הפסקת האש בפתח? איראן ממשיכה לתקוף בסייבר

ברקע המשא ומתן על הפסקת אש בין ארצות הברית ואיראן והניסיונות להשגת שקט במפרץ הפרסי, זירה אחת ממשיכה להתנהג כתמול שלשום: הסייבר. שם איראן ממשיכה בפעילותה, ותוקפת.

קבוצת ההאקרים חנדלה, שמזוהה עם המשטר בטהרן, לקחה אחריות על מתקפת סייבר ומבצע השפעה-תודעה שבוצעו בשבוע שעבר נגד כוחות מרינס שמוצבים בבחריין. חברי הקבוצה שלחו בווטסאפ מסרים מאיימים לחיילים ומפקדים בחיל הנחתים, ש-"דיווחו" להם על היותם נתונים למעקב ועל כך שבקרוב יותקפו. חברי חנדלה כתבו כי "הזהויות שלכם ידועות במלואן לכוחות הטילים שלנו ואנחנו עוקבים אחרי כל צעד שאתם עושים. מאוד בקרוב תותקפו על ידי רחפני השאהד וטילי הח'ייבר והגאדיר שלנו. נתעסק אתכם, הטרוריסטים שהדם של ילדות בית הספר מינאב נמצא על הידיים שלהם". כוונתם של חברי הקבוצה למתקפה שצבא ארצות הברית ביצע במהלך המלחמה על בית הספר, שבה נהרגו 175 תלמידות. "אנחנו מציעים שתתקשרו עכשיו למשפחות שלכם ותגידו להן את השלום האחרון", הוסיפו.

מתקפת כופרה שהסתירה מתקפת ריגול

אתמול (ד') נחשף כי קבוצת ה-APT (מתקפות עקביות ומתקדמות) האיראנית מים עכורים (MuddyWater) ביצעה מתקפת כופרה כדי להסתיר מתקפת ריגול. הקמפיין, שנחשף על ידי חוקרי אבטחה מרפיד7, שילב הנדסה חברתית, גניבת אישורים, חליפת נתונים וסחיטה בלא הצפנת קבצים ממשית.

מים עכורים ידועה גם בשמות SeedWorm ,TEMP. Zagros ,Mango Sandstorm ,TA450 ו-Static Kitten. החוקרים ציינו כי "תוקפים בחסות איראן מנצלים יותר ויותר טקטיקות כופר כדי להסתיר פעולות ריגול".

המתקפה התרחשה בתחילת 2026 ונראתה בתחילה כמתקפת כופרה שגרתית. הקורבנות נטו להאמין שהם מתמודדים עם קבוצת הכופרה כאוס (Chaos), שמפעילה אתר דליפה של מידע גנוב ומספקת שירותי כופרה כשירות. אלא שחקירה נוספת הראתה שלא הופעלה כופרה. במקום זאת, התוקפים פעלו למטרות ריגול, נעו לרוחב הארגון, אספו אישורים וגנבו מידע, "בהתאם לפרופיל המודיעין הוותיק של מים עכורים. הפריצה המתוחכמת נראתה תחילה כמתקפת כופרה סטנדרטית. ניתוח פורנזי גילה שהאירוע היה הסתרה והונאה. ממצאים טכניים, כולל תעודת חתימת קוד ספציפית ותשתית פיקוד ושליטה (C2), מצביעים שהפעילות קשורה למים עכורים – איום שמקושר למשרד המודיעין והביטחון (MOIS) האיראני", כתבו.

תוכנה שההאקרים השתמשו בה כדי לתקוף. Microsoft Teams. צילום: BigStock

לפי חוקרי רפיד7, "שחקני האיום קיבלו גישה ראשונית באמצעות טקטיקות הנדסה חברתית, תוך ניצול האמון בכלי תקשורת ארגוניים. התוקפים השתמשו ב-Microsoft Teams כדי ליצור קשר ישיר עם העובדים, תוך התחזות לאנשי IT פנימיים או שותפים עסקיים. באמצעות שיחות אלה הם שכנעו משתמשים להתחיל סשנים של שיתוף מסך – מה שנתן לתוקפים נראות ישירה למחשבים ולמערכות ארגוניות. הם שיגרו מטענים זדוניים, אספו עוד אישורים, והוציאו מידע פנימי רגיש".

כחלק מההונאה, ההאקרים שלחו לעובדים מיילים של סחיטה, בטענה שגנבו מידע סודי, ואיימו להדליף אותו אלא אם ישולמו דמי הכופר. הם הפנו את הקורבנות לאתר של כאוס, שם הארגון נרשם כ-"קורבן חדש". כאשר לא ניתן היה לאתר את "פתק" הכופר, שחקני האיום פרסמו את הנתונים הגנובים בפומבי וחשפו שמטרתם האמיתית הייתה גניבת נתונים – ולא רווח כספי.

