדיאנט.

בשבוע שעבר, צ'ק פוינט פרסמה כי קבוצת Muddy Water, שקשורה למיניסטריון המודיעין האיראני, ביצעה שני קמפייני פישינג משמעותיים, שהתמקדו בגופי תקשורת מובילים ובעיתונאים בולטים בישראל. כמו כן, הותקפו ארגוני תיירות ובריאות. לפי החוקרים, "התקיפות הללו קורות בתוך הקשר רחב יותר – הכפלה של כמות התקיפות על ארגונים בישראל במהלך חודשי המלחמה, וריכוז מאמץ משמעותי של איראן ושלוחותיה לתקיפות סייבר בישראל נגד ארגונים ציבוריים, ממשלתיים ופרטיים".

מתקפות סייבר איראניות נגד ישראל – גם לפני המלחמה

האיראנים תוקפים את ישראל בסייבר מזה לא מעט שנים. נראה שהם הבינו שהסייבר הוא נשק שהם יכולים להשתמש בו נגד ישראל עוד ב-2010, לאחר מתקפת סטוקסנט על מתקן הגרעין שלה בנתאנז, שעל פי פרסומים זרים בוצעה על ידי ישראל וארצות הברית. היא עושה זאת באמצעות כמה קבוצות תקיפה בסייבר, ש-Muddy Water היא אחת המרכזיות שבהן. לקבוצה, שידועה גם כ-TEMP.ZAGRO, יש היסטוריה של תקיפת מטרות בישראל ובמדינות נוספות.

ב-2017 נחשף הקמפיין המשמעותי הראשון שלה, שהיה גם הוא של מתקפות פישינג – נגד יעדים בעיראק ובערב הסעודית. האחת היא מדינה שבה יש לאיראן השפעה רבה והשנייה היא בין האויבות המושבעות של הרפובליקה האסלאמית.

קלירסקיי חשפה ב-2020 ניסיונות של חברי הקבוצה לחדור באמצעות נוזקות למערכות מחשוב של ארגונים בארץ. בסוף 2021 דיווחה סימנטק על קמפיין שבמסגרתו חברי Muddy Water תקפו במשך חצי שנה מפעילות טלקום וחברות שמספקות שירותי IT במדינות שונות במזרח התיכון ובאסיה, בהן ישראל. פיקוד הסייבר של הממשל האמריקני ייחס את הפעילות של הקבוצה לאיראן בפעם הראשונה בינואר 2022.

ויש עוד דבר: השילוב בין מתקפות בממד הסייבר ובזה הקינטי. "ממד הסייבר ימשיך לתדלק מתקפות בעולם הקינטי – לא רק נגד ישראל, אלא גם נגד מדינות אחרות", אמר לאנשים ומחשבים בכיר בתקשוב הצבאי. "המתקפות נוטות לגדול בהיקפן במהירות כאשר מדינות לאום, ואיראן בראשן – לצד רוסיה וסין – מפתחות טכניקות תקיפה סטנדרטיות, וכאשר יש שיתופי פעולה עם קבוצות האקרים הפועלות בגיבוי שלה ועם האקטיביסטים פרו-פלסטיניים". לתשומת לב הקוראים ב. נתניהו ו-י. גלנט.