"ב-48 השעות הקרובות צפויה תנודתיות קיצונית בסייבר מאיראן"
"הפיקוד שפיקח על פעולות הסייבר של טהרן - נעלם... הסייבר מאיראן - בעיה עבור חברות אמריקניות", אמרה קת'רין ריינס, בכירה לשעבר ב-NSA ● לפי הנתונים, מהמלחמה ביוני חל זינוק של 700% בתקיפות הסייבר האיראניות
"48 השעות הקרובות צפויות להיות תקופה של תנודתיות קיצונית בסייבר, שבה האקטיביסטים (האקרים אקטיביסטים) והפרוקסיז של איראן יובילו להסלמה, כדי למלא את החלל שהשאיר הפיקוד המרכזי של טהרן, שנפגע. שחקני האיום באיראן ותומכיה מחוץ למדינה כבר משתמשים בטלגרם וברדיט כמרכז תיאום, ומפרסמים צילומי מסך של מתקפות לכאורה שאותן הם ביצעו – כהוכחה. לוקח שבועות ולפעמים חודשים לאמת את הדיוק של הפרסומים הללו", כך אמרה קת'רין ריינס, מומחית סייבר ומודיעין, שעבדה ב-NSA – הסוכנות לביטחון לאומי של ארצות הברית, ומובילת צוות מודיעין האיומים בפלאש פוינט.
"לוחמי הסייבר" של איראן נכנסו לפעולה כבר בשעותיה הראשונות של המלחמה, ולפי פלאש פוינט, ביצעו את "השימוש האגרסיבי ביותר שאיראן עשתה אי פעם בסייבר". על פי החברה, הקבוצה שהיא מתייחסת אליה "מתואמת באופן רופף, וכוללת פעילי סייבר, שמפעילים ערוץ בטלגרם. תחת הקבוצה, תוקפי סייבר שונים סגרו תחנות דלק בירדן והובילו מתקפות נגד ספקיות של צבא ארצות הברית וצה"ל, לטובת השמדת נתונים ומבצעי השפעה".
"חברות מערביות לא ערוכות למבצעי השפעה-תודעה"
"ההאקטיביסטים והפרוקסיז ינסו להסלים בסייבר כדי למלא את החלל שנפער בשל ההתנקשות בבכירי הפיקוד המרכזי של טהרן. בעקבות התקיפות בשבת, מבנה הפיקוד שפיקח על פעולות הסייבר של טהרן – נעלם. הוואקום שנוצר יוביל ליותר מתקפות מבוזרות ובלתי צפויות מצידם של האיראנים והפרוקסיז שלהם", אומרים בפלאש פוינט.
לפי החברה, ההאקטיביסטים וקבוצות הפרוקסי יחליטו במי לפגוע בעצמם, מבלי לקבל אישור מהרשויות, ויעשו זאת גם כדי שיוכלו להתפאר במעשיהם. "אם נער יחליט לפגוע בחברת לוגיסטיקה בינונית כדי להוציא הצהרה – הסיכון מתפשט מעבר לטהרן, וושינגטון או ניו יורק", אמרה ריינס. "זה נמצא בידיו של האקר בן 19, שנמצא בחדרו ומשוטט בטלגרם בלא פיקוח או הכוונה. חברות מערביות לא ערוכות למבצעי השפעה-תודעה בסייבר".
"מנכ"לי החברות צריכים להיערך להמשך חוסר הוודאות"
"מנכ"לי חברות עסקיות בארצות הברית (ואנחנו מוסיפים: גם בישראל – י"ה) צריכים להיערך להמשך חוסר הוודאות", אמר לפורצ'ן בריאן קרבאו, מייסד-שותף ומנכ"ל אנדסייט, ולשעבר מנהל מרכז הפעילויות המיוחדות (SAC) של ה-CIA. "האיראנים הראו, בעקביות ולאורך השנים, שהם עמידים מאוד כממשלה וככוח התנגדות. המשטר מפגיז את שכנותיו ואיראן תמשיך להפעיל את יכולות הסייבר ההתקפיות המרשימות שלה. לאיראן יש DNA של התנגדות אגרסיבית ויצירתית". לדבריו, "זה יימשך עוד זמן מה. הסכסוך ייקח מסלולים שונים ויסטה מהכביש".