"כל תרחיש הכופר הוא מסך עשן שנועד להטעות את המגנים ולעכב את הגילוי", ציינו מבצעי המחקר. "זהו חלק ממגמה רחבה יותר, שבה שחקני מדינות לאום משלבים ריגול עם נראות פלילית, כדי להטעות קורבנות ולהסיט את החוקרים. עם התחושה של מתקפת כופר, מים עכורים טשטשה את כוונתה האמיתית: חדירה ארוכת טווח ואיסוף מודיעין. יש כאן אזהרה למגינים: לא כל מתקפת כופר היא מה שהיא נדמית להיראות".

גם קנדה מאשימה את איראן

עוד אתמול: שירות הביון הקנדי CSIS האשים מפעיל סייבר המקושר לאיראן במסגרת תיק פלילי פדרלי אמריקני. זאת, כחלק מחקירת מקרה שבו איראן הציעה פרס על ראשה של מתנגדת משטר איראנית.

במרץ החרים משרד המשפטים של ארצות הברית ארבעה אתרים שהופעלו על ידי משרד המודיעין והביטחון האיראני. התביעה גם פעלה לפירוק רשת סייבר והשפעה ברשת, שנוהלו מרחוק על ידי המשטר. האתרים הללו פרסמו פרס של 250 אלף דולר שיוענק למי שיביא למותה של גולדי גמרי, חברת פרלמנט לשעבר ממחוז אונטריו ומתנגדת משטר איראנית. בין אלה שהפרס הוצע להם היה אחד מקרטלי הסמים החזקים במקסיקו, קרטל דה חליסקו נואבה גנרסיון. לפי ה-FBI, הקרטל קיבל "הצעה" ממשרד המודיעין והביטחון של איראן לחסל את גמרי בביתה באוטווה.

גולדי גמרי. צילום: Eli Unger, ShutterStock

"מבצעי הסייבר האיראניים כוונו גם לעיתונאים, קהילות יהודיות, אנשי ביטחון ישראלים ומתנגדי משטר איראנים ברחבי צפון אמריקה", נטען בכתב האישום האמריקני, תוך אזכור העובדה שתוקפי הסייבר של איראן ניצלו את תשתית האינטרנט הקנדית.

בחזרה לחנדלה: באחרונה פרסם CSIS דו"ח שבו הוא ציין כי קבוצה זו אחראית לפריצה ולתקיפות סייבר נגד עיתונאים מקנדה, כולל קנדי שעובד בערוץ איראן אינטרנשיונל, שמתנגד למשטר. תמונותיו ופרטיו פורסמו באינטרנט וברשתות החברתיות.

בדו"ח נכתב כי "שחקני מדינה עוינים לעתים שוכרים קבוצות פשע מאורגן או שליחים כדי 'לייבא' את השפעתם לקנדה". עוד ציינו המבחרים ש-"איראן היא אחת מחמשת המבצעים העיקריים של התערבות זרה וריגול נגד קנדה, לצד סין, הודו, רוסיה ופקיסטן".

"חנדלה לא נחלשה"

ב-9 באפריל, יום אחרי כניסתה של הפסקת האש בין ארצות הברית וישראל לאיראן לתוקף, פרסמו חברי חנדלה תמונות וסרטונים מהטלפון הפרטי של הרמטכ"ל לשעבר, הרצי הלוי, כולל סרטונים שבהם הוא מבצע תרגילי פילאטיס, צילומים שלו עם טייסים ותמונות מטיולים שביצע עם משפחתו.

עוד פעילות של הקבוצה: באחרונה פרסמה חנדלה הצהרה סרקסטית בתגובה לפרס ממשלתי אמריקני עבור מידע על חבריה, וטענה שהיא התחזקה, תוך שהיא קוראת לוושינגטון "להתמקד במקרים אחרים במקום בנו".

ההצהרה באה לאחר שלפני חמישה שבועות הודיע משרד החוץ של ארצות הברית על פרס של עד 10 מיליון דולר עבור מידע שיוביל לזיהוי חברי קבוצות סייבר הקשורות לאיראן, כולל Parsian Afzar Rayan Barna וחנדלה.

לפי סוכנות הידיעות האיראנית פארס, הקבוצה מסרה כי היא לא נחלשה מההכרזה, אלא הפכה לחזקה יותר. חברי חנדלה גם קראו לרשויות האמריקניות "להסיט את תשומת ליבן מהמאבק בארגון" ולחקור נושאים חשובים ומעניינים יותר, לדבריהם: "רשת הפדופילים של אפשטיין" ו-"כישלון האבטחה של הבית הלבן".

"אנחנו מוכנים לחשוף את זהותנו בגאווה", כתבו חברי הקבוצה, והזמינו את ה-FBI ליצור איתם קשר במייל כדי לקבל את שמותיהם.