"הסייבר האיראני נגד ישראל במלחמה היה מתואם – והשפיע"

כחודש וחצי אחרי סיום המלחמה בין ישראל לאיראן, מוציאות שתי חברות אבטחת מידע דו"חות אודות פעילות הסייבר במהלכה, ובפרט זו של איראן נגד ישראל. מהדו"חות עולה כי מאחורי פעילות הסייבר של המשטר של הרפובליקה האסלאמית במהלך מלחמת 12 הימים הייתה אסטרטגיה, היא הייתה מתואמת – והשפיעה.

על פי מחקר של סקיוריטי סקור גארד, הפעילות והתגובה של ההאקרים מאיראן במהלך המלחמה נראו כאילו הן לא מתואמות ולא מנוהלות, אבל זה לא נכון: היה שם תיאום משמעותי בין ההאקרים שלוחי המדינה.

צוות סטרייק למחקר מודיעין איומי סייבר של סקיוריטי סקור בורד ניתח רבע מיליון הודעות שנשלחו על ידי שליחים, ששימשו כפרוקסיז של המשטר האיראני, וכן האקטיביסטים (האקרים אקטיביסטים) מהמדינה, שפעלו במסגרת 178 קבוצות. אלה הוציאו לפועל ממבצעי תודעה והשפעה מעורבים בתעמולה ועד לגניבת נתונים, השחתת אתרים והפעלת מתקפות סייבר.

"הניתוח שלנו חושף מפה מפורטת של מבצעים שהיו מהירים, ממוקדים וטעונים אידיאולוגית", נכתב בדו"ח. "במקרים רבים, נראה שקבוצות האיום תיאמו את פעולותיהן בזריזות וביישור קו מעמיק".

"נקודת מפנה באסטרטגיית הסייבר של איראן"

מחקר נוסף, שפרסמה NSSG Global מקבוצת אוונטי, שפועלת בעולם ניהול הסיכונים, העלה ממצאים דומים. יצוין כי אחד החברים במועצה המייעצת של NSSG הוא ניצב (בדימוס) דוד צור, לשעבר מפקד הימ"מ ומחוז תל אביב במשטרה. נימה חוראמי, אנליסט ב-NSSG Global ועמית מחקר במכון הארקטי, כתב כי "התנהלותה של איראן במרחב הסייבר במהלך מלחמת 12 הימים סימנה נקודת מפנה באסטרטגיית הסייבר שלה. זו משקפת תיאום רב יותר, כוונה אסטרטגית ברורה יותר ושילוב של כלים דיגיטליים בתחומים צבאיים, פוליטיים ופסיכולוגיים".

בהקשר זה יש לציין כי סקיוריטי סקור בורד ציינה כי קבוצת ההאקרים שקשורה לממשלת איראן חתלתול אימפריאלי (Imperial Kitten), ובשמה הנוסף שריון צב (Tortoiseshell), שינתה טקטיקה ככל שהלחימה החריפה. היא החלה להשתמש בפיתיונות פישינג שעסקו בסכסוך ובנתה תשתית לקמפיין כמעט מיד לאחר תחילת הקרבות הפיזיים. החוקרים ציינו כי "הפעילות מצביעה על כך שלקבוצה יש מחזורי תכנון או משימות, שמגיבים במהירות לנקודות ההתלקחות של סכסוך". הם ציינו כי "פעולות פריצה איראניות נוספות כללו ביצוע סיורים באתרי קורבנות, גיוס כספים וכוח אדם ואוהדים בטלגרם ופרסום של פרצות וחולשות".

מנהיג איראן, עלי חמינאי. צילום: האתר הרשמי, מתוך ויקיפדיה

בדו"חות צוין כי השלכות הסייבר מהעימות המזוין בין ישראל ואיראן הובילו גורמים בממשל האמריקני להזהיר מפני זליגה אפשרית של נתונים. לעומתם, יש המטילים ספק במידת האפקטיביות של פעולות הסייבר בין המדינות במהלך המלחמה. "קל לבלבל בין היקף פעילות הסייבר במלחמה בין ישראל ואיראן לבין השפעה מכרעת", כתב ניקיטה שאה, עמית בכיר לתחום הסייבר בקבוצת החשיבה המועצה האטלנטית (The Atlantic Council). "אולם, הערך של מתקפות הסייבר עבור כל מדינה נבע מכך שהן שימשו כאמצעי לעיצוב והגדלת סביבת המידע, במקום להבאת הסכסוך לסיום סופי. מתקפות הסייבר הללו אמנם גרמו נזק או שיבוש בטווח הקצר, אך לא הצליחו לספק יתרון צבאי מכריע. במקום זאת, אזרחים איראנים וישראלים מן השורה הרגישו את ההשפעה שלהם באופן לא פרופורציונלי".

מתקפות משני הצדדים

כמה וכמה חברות אבטחת מידע פרסמו לאחר המלחמה דו"חות על פעילות הסייבר שביצעו שתי המדינות במהלכה. כך, חוקרי פורטינט מצאו שאיראן פעלה במהלך המלחמה נגד ישראל באמצעות שלל קבוצות תוקפים בסייבר, ביניהן קבוצות APT (מתקפות עקביות ומתקדמות) כ-APT33 ,MuddyWater ו-Rocket Kitten, שפגעו בארגונים מהמגזרים הממשלתי והפרטי, במגוון מגזרים: טלקום, ממש מקומי, ביטחון וארגוני נפט וגז. מתקפות אלה כוונו לדיפלומטים, אנשי בטחון ואקדמאים בישראל ובקרב בעלות בריתה. כמו כן, התוקפים האיראנים ביצעו שלל מתקפות תודעה, בניסיון להשפיע על הציבור הישראלי, וכך על מהלכי המלחמה, וחדרו למצלמות אבטחה בישראל – כפי שצ'ק פוינט חשפה במהלך המלחמה.

מנגד, ראינו במלחמה פעילות נרחבת של קבוצת הדרור הטורף הפרו-ישראלית, ובמרכזה המתקפות שלה נגד הבנק הגדול באיראן, בנק ספאח, ובורסת הקריפטו האיראנית נוביטקס. במתקפה האחרונה גרמו התוקפים להתפוגגותם של 95% מהנכסים של בורסת הקריפטו, תוך שביצעו גניבה של עשרות מיליוני דולרים. בורסת נוביטקס נחשבת למסלול להשקעות שעוקף את הסנקציות המוטלות על איראן.