עוד אמר קרבאו כי "ככל שארצות הברית וישראל יפגעו ביכולות הצבאיות הקונבנציונליות של איראן, מתקפות סייבר יהיו אטרקטיביות יותר עבור המשטר בטהרן: הן זולות לפריסתה, קשה לייחס אותן, והן יוצרות שיבוש פסיכולוגי ותפעולי עצום יחסית להשקעה הנדרשת. איראן הראתה שהיא מסוגלת לחקות ולבנות על שיטות תקיפה בסייבר, שהוצגו בראשונה על ידי רוסיה. היא תמיד גאה ביכולות הסייבר שלה, והגאווה לא תיעלם עם אובדן ההנהגה הבכירה".
לסיכום הוא ציין כי "זה לא משבר שייפתר במהרה, והוא מתורגם לסיכון סייבר שלא ייעלם מיד".
"הסבירות למתקפות סייבר איראניות – גדלה"
ראף פילינג, מנהל מודיעין איומים בסופוס, אמר כי "ככל שאיראן שוקלת את אפשרויות התגובה שלה, כך גדלה הסבירות שקבוצות בגיבוי המדינה, או האקטיביסטים – ינקטו בפעולות, כולל מתקפות סייבר, נגד מטרות צבאיות, מסחריות, או אזרחיות – מישראל ומארצות הברית". לדבריו, "המתקפות עלולות לכלול הדלפה מוגדלת של פרצות נתונים ישנות, המוצגות כניסיונות חדשים ולא מתוחכמים – על מנת לפגוע במערכות תעשייתיות החשופות לאינטרנט, ואולי אף לכוון פעולות סייבר התקפיות".
"הפעילות (בסייבר – י"ה) במזרח התיכון גברה", ציינה סינתיה קייזר, בכירה לשעבר בסייבר ב-FBI וסגנית נשיא בכירה ב-Halcyon. "ראינו גם קריאות לפעולה מצד אנשי סייבר פרו-איראניים ידועים, שביצעו בעבר פעולות פריצה והדלפה, מתקפות כופר ומתקפות מניעת שירות מבוזרות (DDoS)".
לדברי אדם מאיירס, סגן נשיא בכיר לתפעול מבצעים נגד איומים בקראודסטרייק, "פעילות הסייבר הנוכחית עשויה להקדים פעולות אגרסיביות יותר. כבר ראינו פעילות עקבית של גורמי איום הקשורים לאיראן, כמו גם קבוצות האקרים, שמבצעות סיורים (מקדימים – י"ה) ויוזמות התקפות DDoS".
"ארגונים נקראים לגלות ערנות"
בתוך כך, TrendAI פרסמה היום (ב') נתונים שלפיהם מאז יוני האחרון נרשם זינוק של כ-700% בפעילות התקיפה האיראנית בסייבר. לדברי קיריל גלפנד, אוונגליסט AI ואדריכל פתרונות אבטחה בכיר ב-TrendAI, "קבוצת התקיפה מים עכורים (MuddyWater) היא אחת הפעילות ביותר בתקופה זו, ומתמקדת בעיקר בארגוני ממשלה, תחבורה, תעשייה ותקשורת".
הוא הוסיף כי "בתקופות של מתיחות ביטחונית, פעילות התקיפה מתמקדת לרוב בגניבת זהויות, חדירה לרשתות ארגוניות והפעלת נוזקות לשליטה מרחוק. במסגרת הפעילות של קבוצת MuddyWater זוהו כמה משפחות נוזקה מרכזיות, ביניהן RustyWater – שתל שליטה מרחוק המבוסס על הדלת האחורית Rust; וכן BugSleep, שמאפשרת העברת קבצים והרצת פקודות; PowGoop – זהו Loader (רכיב תוכנה ש-'פורץ את הדרך' עבור הנוזקה), שמתחזה לקובץ מערכת לגיטימי; ו-Mori – דלת אחורית שמשתמשת בתקשורת DNS לשליטה מרחוק".
גלפנד ציין ש-"ארגונים נקראים לגלות ערנות ולנטר פעילויות שעלולות להעיד על ניסיונות חדירה. מומלץ לנקוט בפעולות הבאות: להשבית את Office Macros, להפעיל אימות רב שלבי (MFA) לכל מערכות הארגון, לחסום שירותי שיתוף קבצים שאינם נדרשים ולנטר שימוש בלתי מורשה בכלי שליטה מרחוק".
"במצבי מתיחות ביטחונית עולה לעתים קרובות היקף פעילות הסייבר המכוונת גם לארגונים אזרחיים. הקשחת מערכות, ניטור קפדני של פעילות חשודה ושימוש באמצעי זיהוי מתקדמים הם חיוניים לזיהוי מוקדם של ניסיונות תקיפה ולצמצום הסיכון לפגיעה בארגון", סיכם.
תגובות
(0)