לא רק ישראל: "איראן תרחיב את מתקפות הסייבר לעוד מדינות במזה"ת"

האיראנים צפויים להשתמש בנשק הסייבר שלהם במלחמה הנוכחית לא רק נגד ישראל, אלא להתרחב למדינות נוספות במזרח התיכון – כך קבעו היום (ב') בצ'ק פוינט. זאת, בדומה למתקפות הפיזיות שלה, שאותן היא מבצעת הפעם גם במדינות המפרץ, בעוד שבעבר היא התמקדה במתקפות טילים וכטב"מים על ישראל כמעט בלבד.

לדברי סרגיי שוקביץ', מנהל קבוצת המודיעין בענקית הגנת הסייבר הישראלית, "בניגוד להסלמות קודמות במרחב הסייבר, שבהן הפעילות (האיראנית – י"ה) התמקדה בעיקר בישראל, אנחנו רואים כעת פוטנציאל להרחבה של טווח היעדים למתקפות סייבר, כולל לארצות הברית ומדינות המפרץ, ובראשן איחוד האמירויות".

"המשמעות היא שהעימות במרחב הסייבר לא תחום עוד לגבול גיאוגרפי מסוים, אלא מתנהל בזירה בינלאומית רחבה יותר, בהתאם לאינטרסים האסטרטגיים של איראן", ציין.

זרקור על פעילות הסייבר האיראנית

שוקביץ' האיר זרקור על פעילות הסייבר האיראנית: "היא משלבת ריגול, שיבוש והרס, לצד מבצעי השפעה תודעתית. האקו-סיסטם האיראני בסייבר פועל במודל רב שכבתי, שבו כל אלה משתלבים זה בזה".

מחלקת המחקר של צ'ק פוינט מיפתה את קבוצות סייבר המזוהות עם איראן: חלקן פועלות בזיקה למשמרות המהפכה (IRGC) ולמשרד המודיעין האיראני (MOIS), וחלקן האחר הן קבוצות פרוקסי וקבוצות האקטיביסטיות (של האקרים אקטיביסטים), שמבצעות בעיקר קמפייני השפעה-תודעה.

קבוצות הסייבר האיראניות המרכזיות

אחת הקבוצות שחוקרי צ'ק פוינט מציינים בסקירה שלהם היא סופת חול מכותנה (Cotton Sandstorm). הקבוצה, המזוהה עם משמרות המהפכה, עוסקת בפעילות משולבת, של שיבוש והשפעה תודעתית – לרוב בקמפיינים שמגיבים במהירות לאירועים גיאו-פוליטיים. חבריה מבצעים השחתת אתרים, מתקפות מניעת שירות מבוזרות (DDoS), השתלטות על חשבונות מייל וגניבת מידע לצורך פעילות 'פרוץ והדלף (Hack-and-leak).

היעדים העיקריים של חברי סופת חול מכותנה הם ישראל, מדינות המפרץ וגופים בעלי חשיפה ציבורית, לצד הרחבה למדינות נוספות, בהתאם להתפתחויות בזירה. הם חדרו לחברת IPTV (העברת שידורים בפס רחב) אמריקנית ושידרו מסרים שנוצרו באמצעות AI. עוד הם ערכו תקיפות נגד גופי ממשל ותשתיות בבחריין והשתמשו ב-WezRat להפצת נוזקה באמצעות ספייר פישינג. ההאקרים אף עשו שימוש נקודתי בכופרה של WhiteLock נגד יעדים בישראל. הם חידשו את הפעילות שלהם, תחת הזהות Altoufan Team, באחת ההסלמות האזוריות האחרונות.

חתלתול באמת מקסים, שלא כמו קבוצת ההאקרים. צילום: ShutterStock

קבוצת איום נוספת היא מנטיקור משכיל (Educated Manticore), הידועה אף יותר בשמה חתלתול מקסים (Charming Kitten), כמו גם כ-APT35-42. מנטיקור הוא דמות במיתולוגיות היוונית והפרסית. הקבוצה מזוהה אף היא עם משמרות המהפכה. היא פועלת לריגול ממוקד, מבוסס הנדסה חברתית והתחזות ברמת אמון גבוהה.

חברי מנטיקור משכיל עוסקים בספייר פישינג נגד עיתונאים, חוקרים ואקדמאים. הם משתמשים בערכות פישינג המתחזות ל-ווטסאפ, Microsoft Teamsו-Google Meet. כמו כן, הם גונבים סיסמאות וטוקנים של Session, וקוצרים בחשאי נתונים ומסמכים מתיבות המייל של הקורבנות. במקרים מסוימים הם קוצרים גם נתוני מיקום. עוד ברשימת היעדים שלהם נמצאים מומחי אבטחה, אנשים בעלי גישה למידע רגיש ומקבלי החלטות במזרח התיכון ובארצות הברית.

