בפעם הראשונה: החות'ים מבצעים מתקפת תודעה בסייבר נגד ישראל
הקמפיין, שחשפו חוקרי קלירסקיי, כולל יצירת פרופילים ברשתות החברתיות הקמת אתר מזויף ופרסום ידיעות ● מדובר בגלגול של קמפיין שהחל ב-2019 נגד מדינות המפרץ הפרסי, וב-2024 החל לפעול נגד ישראל
החות'ים משתמשים גם במתקפות סייבר, וכבר ביצעו מתקפות תודעה. אלא שעד כה, הם לא עשו קמפייני תודעה בסייבר נגד ישראל, ואם כן – הם לא נחשפו. חוקרי קלירסקיי הישראלית חשפו באחרונה בפעם הראשונה קמפיין תודעה חות'י, שפועל נגד יעדים בישראל ובמדינות המפרץ הפרסי, וממצאיו הגיעו לידי אנשים ומחשבים.
פעילות הסייבר של החות'ים איננה רבה, אבל היא קיימת. כך, למשל, מחקר שפרסמה ביולי האחרון חברת הסייבר לוק אאוט העלה שהאקרים חות'ים הדביקו רוגלה בטלפונים של יותר מ-450 אנשים בסעודיה, מצרים, עומאן, איחוד האמירויות, קטאר, טורקיה – ותימן עצמה. עם זאת, כאן מדובר בקמפיין תודעה, שהוא לא מדרכי הפעולה המועדפות על ההאקרים החות'ים.
להערכת החוקרים, מטרת הקמפיין הייתה אחת משלוש: רצון לצבירת מוניטין ואמינות ברשת, בניית תשתית ליצירת קשר של התימנים-חות'ים עם ישראלים, באופן ישיר, שלא דרך הקמפיין – אלא דרך פייסבוק, למשל, או בניית תשתית טכנית לטובת משלוח נוזקות בעתיד. הם ציינו כי "ייתכן שבעתיד יופצו דרך הקמפיין הזה מסרים שמטרתם לזרוע פירוד בחברה הישראלית, או שתופץ דרכו פעילות זדונית. כמו כן, ייתכן שמטרת הקמפיין היא לייצר קשר בין המפעילים התימנים לישראלים, כאשר המשך הקשר לא מתבצע בקבוצות הללו – אלא ישירות מול הגולשים הישראלים".
לפי הקלירסקיי, "לא מן הנמנע שבנקודות זמן מסוימות, מפעילי הקמפיין מחדירים סקריפטים זדוניים לאתרים שבבעלותם". עם זאת, החוקרים ציינו שהם לא איתרו עדות לכך שמפעילי הקמפיין אמנם עשו זאת.
מתוך הקמפיין. צילום: לכידת מסך
גלגול של קמפיין מ-2019
הקמפיין הוא גלגולו של מסע שהחוקרים חשפו בפעם הראשונה ב-2019. לפי חוקרי קלירסקיי, "המסע ממשיך לפעול באותו מתווה כפי שנחשף אז. בין השנים 2019-2022, הקמפיין התמקד בעיקר במדינות המפרץ הפרסי, בדגש על ערב הסעודית ואיחוד האמירויות. הוא שב בסוף 2024 – ומתמקד בישראל". לדבריהם, "יתכן שהקמפיין היה פעיל מול ישראל גם בין השנים 2019-2022, אך לא מצאנו אינדיקציה לכך".
הקמפיין מ-2019 כלל הפצה של פייק ניוז על ידי כמה פרופילים ברשתות החברתיות. הידיעות עסקו בנושאים רכילותיים – למשל, פטירתן של שחקנית וזמרת ישראליות. הידיעות התפרסמו בעמודים של כלי תקשורת ישראליים ובכמה קבוצות ישראליות שהחוקרים כינו "מוזרות", ברשתות החברתיות – בעיקר בפייסבוק. הקמפיין מ-2019 מתבסס על מתודולוגית עבודה של מסעות תודעה איראניים, שהחלו להיחשף על ידי קלירסקיי ב-2018.
