איום חדש: מדינות, ואיראן בראשן, משלבות מתקפות סייבר ופיזיות

מגמה חדשה בסייבר: מדינות, ובראשן איראן, החלו לעבוד במודל תפעולי חדש, שמאחד איומים קינטיים וקיברנטיים. המודל, שמשלב פעולות דיגיטליות בסייבר עם לוחמה פיזית, מכונה "מיקוד קינטי מבוסס סייבר". הוא כולל שימוש במתקפות סייבר לא רק על מנת לשבש מתקפות צבאיות פיזיות של האויב, אלא גם כדי לשפר את אלה של המדינות שההאקרים עובדים עבורן.

את המגמה החדשה הציגו חוקרי מודיעין האיומים של אמזון בכנס CyberWarCon 2025, שנערך בארלינגטון, וירג'יניה, והסתיים בסוף השבוע. לפי החוקרים, "החלוקה המסורתית בין פעולות סייבר לפעולות פיזיות הופכת למלאכותית ולא רלוונטית יותר ויותר. זהו שינוי יסודי באופן שבו האקרים שלוחי מדינות ניגשים למלחמה".

החוקרים מצאו שבניגוד למתקפות סייבר "מסורתיות", שמטרתן לאסוף מידע ולרגל, או לגרום נזק דיגיטלי – קמפיינים חדשים אלה בנויים כך שהפעולות הדיגיטליות משרתות באופן ישיר מטרות פיזיות.

זרקור על האיראנים

המחקר של אמזון מזהה כמה קבוצות מדינתיות, שאותן הוא מכנה "חלוצות" שפועלות במודל זה, ומשליך אור מיוחד על הקבוצות המקושרות למנגנוני הצבא והמודיעין של איראן.

החוקרים כתבו כי קבוצת חתלתול אימפריאלי (Imperial Kitten), שידועה גם בשם שריון של צב (Tortoiseshell) ופועלת תחת משמרות המהפכה האיראניים, פרצה למערכות ימיות מאז סוף 2021. התוקפים הצליחו להשיג גישה ראשונית לפלטפורמות של מערכת זיהוי אוטומטית (AIS), ואז השיגו שליטה על ערוצי טלוויזיה במעגל סגור של כלי שיט – מה שאפשר ניטור בזמן אמת של תנועות ספינות. בתחילת 2024 ביצעו חברי הקבוצה חיפושים מפורטים אחרי מיקום ספציפי של ספינה – שזהותה ומדינת המוצא שלה לא נמסרו. על פי החוקרים, "מהלך זה משקף מעבר ברור מסיור רחב לאיסוף מודיעין ממוקד". כמה ימים לאחר מכן, כוחות חות'יים שיגרו טיל לעבר אותו כלי שיט. אף על פי שהתקיפה נכשלה, "המבצע המשולב מדגים בבירור כיצד סיור דיגיטלי תמך ישירות במיקוד פיזי. התוקפים בסייבר סיפקו את המודיעין המדויק הדרוש לביצוע תקיפות פיזיות ממוקדות נגד תשתיות ימיות. זהו מרכיב קריטי".

מידע על הקבוצה שסייעה לאיראן להכווין טילים לירושלים

עוד התייחסו החוקרים לקבוצת התקיפה האיראנית MuddyWater (מים עכורים). זו כפופה למשרד המודיעין והביטחון האיראני, MOIS – זרוע של מנגנון הביטחון, שמתמקדת במעקב פנימי אחר מתנגדי המשטר ואחר פעילים נגד המשטר מחוץ לאיראן. הקבוצה פועלת במסווה תחת חברת הקש Rana Intelligence Computer, ופעילה מאז 2017 ברחבי המזרח התיכון, ובפרט נגד ישראל. היא נוהגת להשתמש בטכניקות הנדסה חברתית, לצד ניצול והשמשה של פגיעויות מוכרות, לצורך השגת גישה לרשת הארגונית של הקורבנות. לצד מתקפות נגד ישראל, הקבוצה פעלה נגד יעדים נוספים במזרח התיכון, בין השאר במצרים ובסעודיה.

לפי חוקרי אמזון, מבצע שערכה MuddyWater במאי השנה "חשף קשר קיברנטי הדוק עוד יותר": חברי הקבוצה הקימו תשתית שרתים ייעודית לאיסוף מודיעין, וכמה שבועות לאחר מכן השתמשו במשאבים אלה כדי לגשת למערכות מצלמות אבטחה שהיא פרצה ברחבי ירושלים (פריצה שצ'ק פוינט חשפה עוד במהלך המלחמה). המצלמות סיפקו מודיעין חזותי בזמן אמת על מטרות פוטנציאליות בעיר.

"כשאיראן תקפה בטילים ב-23 ביוני, גורמים ישראליים מסרו שכוחות איראניים ניצלו את שידורי הווידיאו החיים הללו כדי להתאים את מסלולי הטילים בזמן אמת. התלכדות זו של תחומים קיברנטיים וקינטיים מאתגרת מסגרות הגנה קונבנציונליות. ארגונים המנהלים מערכות ימיות, עירוניות ולוגיסטיות חייבים להרחיב את מודלי האיום שלהם", כתבו אנשי אמזון.

הגישה הרב שכבתית של ההאקרים

לפי החוקרים, "לקבוצות הפועלות במודל האיום החדש יש תשתית טכנית מתקדמת, שתומכת בפעילויות אלה". לדבריהם, ההאקרים משתמשים בגישה רב שכבתית: בשלב הראשון הם פועלים ל-"אנונימיזציה של רשתות VPN": שחקני האיום מנתבים את התעבורה שלהם דרך שירותי VPN אנונימיים, כדי להסתיר את זהותם האמיתית. בשלב הבא, שרתים הנשלטים על ידיהם מהווים את התשתית הייעודית, שמספקת להם גישה עקבית ויכולות פיקוד ושליטה לפעילות מתמשכת. "כך הם יכולים לפגוע ביעדים הסופיים – שרתים שמארחים תשתיות קריטיות, כמו מערכות מצלמות אבטחה, פלטפורמות ימיות וסביבות אחרות, עשירות במידע מודיעיני", ציינו.

"המונח 'מיקוד קינטי מבוסס סייבר' מתאר מבצעי סייבר שנועדו במיוחד על מנת לאפשר ולשפר מבצעים צבאיים פיזיים. יש לכך השלכות עבור המגנים", כתבו החוקרים. הם ציינו כי "מחקר זה משמש גם כאזהרה וגם כקריאה לפעולה. המגנים חייבים להתאים את האסטרטגיות שלהם כדי להתמודד עם איומים שמגיעים הן בתחום הדיגיטלי והן בזה הפיזי. ארגונים שבעבר האמינו שהם לא מעניינים את שחקני האיום עלולים כעת להיות יעד למודיעין טקטי". הם קראו לארגונים ולמדינות "להרחיב את מודלי האיומים, לשפר את שיתוף המודיעין ולפתח אסטרטגיות הגנה חדשות שמסבירות את המציאות של מודל חדש זה, שפועל בקרב יריבים מגוונים".

לסיכום כתבו החוקרים ש-"אנחנו מאמינים שמיקוד קינטי מבוסס סייבר יהפוך לנפוץ יותר ויותר בקרב מדינות רבות. שחקנים מדינתיים מזהים את אפקט מכפיל הכוח שבשילוב סיור דיגיטלי עם התקפות פיזיות. הגבולות המסורתיים בין פעולות סייבר לקינטיות – נעלמים".