מי תקף בהצלחה את איראן בסייבר השנה?

"איראן חוותה שני גלי מתקפות סייבר השנה. ברבעון הראשון – שורת מבצעי השפעה ותודעה, וביוני – מתקפות שמטרתן שיבוש והרס. בגל השני הותקפו שני בנקים ובורסת קריפטו, ומתקפה זו היא בבחינת 'אצבע בעין' לשלטון. הנזק שספגה הכלכלה האיראנית בעקבות התקיפות עומד על מיליארדי דולרים, והבנקים הושבתו ותפקדו חלקית למשך תקופה ארוכה", כך אמר בועז דולב, מייסד ומנכ"ל קלירסקיי (ClearSky).

דולב דיבר בפורום CSC מבית אנשים ומחשבים, להגנת סייבר ואבטחת מידע. חברי הפורום נפגשו אתמול (ג') באולם יס פלאנט בראשון לציון, ונושא המפגש היה "סייבר 2.0 אחרי המלחמה – אסטרטגיות למציאות חדשה". את המפגש הנחה גיא מזרחי, יו"ר הפורום ומנכ"ל סייפרוס (CYPROS).

בפתח דבריו ציין דולב, כי לא ניתן לזהות את התוקפים, וכי המחקר של האנליסטים בחברה שבראשותו נסמך במידה רבה על דיווחי התוקפים והקורבנות במדיה החברתית, כולל זו באיראן.

"המתקפות בסייבר על איראן, שנערכו על ידי גורמים בלתי מזוהים, תומכי ישראל", ציין דולב, "היו שרשרת אירועים ממש מעניינת". במרץ השנה, אמר, "קבוצת האקרים לא מזוהה בשם פורצי קוד, CodeBreakers, איימו להדליף – והדליפו – חלק מתוך 47 מיליון פריטי מידע – מאוד רגישים – של קצינים ובעלי תפקידים במשמרות המהפכה, אותם הם טענו שהשיגו. המתקפה הייתה על הרשת של בנק ספאח (Bank Sepah). אנשי הבנק לא פענחו את וקטור הפריצה ואת מידת האחיזה של התוקפים בתוך הבנק. זה היה מבצע תודעה פסיכולוגי, שמטרתו להראות כי אנשי משמרות המהפכה – מושחתים".

גל המתקפות ביוני, אמר, "עונה להגדרה של מתקפת הרס. הייתה זו מתקפה קריטית על שני הבנקים. מישהו נכנס ופשוט מחק את הבנקים, וזה לא טריוויאלי. מתקפת השיבוש צלחה: לקוחות לא הצליחו למשוך כסף מכספומטים השייכים לבנק הגדול במדינה, שבעצמו שייך למשמרות המהפכה. לבנק ספאח יש 43 מיליון לקוחות. ארה"ב הטילה עיצומים על הבנק ב-2019, לאחר שהוא פרש מהסכם הגרעין עם איראן מ-2015". בנק נוסף שהותקף, ציין, "הוא בנק פסארגד (Bank Pasargad – BPI), המעניק שירותים פיננסיים למגזר הפרטי. הבנו שמישהו פשוט מחק את שני הבנקים. נוביטקס (Nobitex), בורסת הקריפטו הגדולה באיראן, העוסקת רבות בהלבנת כספי טרור ומשרתת את משמרות המהפכה והמשטר – הותקפה גם היא".

למתקפות היו השלכות מיידיות, ציין, "עשרות מיליוני איראנים נותרו בלא שירותים בנקאיים. מדובר באירוע אסטרטגי, הפוגע במערכות הסליקה הלאומיות. לפני כן מעולם לא קרה כדבר הזה".

"לפי דיווחי הקורבנות", אמר, "לכל אחד משני הבנקים היו שלושה אתרים: שני דאטה סנטרים בייצור, ואחד לגיבוי. לפתע, תוך שניות, כלל מערכות האחסון של הבנקים הושמדו. מערכות הגיבוי המקוון שובשו, ולא ניתן היה לפעול עמן או לחזור בזמן לאחור. הפעולה ההרסנית צלחה, כי התוקפים הצליחו לחדור לרמת התשתיות ומשם לשבש את המערכות השונות. הבנקים נאלצו לקנות מערכות אחסון חדשות, כי אי אפשר היה להשמיש את המערכות הקיימות. 'על הדרך' פוטר גם האינטגרטור והובא חדש במקומו".

"המתקפה הסבה נזקים כבדים", אמר דולב, "4,130 כספומטים ו-2,830 סניפים שותקו ונסגרו. 80 אלף טרנסזקציות נתקעו ו-14 אלף תיקי הלוואות שובשו. הבנק המרכזי נאלץ להזרים 50% מכספי המחזור לשוק, כדי שהכלכלה תמשיך לתפקד, גם במחיר ההפסדים שלו". הוא ציין כי "ישנה אפשרות שהתוקפים החליטו לערער את יציבות השלטון במדינה, ולכן הם עברו ממתקפות שמטרתן תודעה – לשיבוש והרס. הבנקים ניצבו מול שוקת שבורה, נפגעה יכולתם לחלק משכורת וגמלאות, ולא ניתן היה למשוך מזומן. הבנק המרכזי עשה את כל הדרוש על מנת להציל את המערכת הפיננסית, והזרים מזומן דרך בנקים אחרים, וכך הצליח להתגבר על האירוע. למרות זאת, ההתאוששות ארכה זמן רב: בשבועיים הראשונים מערכות המחשב לא פעלו כלל, היו שירותי חירום בלבד. בגלל העיצומים, אין כרטיסי אשראי מערביים במדינה. איראן הקימה מערך כרטיסים מקומי, וזה הושמד באופן עלום ב-2021. כך, הם בנו פתרון כדי שהלקוחות יוכלו למשוך כספים, וכעבור יומיים הוא פעל. בחודש הראשון לאחר האירוע הם עבדו 'בטירוף', אתחלו את המערכות ושחזרו 80% מהשירותים. רק בחודשים האחרונים הם הגיעו לרמת התאוששות כמעט מלאה. בספטמבר הם התקינו מערכות אחסון חדשות". את המתקפה ביוני ערכה, כך דווח, קבוצת ההאקרים הדרור הטורף (Predatory Sparrow).

"היה שיבוש מוחלט של מערכות הבנקאות האיראנית", סיכם דולב, "זה לא טריוויאלי, וזה כן חדש. במתקפה על בורסת נוביטקס נגנבו ממנה 200 מיליון דולר, ובאחת הנוזקות שתקפו נמצא בין שורות הקוד הכיתוב: TKFuckiRGCTerroristsNoBiteEXy2r7mNx. המסר 'לי נקם ושלם' הועבר לאיראנים".