הקמפיין הנוכחי
המתודולוגיה של הקמפיין הנוכחי כוללת כמה שלבים: הראשון – הקמת התשתית, שבמסגרתו בונים ההאקרים אתר חדשות או רכילות מזויף. עוד נבנים פרופילים פיקטיביים ברשתות החברתיות, בדגש על פייסבוק, לצד X, במידה מוגבלת. או אז נבנות קבוצות פייסבוק, למשל חדשות סלבריטאים. בלוגו של הקבוצה כתובות המילים שמועה בידור, המתכתבות עם שמו לש הגוף הלגיטימי ישראל בידור, עם צבעי לוגו דומים.
מתוך הקמפיין. צילום: לכידת מסך
במהלך הקמפיין, ציינו החוקרים, ההאקרים מעתיקים ידיעות רכילות מאתרי חדשות לגיטימיים או מפוסטים לגיטימיים של ישראלים בפייסבוק. או אז, הם מפרסמים את הידיעות הללו באתר החדשותי או הרכילותי שהם הקימו.
מתוך הקמפיין. צילום: לכידת מסך
לפי המחקר, קבוצת הפייסבוק שהוקמה על ידי מפעילי הקמפיין מפרסמת קליק בייטים – פוסטים שמנוסחים באופן שמטרתו להביא את הגולש להקליק על הלינקים המצורפים אליהם. אותם לינקים מפנים לכתבות המועתקות, מתוך האתר המרכזי להפצת הידיעות, שהוקם על ידי מפעילי הקמפיין. עוד מצאו החוקרים שהפרופילים הפיקטיביים משתפים את הפוסטים שמכילים את הקישורים לידיעות באתר – בקבוצות פייסבוק לגיטימיות.
החוקרים העלו ש-"מדובר בקמפיין מתמשך, שפועל מאז שנת 2019, ששינה במהלך השנים את היעדים שלו – בין ישראל לבין מדינות 'אויב' במפרץ הפרסי. המתודולוגיה של הקמפיין, דרך פעולתו ואופני הפצת המידע נותרו זהים".
זהות נוספת נמצאה על ידי החוקרים לגבי נושאי הידיעות שמופצות, שרובן קשורות לרכילות. אולם, לדבריהם, "ב-2019 הקמפיין הפיץ ידיעות כוזבות, ואילו כעת הוא מתמקד בהפצה של ידיעות אמיתיות, שמועתקות מאתרי חדשות לגיטימיים ומפרופילים לגיטימיים בפייסבוק". לפי המחקר, "חלק גדול מתשתית הפצת המידע, כולל הדומיינים שהיו פעילים ב-2019 – עדיין פעילים".
אתרים בעברית ובערבית
האתרים שהקימו ההאקרים החות'ים משלבים כתבות בעברית לקהל הישראלי ובערבית – לקהל במדינות המפרץ. האתר המרכזי שמפיץ את הידיעות כתוב בשפה הערבית. החוקרים ציינו כי "האתר הוא בעל אמינות נמוכה, לא משדר מקצועיות ולא נראה לגיטימי, או ישראלי אותנטי, עבור הקהל הישראלי".
מתוך הקמפיין. צילום: לכידת מסך
אחד האתרים, Gool-live[.]com, פעיל החל מ-2019. האתר כולל ידיעות בעברית ובערבית שמכוונות לקהלים בישראל ובמדינות המפרץ הפרסי. הידיעות בו מועתקות באופן מלא מאתרים לגיטימיים ישראלים, (למשל מעריב ואייס), וגם מפוסטים לגיטימיים בפייסבוק. חקירת פרטי האתר מצביעה כי בין השנים 2019-2023 הדומיין עבר בין כמה חברות בתימן.
באשר לרשתות החברתיות, החוקרים מציינים שמפעילי הקמפיין "לא השקיעו מאמץ רב בהקמת הפרופילים. לפרופילים שמות ערביים באותיות ערביות או אנגליות, או שמות גנריים באנגלית, למשל Sarah Sarah".
עוד יש לציין שאחד העמודים, שמתיימר להיות עמוד בשפה העברית, הגיב באחת התגובות בערבית – ככל הנראה כי הפייסבוק של מפעיל העמוד מוגדר לשפה הערבית.
תגובות
(0)