"עד למקרה גנץ, אף אירוע מסוג זה לא פורסם בגלוי"

ביום ה' האחרון, שעה קלה לפני ירי הטילים מעזה לעבר ישראל, דווח בחברת החדשות (ערוץ 12) כי שני ראשי אגפים בשב"כ הגיעו לפני חמישה שבועות לפגישה עם בני גנץ, הרמטכ"ל לשעבר וראש מפלגת כחול לבן. השניים, כך דווח, הודיעו לו כי הטלפון שברשותו נפרץ על ידי שירותי המודיעין של איראן וכי תכולת הטלפון, לרבות פרטים אישיים ותכתובות פרטיות ומקצועיות – נמצאת בידיהם.

מאז, בסוף השבוע היו דיבורים רבים, הכחשות, ספינים לרוב, אבל מידע אמיתי ומאומת – מעט מאוד, אם בכלל. גנץ אמר כי "תוך כדי אירוע ביטחוני מתמשך, מישהו הוציא סיפור פוליטי רכילותי הזוי לחלוטין. אני לא הולך למקום של הרכילות. אני מציע לא לטשטש את זה, יש לנו מלחמה על הבית ומלחמה על הדמוקרטיה, הטלפון זה לא הסיפור, זו חטטנות שאיני מתכוון להתייחס אליה. אין שם חומר ביטחוני ואני לא נתון לסחיטה בשום אופן. מישהו עושה ספין לבעיה הביטחונית".

אמש (ש'), כחול לבן פרסמה סרטון ובו תקפה את "קמפיין השקרים וההכפשות של נתניהו". גנץ אף הכחיש כי בטלפון הנייד שלו היו פרטים אינטימיים.

בועז דולב, מנכ"ל ClearSky.צילום: יח"צ

האירנים פעילים בסייבר – ועוד איך

שיחות של אנשים ומחשבים עם מומחי אבטחת מידע והגנת סייבר העלו כי לאיש מהם אין מידע כלשהו לגבי מי ומתי פרצו לטלפון למחשבים של גנץ.

בועז דולב, מייסד ומנכ"ל ClearSky, אמר לאנשים ומחשבים כי "בשנים האחרונות איתרנו כמה מקרים שבהם מחשבים, ו-או טלפונים של בכירים לשעבר במערכת הביטחונית – הותקפו ונפרצו על ידי גורמים אירניים". לדבריו, "בכל אותם אירועי סייבר שאיתרנו, מסרנו על כך הודעה דיסקרטית לאותם בכירים. למיטב זכרוני, עד למקרה גנץ, אף מקרה מסוג זה לא פורסם בגלוי בכלי התקשורת – ולכן הפרסום מעורר שאלות הן התחום האיתור, העיתוי והחשיפה".

ככלל, אמר דולב, "האיראנים עושים מאמצים רבים בשנים האחרונות לחדור למחשבים ולטלפונים, על מנת להשיג מודיעין איכותי, ו-או שליטה על מערכות מחשוב ארגוניות. מאמץ רב מושקע בסיכול פעולות אלה, בראש ובראשונה בארגוני הביטחון השונים – וגם בחברות האבטחה השונות".

בדצמבר האחרון חשפה חברת האבטחה הישראלית כי אירן עורכת פעילות חובקת עולם להקמת של אתרי פייק ניוז ב-30 מדינות שונות. על פיה, ‏"אירן היא מהמדינות הגדולות שביצרניות והמפיצות פייק ניוז". חברת הסייבר חשפה מערך איראני המפעיל 150 אתרי חדשות מזויפים ברחבי העולם ובעשרות שפות שונות. לכל אחד מהאתרים תשתית תומכת ברשתות החברתיות, המפיצה את התכנים הכוזבים. הפעילות פונה לגולשים בעשרות שפות שונות ובעיקר במדינות בעלות אינטרס אשר מנוגד לאיראן, כמו ארצות הברית, הודו, סעודיה, ישראל, תורכיה, תימן ועוד. כחלק מתשתית הפייק ניוז האיראנית, קלירסקיי חשפה לפני כמה חודשים פעילות אירנית שזו בשפה העברית".

בינואר השנה פורסם כי איראן צפויה להרחיב את פעילות הריגול הקיברנטי שלה ככל שהקשר שלה עם מדינות המערב יתדרדר, כך לפי סוכנות הביטחון הדיגיטלי של האיחוד האירופי, ה-ENISA. "הסנקציות החדשות שהוטלו על איראן עשויות לדחוף את המדינה להגברת פעילות האיום הקיברנטי הממומן על ידי המדינה, במטרה להשיג את היעדים הגיאו-פוליטיים והאסטרטגיים שלה ברמה האזורית", מסרו בסוכנות.

בנובמבר דווח כי האקרים איראנים נמצאו כעומדים מאחורי מספר התקפות אונליין ומבצעי דיסאינפורמציה באינטרנט בשנים האחרונות, כאשר המדינה האיסלמית מנסה לחזק את השפעתה במזרח התיכון ומחוצה לה.

עוד בנובמבר, ארצות הברית העמידה לדין שני איראנים על שיגור מתקפת סייבר גדולה באמצעות כופרה בשם SamSam – שידועה ביכולתה לשים במצור ארגונים גדולים, גורמת נזק משמעותי ומרוויחה כסף תוך כדי התהליך – וכן השיתה סנקציות גם על שני גופים איראנים אחרים בגין סיוע לחילופי תשלומי כופר מביטקוין למטבע האיראני, ריאל.

בינואר השנה אמר בנימין נתניהו, ראש הממשלה ושר הביטחון כי "איראן מתקיפה את ישראל בסייבר על בסיס יומי. אנחנו עוקבים אחרי זה ומונעים את זה מדי יום. הם מאיימים אלינו גם בשיגור טילים. אנחנו לא מתרשמים מהאיומים שלהם, כי הם יודעים מה הכוח שלנו – הגנתית והתקפית".

בספטמבר האחרון פורסם כי חוקרי הסייבר של צ'ק פוינט איתרו מבצע ריגול איראני שהתבצע באמצעות מעקב דרך אפליקציות ואתרים הממוקדים בגורמים בעלי עניין לשלטון המרכזי בטהראן, ובהם בני המיעוט הכורדי באירן ותומכי דעא"ש. החוקרים כינו את המבצע "חתלתול מקומי", בהתאם לשמות התקפות APT איראניות אחרות. על פי החוקרים, כ-240 משתמשי מכשירי טלפון ניידים (בעיקר מסוג אנדרואיד) פותו להתקין אפליקציות או להיכנס ללינקים בהם מידע אשר עשוי לעניין אותם באופן מותאם. לאחר שהקורבנות פותו להיכנס אליהם, הם הודבקו בנוזקות המאפשרות מעקב צמוד אחר המשתמשים.

גנץ לא לבד

אם אכן נפרץ הטלפון של גנץ, הרי שהוא לא לבד. באוקטובר 2017 פורסם כי
קבוצת סייבר, שעל פי אנשי המודיעין הבריטי קשורה לאיראן, תקפה ביוני 2017 חשבונות מייל של ראשת ממשלת הממלכה, תרזה מיי, ושל חברי פרלמנט. המתקפה השפיעה על כ-9,000 חשבונות, כאשר כ-100 מהם נפרצו. על פי הדיווח, מתקפת הסייבר על מיי וחברי הפרלמנט הייתה "מתמשכת ונחושה", והיא נוצרה על מנת לזהות סיסמאות מייל חלשות. האירוע התרחש קצת יותר מחודש לאחר שכופרה הכתה בשירותי הבריאות של הממלכה המאוחדת.