"מתקפת הסייבר על הנמל באיראן – עליית מדרגה"

"הפגיעה במתקני המים בארץ ופגיעת הנגד הישראלית בנמל האיראני הוציאו את השד מהבקבוק, ויביאו לגידול בכמות מתקפות הסייבר", העריכה סנז ישר, אנליסטית בכירה בפייראיי

סנז ישר, חוקרת ראשית בצוות המחקר ומודיעין האיומים של פייראיי ישראל. צילום: ניב קנטור

רבותיי, ההיסטוריה חוזרת: בספטמבר 2019 פורסם כי הולנד סייעה לישראל ולארצות הברית, שהיכו בתוכנית הגרעין האיראנית בפעולת סייבר ששיאה נחשף ב-2011. האמריקנים והישראלים עשו זאת באמצעות פיתוח התולעת סטוקסנט, שפגעה במערכות בקרה תעשייתיות מסוג SCADA מתוצרת סימנס, ששולטות בצנטריפוגות במתקן ההעשרה של איראן בנתנז. "חפרפרת הולנדית" תרמה תרומה מכרעת למבצע הסייבר, בכך שהחדירה למתקן לצורך הדבקתו בנוזקה.

מומחי אבטחת מידע בעולם הגדירו את סטוקסנט כאחת הנוזקות המתוחכמות ביותר שאי פעם נכתבו. היא תקפה את הבקרים של הצנטריפוגות ושינתה בהם את ההוראות. כך, התחממו ונהרסו ככל הנראה 1,000 או יותר צנטריפוגות.

התולעת התגלתה ביוני 2010 על ידי חברת הסייבר VirusBlokAda מבלרוס. בספטמבר באותה השנה היא זכתה לפרסום עולמי, כשדווח שנוצרה והופצה על ידי גוף ממשלתי, כצעד של לוחמה קיברנטית, שנועד לחבל במתקני הגרעין של איראן. עם זאת, לא פורסם אז באיזה גוף ממשלתי ובממשלה של איזו מדינה מדובר. חודשיים לאחר החשיפה הודה נשיא איראן דאז, מחמוד אחמדינג'אד, שהתולעת פגעה בתוכנית הגרעין של ארצו.

בחלוף עשור, דווח הלילה (ג') בוושינגטון פוסט כי ישראל וארצות הברית תקפו בסייבר נמל איראני, שהביא לשיתוק שינוע הסחורות בו למשך ימים.

גורמים הבקיאים בהתנהלות הסייבר האיראנית אמרו לאנשים ומחשבים כי "ניסיון הפגיעה בבקרי מים בישראל מעלה גיחוך. אין כל קושי להגיע למערכות הלא מאובטחות הללו. השאלה האמיתית היא למה האיראנים ניסו לשבש מערכות קריטיות בישראל דווקא כעת, בזמן שיש להם את היכולת לעשות זאת זה זמן רב. מה השתנה שהם שינו את אופי הפעילות שלהם, של גניבות מודיעיניות, משמע – ריגול בסייבר?"

"התשובה", הסבירו אותם גורמים, "בהנחה שאת המתקפה על ישראל לא עשה חייל איראני מתלהם על דעת עצמו, היא שהאיראנים אמרו לעצמם: 'אמנם אנחנו מורתעים בסייבר מישראל, אבל עדיין רוצים לתקוף אותה'. על רקע זה יש לבחון את המתקפה הישראלית-אמריקנית בנמל במצרי הורמוז. מתקפת איראן על מתקן המים הדאיגה את ישראל וחייבה פעולת תגמול מצידה".

שר החוץ האמריקני, מייק פומפאו, עם ראש הממשלה, בנימין נתניהו. צילום ארכיון: משרד החוץ האמריקני

שר החוץ האמריקני, מייק פומפאו, עם ראש הממשלה, בנימין נתניהו. צילום ארכיון: משרד החוץ האמריקני

גורם נוסף אמר לאנשים ומחשבים כי "האיראניים פעילים במזרח התיכון בכלל ובמפרץ הפרסי בפרט, בסייבר וגם בעולם הפיזי. אולם, עד ניסיון הפגיעה במתקני המים הם נזהרו שלא לתקוף את ישראל. יש להניח כי זהו חלק מהסמי-מלחמה שמתקיימת בין ישראל ואיראן על אדמת סוריה, ועל רקע זה יש לראות את הגעת שר החוץ האמריקני, מייק פומפאו, לישראל בשבוע שעבר".