קבוצת מים עכורים (MuddyWater) היא אחת מקבוצות ההאקרים האיראניות הידועות, והיא מזוהה עם משרד המודיעין בטהרן. חבריה עוסקים בריגול מתמשך בארגונים ממשלתיים ותעשייתיים, ויש להם יכולת לעבור לשיבוש בעת הצורך.

האקרים של מים עכורים ערכו קמפייני פישינג רחבי היקף והשתמשו בכלי ניטור ושליטה מרחוק. הם הפיצו קבצים זדוניים דרך שירותי שיתוף לגיטימיים, לצד שימוש בכלי Windows מובנים (PowerShell ו- WMI). הפצחנים השתלטו על חשבונות דוא"ל פנימיים בארגונים, להפצת פישינג נוסף. היעדים העיקריים שאליהם הם מכוונים אלה ממשלות, חברות במגזרי האנרגיה והתקשורת, וארגונים עסקיים בישראל ובמדינות המפרץ – ולעתים גם מחוץ למזרח התיכון.

בחודש דצמבר האחרון חשפה ESET מתקפת סייבר רחבה של קבוצת מים עכורים על ארגונים בישראל, כמו גם על ארגון אחד במצרים. דו"ח של חברת אבטחת הסייבר Lookout מצא כי חברי הקבוצה, כמו גם חברי קבוצות סייבר איראניות אחרות, ביצעו קמפייני ריגול נרחבים בסייבר נגד ישראל במהלך מלחמת עם כלביא.

עוד קבוצה איראנית שיש לה פעילות רבה מאוד בסייבר היא חנדלה (Handala), שמזוהה אף היא עם המודיעין בטהרן. חבריה פועלים בסגנון פרוץ והדלף, וכן מבצעים מבצעי השפעה פסיכולוגית ותודעתית. אנשי חנדלה חדרו לחברות לצורך גניבת מידע, או לפרסום מתוזמן של מידע גנוב. הם ניצלו שרשרת אספקה – ספקי IT ושירותים – על מנת להגיע ליעדים משניים. כמו כן, הם פרסמו "הוכחות" לפריצות לטובת הפחדה וביסוס אמינות. חבריה עורכים סריקות לאיתור חולשות באפליקציות חיצוניות, לרבות פעילות שזוהתה מטווחי IP של סטארלינק.

ההאקרים חברי חנדלה פועלים בעיקר נגד גופים ישראליים, אבל יש להם גם פעילות נקודתית מחוץ לישראל, בהתאם לאינטרס התודעתי האיראני.

ראש הממשלה לשעבר, נפתלי בנט. צילום: Coming Up, שבוע הסייבר (ארכיון)

חנדלה טענה בדצמבר האחרון כי פרצה לטלפון של נפתלי בנט, אולם בסוף התברר כי הפריצה לא הייתה למכשיר האישי של ראש הממשלה לשעבר. כמו כן, היא נטלה אחריות על הפריצות למכשיר של מזכיר הממשלה, צחי ברוורמן, ולשירותי בריאות כללית. מיד לאחר הפריצה לכללית, חברי קבוצת הדרור הטורף, המזוהה עם ישראל, פגעו בפעילות של חנדלה, השמידו את חשבון ה-X שלה וחסמו את האפשרות להוריד מסמכים מאתר ההדלפה לכללית שההאקרים פתחו.

הקבוצה האחרונה במסמך של צ'ק פוינט היא אגריוס, שגם היא מזוהה עם משרד המודיעין האיראני. חבריה עוסקים בפעילות הרסנית, במסווה של מתקפות כופרה. הם ערכו מתקפות הרס ומחיקה עם מגבים (Wipers) והיסוו אותן כאילו מדובר בכופרות. ההאקרים חברי אגריוס ניצלו שרתי אינטרנט חשופים כווקטור חדירה והשתמשו ב-ASPX webshell, כמו גם בטכניקות Living-off-the-Land (LOLBins) וכלים ציבוריים – לטובת תנועה רוחבית.

חוקרי צ'ק פוינט חשפו במלחמה עם איראן ביוני 2025 כי חברי אגריוס סרקו מצלמות פגיעות בישראל, לצורך הערכת נזק. יעדיה העיקריים הם בישראל, וכן במדינות נוספות באזורנו.