מחקר: החמאס תוקף בסייבר גם פלסטינים
החמאס ביצע באחרונה מתקפות סייבר גם נגד גורמים בפת"ח ומפקדים במשטרה הפלסטינית - כך עולה ממחקר של גוגל ● האם החמאס הגביר מפתיחת המלחמה את מתקפות הסייבר שלו נגד ישראל? ומה חלקה של איראן?
תקיפות הסייבר של החמאס, החיזבאללה וכמובן איראן נגד ישראל הן עובדה ידועה, שעלתה מכמה וכמה מחקרים, כולל כאלה שפורסמו אחרי ה-7 באוקטובר. אלא שמחקר חדש של גוגל, שפורסם השבוע, מעלה שגם פלסטינים היו על הכוונת של מחבלי הסייבר של החמאס.
על פי מחקר של חוקרי קבוצת ניתוח האיומים של החברה, בשיתוף חוקרי מנדיאנט מבית גוגל ו-Trust & Safety, בשבוע שלפני ה-7 באוקטובר הניעו אנשי החמאס קמפיינים רבים של מתקפות סייבר נגד אחיהם הפלסטינים, כולל בעלי תפקידים בארגון הפת"ח ומפקדים במשטרה הפלסטינית. נראה כי המתקפות הללו הן חלק מהיריבות בין הארגונים הפלסטיניים והרצון של החמאס להשתלט לא רק על רצועת עזה, אלא גם על השטחים שנתונים לשליטת הרשות הפלסטינית בגדה המערבית.
נוזקה על שם BIBI
באשר למתקפות נגד ישראל, חוקרי קבוצת האיומים של גוגל מצאו כי בחצי השנה שלפני פרוץ המלחמה, איראן הייתה אחראית ל-80% ממתקפות פישינג בגיבוי מדינה שכוונו נגד משתמשים בארץ. באותו פרק זמן, קבוצות פלסטיניות היו אחראיות ל-10% מהמתקפות, קבוצות צפון קוריאניות ל-5% והאקרים סיניים – ל-3%.
החוקרים מגוגל חזרו על ממצא שפורסם גם במחקרים אחרים: שההאקרים אויבי ישראל תקפו מטרות ישראליות עם נוזקת "מגב". שמה של הנוזקה הוא BIBI Wiper, על שם כינויו של ראש הממשלה, והקורבנות שלהם היו מערכות מבוססות Windows ולינוקס. כאשר המתקפות הצליחו, ההאקרים שינו את שמות המערכות שנפגעו ל-NO2BIBI, ואף שלחו הוראות למדפסות להדפיס כיתוב זה.
החלק של איראן
עוד פעילות, שגם חוקרי גוגל מציינים אותה, היא פעולות השפעה ולוחמת מידע רבות שאיראן ערכה לפני ואחרי ה-7 באוקטובר, שנועדה לערער את המורל בישראל ולהסיט את דעת הקהל העולמית נגדה. כמו כן, האיראנים ביצעו קמפיינים לאיסוף מודיעין בעזרת מתקפות פישינג.
חוקרי קבוצת האיומים של גוגל הבחינו שהשטף היציב של מתקפות סייבר מצד קבוצות הנתמכות על ידי איראן והחיזבאללה הפך מאז פרוץ המלחמה ליותר ממוקד ומרוכז, וכיוון, בין יתר היעדים, להקטנת התמיכה הציבורית בישראל במלחמה.
לפי הדו"ח, "איראן ממשיכה לתקוף באגרסיביות מטרות בישראל ובארצות הברית, לרוב בהצלחה חלקית. ההתמקדות הזאת מצביעה על כך שהמתקפה (הפיזית – י"ה) של החמאס לא שינתה מהותית את האסטרטגיה של טהרן, לרבות בסייבר. עם זאת, לאחר המתקפה ראינו מאמץ ממוקד יותר, שהתרכז בחתירה תחת התמיכה הציבורית במלחמה". מנגד, הם התייחסו למתקפות לשיבוש תשתיות קריטיות באיראן, לרבות דלק, שהממשל בטהרן ייחס לישראל, וכתבו כי "אין לנו מספיק ראיות כדי להעריך טענות אלה".
החלק של החמאס
מתקפות החמאס היו יעילות אך פשוטות, מצאו החוקרים. אחת מהן הייתה חריגה מהשאר, הפגינה יכולות טכנולוגיות מרשימות ושילבה פעילות סייבר התקפית במדיה החברתית עם נוזקות מותאמות אישית, שכוונו נגד קורבנות בעלי ערך גבוה.