ככלל, אמר אותו גורם, "מי שחשוף לרשת ולא דואג להגנת מערכי המחשוב שלו הוא בבחינת הולך רגל שנכנס תחת גלגלי מכונית שדוהרת בפראות במורד הרחוב".

האיראנים תוקפים את ישראל ומדינות המפרץ – ופחות את ארצות הברית

סנז ישר, אנליסטית בכירה בפייראיי, חוקרת את פעילות הסייבר של איראן מזה מספר שנים. היא אמרה לאנשים ומחשבים כי "האיראנים פועלים בסייבר בשני ממדים – ריגול וחבלה. הריגול הקיברנטי האיראני לא חדש לנו, אנחנו רואים אותו מתבצע כבר הרבה שנים. גם החבלה איננה דבר חדש. האיראנים שואפים להיות הרסניים במזרח התיכון. כך, למשל, הנוזקה Shamoon פגעה ב-2012 במחשבי סעודי ארמקו, חברת הנפט הסעודית, מהגדולות בעולם. בספטמבר באותה השנה היא פגעה בתאגיד האנרגיה הקטארי ראס גז".

עם זאת, ישר ציינה שהאיראנים נזהרים מלתקוף בסייבר את ארצות הברית, למעט מתקפה שהם ביצעו על המערכות של רשת HBO.

"המתקפה לא מעוררת תמיהה"

לדברי ישר, "בעשור הקודם חשפנו מתקפת APT (מתקפה עקבית ומתמשכת) של האיראנים על מערכות SCADA – מערכות מחשב המשמשות לפיקוח, שליטה ואיסוף נתונים בתעשייה, שמנטרות ושולטות על תהליכים בתחומי התעשייה, התשתיות וניהול המתקנים. זו הייתה הפעם הראשונה שהם תקפו את מערכות הבטיחות של מערכות ה-SCADA".

תוקפי הסייבר האיראניים ממוקדים בתעשיית האנרגיה. צילום אילוסטרציה: daoleduc/BigStock

תוקפי הסייבר האיראניים ממוקדים בתעשיית האנרגיה. צילום אילוסטרציה: daoleduc/BigStock

היא הוסיפה כי "רוב אירועי החבלה של איראן בסייבר עד כה היו מופנים בעיקר לתעשיית האנרגיה, ובעיקר הנפט והגז – אל מול סעודיה, מדינות המפרץ והמזרח התיכון ככלל. היא מתמחה בתחום ויש לה קבוצות, כלים ותשתיות לטובת חבלה בסייבר. עד כה, לא דווח משהו נגד ישראל. לכן, הפרסומים על פגיעה, וליתר דיוק על ניסיון פגיעה, במתקני מים בישראל הם עליית מדרגה: איראן מנסה לחבל בסייבר של תשתית קריטית ואף שלא היה במתקפה תחכום טכנולוגי, זה לא מעורר תמיהה. איראן מנצלת את העובדה שמדובר בעת משבר הקורונה, בו אנשים רבים עובדים מהבית וארגונים פועלים בתפקוד חלקי – אז נוצר וקטור תקיפה נוסף, שמעלה את רמת הסיכון בסייבר".

"אם הדיווח בוושינגטון פוסט נכון", אמרה ישר, "יש פה מסר מאוד ברור. עצירת הפעילות של המסחר בנמל שבמצרי הורמוז למשך ימים זו פגיעה כלכלית קשה באיראן. אני מעריכה שזו אכן הייתה תגובה לפעילות האיראנית נגד מתקני המים בישראל. המסר של ישראל היה ממוקד, נקודתי ומידי, בלי נזק היקפי-אגבי".

"מה יקרה מחר היא שאלה מטרידה, כי כללי המשחק השתנו, והם עלולים לייצר תיאבון ומוטיבציה אצל גורמים פרו-איראניים ואנטי ישראליים, דוגמת החמאס, החיזבאללה והפלסטינים", ציינה. "האירוע הוא רק פתח לעוד פאזה במשחק הסייבר, מעבר לריגול ולחבלה. איראן הייתה צריכה להיות מורתעת כבר בעבר, אלא שזה לא קרה, ונראה גידול בהיקף אירועי הסייבר בכלל ומתקפות הכופרה בפרט. החודש האחרון, שכלל את הפגיעה במתקן המים בישראל ופגיעת הנגד הישראלית בנמל האיראני, הוציא את השד מהבקבוק".

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים