"קבוצות הסייבר ההתקפי האיראניות הופתעו וייקח להן זמן להתאושש"

לא רק המנהיג העליון של איראן, עלי חמינאי, מפקדי הצבא האיראני ומשמרות המהפכה, ושאר הבכירים ברפובליקה האסלאמית הופתעו מהמלחמה שאליה יצאה ישראל נגד מדינתם. "גם קבוצות הסייבר ההתקפי האיראניות הופתעו מהמתקפות הישראליות – וייקח להן זמן להתאושש", כך אמר בועז דולב, מייסד ומנכ"ל קלירסקיי, ומבכירי תעשיית הסייבר הישראלית. "למרות זאת, השלטון של הרפובליקה האסלאמית לוחץ עליהן, בהיסטריה, להפגין תוצאות".

דולב דיבר בוובינר מיוחד שנערך הבוקר (א'), ביוזמת אנשים ומחשבים, ונושאו היה המשכיות עסקית בעתות מלחמה. את הוובינר פתחה נטלי גבאי, סמנכ"לית השיווק והאירועים של אנשים ומחשבים, והנחה יהודה קונפורטס, העורך הראשי של הקבוצה.

לדברי דולב, "המתקפות הישראליות פגעו מאוד קשה במערכת הפיננסית באיראן. כרגע, המיקוד של איראן בממד הסייבר הוא להוציא לפועל מבצעי השפעה ותודעה".

מבצעי פרוץ והדלף

הוא ציין כי "פעילות הסייבר ההתקפי האיראנית מבוצעת בעיקר על ידי שלושה גופי ממסד: משמרות המהפכה, הצבא והמודיעין. חלק מקבוצות התקיפה בסייבר נפגעו בשל המתקפות של ישראל. בנוסף, ישנן קבוצות סייבר שפעלו תחת משמרות המהפכה, והן חוו מתקפות פיזיות על מטות הארגון, שהופצצו. כתוצאה מכך, הן מתקשות להפגין יכולות עם תוצאות. אז, בלית ברירה, הן עורכות מבצעי השפעה ותודעה בסגנון Hack and Leak Operations (מבצעי פרוץ והדלף)".

"כבר למחרת תחילת ההתקפה הישראלית, אור ליום ו' לפני שבוע וחצי, האיראנים החלו משחררים בפומבי נתונים, גם אם מדובר בכאלה שהושגו ממתקפות עבר. העיקר מבחינתם היה לשחרר נתונים ולהראות שיש להם מענה לישראל. זאת, כדי להסתיר שיכולות התקפיות אחרות של הקבוצות האלה נפגעו או הושבתו, ולהפיץ באופן נרחב את מבצעי ההשפעה הללו – כמעין סוג של תחליף לכך", אמר דולב.

נזק חמור לאיראן – גם בסייבר. צילום: ShutterStock

"קבוצות הסייבר האיראניות כמעט שלא מתפקדות"

דולב ציין כי "קבוצות הסייבר ההתקפי שפועלות תחת המודיעין האיראני ותחת משמרות המהפכה נפגעו – כנראה – מאוד קשה, גם בממד הפיזי, כולל פגיעה בתשתית התקשורת שלהם. הן כמעט שלא מתפקדות – למעט קבוצת חתלתול מקסים (Charming Kitten). חברי קבוצת האקרים איראניים זו שבו לעבוד ומנסים לפרוץ לארגונים וישויות בישראל".

חתלתול מקסים היא קבוצת סייבר שלוחת המשטר בטהרן, שפועלת מזה עשור נגד יעדים במדינות שונות, כשישראל וארצות הברית הן בין היעדים ה-"חביבים" עליה. בין היתר, היא תוקפת פעילי אופוזיציה איראניים, עיתונאים ופעילי זכויות אדם, ואף ניצלה את החולשה החמורה Log4J כדי לתקוף קורבנות, כולל בישראל.

לצידה, ציין דולב, "במשרד המודיעין האיראני פועלות שתי קבוצות: חנדלה (Handala) היא קבוצת פריצה מובילה, והיא הכי רצינית בסייבר. בימים האחרונים חבריה פרסמו הודעות על כך שפרצו ל-15 חברות ישראליות, משמע 2-3 מדי יום. חלק מהן הן פריצות משמעותיות, אולם עדיין איננו יודעים מה משמעותן. ברור כי לצד הרעש, נחשף מידע רב ורגיש". רק בשנה האחרונה טענו חברי הקבוצה כי הם פרצו לאתר הכנסת – טענה שהוכחשה על ידי הפרלמנט הישראלי, למערכת של חברה שמספקת לחצנים לגני ילדים בישראל, למערכת IT של המשטרה ולאתר של החברה להגנת הטבע.

"קבוצה נוספת היא טופאן (Cyber Toufan), שכשבועיים לאחר תחילת המלחמה בעזה החלה לפעול במשנה מרץ", ציין דולב.

"קבוצת הדרור הטורף משגעת את הכלכלה האיראנית"

דולב התייחס לפגיעה בסייבר בבנק ספאח, שבוצעה בשבוע שעבר, ואמר כי "המערכת הפיננסית של איראן נפגעה קשה מאוד: אנשים לא יכולים למשוך כסף מזומן מכספומטים, ובהתאמה – לקנות דלק או מוצרים". הוא ציין כי "קבוצת הדרור הטורף (שנטלה אחריות על הפריצה לבנק, כמו גם לבורסת הקריפטו האיראנית נוביטקס) משגעת את הכלכלה האיראנית: זה לא טריוויאלי לפרוץ לבנק ולהשבית אותו".

נזק עצום למערכת הפיננסית האיראנית. בנק ספאח. צילום: ShutterStock

"לחלק מהפריצות האיראניות יש משמעויות מעניינות"

דולב חזר להתייחסות לצד של האויב וציין כי "חלק מהפריצות האיראניות בסייבר הן בעלות ערך, ואנחנו מנתחים מה המשמעות שלהן, כיוון שבחלק מהמקרים יש משמעויות מעניינות".

הוא אמר כי חוקרי קלירסקיי "מצאו נוזקה חדשה, מסוג 'מגב', למחיקת נתונים. ראינו אותה בפעם הראשונה בשבוע שעבר. מדובר בניסיון ראשון לקמפיין הרס: ההאקרים ניסו לשלוח לגופים שונים בישראל נוזקה שכותבת על הדיסק הנחיות למחיקת המידע שנמצא על דיסקים ומחשבים".

דולב הוסיף ש-"בימים האחרונים חלה ירידה חדה בהיקף הפעילות של גופי הסייבר שבמשמרות המהפכה – למעט חברי החתלתול המקסים, שממשיכים לעבוד. שאר היחידות לא פועלות. יש ירידה חדה במשלוח הודעות פישינג עם תוכנות להשתלטות עוינת מרחוק. פעילויות אלה כמעט שנמוגו מאז ה-13 ביוני (יום פרוץ המלחמה – י"ה) – כנראה בשל הפגיעה במשמרות המהפכה, או שאין להן כרגע יכולת, או שקשה להן לפעול עם שיבושי ואף הורדת האינטרנט באיראן. ראינו מתקפות רבות מסוג מניעת שירות מבוזרת (DDoS), אבל הן לא בעלות ערך, ולעומתן מתקפות שכן היו ערכיות – נעלמו. ככלל, מדובר במתקפות רבות, שמטרתן היא רעש – אנחנו כמעט שלא מזהים מתקפות אמיתיות".

לסיכום הוא ציין כי "ראינו הלם וזעזוע בקרב תוקפי הסייבר האיראנים. היה ברור שהם נפגעו, ורק כעת הם מתחילים להתאושש. אני מעריך שבשבועיים הקרובים הם ישקמו חלקית את יכולות הסייבר שלהם וינסו להגדיל את היקף המתקפות".