החמאס עשה שימוש רב ברוגלות לטובת איסוף מודיעין. אולם, הוא ניסה לאסוף מודיעין גם באמצעים אחרים, תוך שהוא משטה בישראלים: בספטמבר (אולי לקראת המתקפה באוקטובר?) הוא ניסה לאסוף מידע על ארגונים ישראליים דרך לינקדאין. גם חוקרי גוגל מציינים את הקמפיין של החמאס, שבו אנשיו התחזו ברשת החברתית המקצועית למגייסים של חברות היי-טק ויצרו קשר עם עובדים ישראליים, כחלק מהליך הגיוס לכאורה, תוך התמקדות בכאלה שיש להם קשרים לארגוני ביטחון.
בקבוצת ניתוח האיומים של גוגל מצביעים על כך ש-"ריגול הסייבר של החמאס התנהל בצורה אופיינית בתקופה שקדמה ל-7 באוקטובר, ולא הבחנו בפעילות משמעותית מאז. החמאס לא השתמש במבצע סייבר כדי לתמוך טקטית במתקפת הטרור ב-7 באוקטובר. במהלך ספטמבר 2023, קבוצות המקושרות לחמאס עסקו בריגול סייבר בהתאם לפעילותן הרגילה, כולל: קמפיינים המוניים של פישינג שמטרתם לספק תוכנות זדוניות ולגנוב נתונים; תוכנות ריגול סלולריות, לרבות דלתות אחוריות של אנדרואיד, שהופצו באמצעות פישינג; מיקוד עקבי בישראל, פלסטין ושכנותיהן האזוריות במזרח התיכון, כמו גם מיקוד קבוע בארצות הברית ובאירופה".
"פעילות הסייבר במלחמה בין ישראל לחמאס שונה מאוד מזו שמתנהלת במלחמה באוקראינה", ציינו החוקרים. "בניגוד לאוקראינה, לא חזינו בעלייה בפעולות סייבר נגד יעדים ישראליים לפני המתקפה, ואין לנו אינדיקציה לכך שפעילות סייבר הייתה חלק מהפעולות של החמאס בשדה הקרב, או שהשתמשו בסייבר כדי לאפשר פעולות של לוחמה קינטית".
מה יקרה בהמשך המלחמה?
"השנה", ציינו החוקרים, "אנחנו מעריכים בסבירות גבוהה שקבוצות שמקושרות לאיראן ימשיכו לערוך מתקפות סייבר הרסניות, במיוחד לנוכח פעולות שייתפסו כהסלמת הסכסוך, כולל לוחמה קינטית נגד שלוחות איראניות במדינות שונות, כמו לבנון ותימן".
"אנחנו גם סבורים שפעולות של פריצה והדלפת מידע יישארו חלק מרכזי מהמתקפוות ומהניסיונות של גורמים קשורים לאותת על הכוונות והיכולות שלהם לאורך המלחמה – הן מול מי שנגדם והן מול קהלי היעד שעליהם הם שואפים להשפיע", כתבו.
לגבי מחבלי הסייבר של החמאס, החוקרים ציינו ש-"בעוד שבטווח הקרוב התחזית לפעולות סייבר מצדו ומצד גורמים שקשורים לו לא ברורה, אנחנו צופים שפעילות הסייבר של החמאס תימשך בסופו של דבר, ותתמקד בריגול לצורך איסוף מודיעין על עניינים פנים-פלסטיניים, ישראל, ארצות הברית ושחקנים אזוריים אחרים במזרח התיכון. ברור שמתקפות הסייבר ימשיכו להיות חלק מהסכסוך בעתיד".
"לאבטחת הסייבר תפקיד קריטי בגיאו-פוליטיקה – במיוחד בזמני מלחמה"
לדברי סנדרה ג'ויס, סמנכ"לית האיומים של מנדיאנט, ושיין האנטלי, דירקטור בכיר בקבוצת ניתוח האיומים של גוגל, "הדו"ח מציג את הדוגמה העדכנית ביותר לכך שמתקפות סייבר הן כלים בעדיפות גבוהה, שמעניקים לגופים יריבים דרך לנהל עימותים בעלות ובסיכון נמוכים יותר, לאסוף מידע, לשבש את חיי היומיום ולעצב את התפיסה הציבורית – וכל זאת מבלי לחצות את קו העימות המובהק".
לפי ג'ויס והאנטלי, "אבטחת הסייבר משחקת תפקיד קריטי בגיאו-פוליטיקה – במיוחד בזמני מלחמה. על אף שמתקפות סייבר הפכו כמעט לאוניברסליות, הטקטיקה, התזמון והיעדים של הגורמים המאיימים יכולים להיות שונים בתכלית".
ידיעות מובילות
מתחילת המלחמה: ממר"ם חוותה מעל 3 מיליארד ניסיונות תקיפה בסייבר
משקיע טק בכיר: אנבידיה עשויה להגיע לשווי של 50 טריליון דולר
נשים ומחשבים: אפרת פרקש, אוטוטוקס
אלון קור מונה ל-CTO של VMware ישראל
"המגזר הביטחוני יאיץ את יכולות ישראל ברובוטיקה, אוטונומיה ו-AI"
תגובות
(0)