"איראן עושה צעדי ענק כמעצמת סייבר אזורית"

"בשנים האחרונות מערך הסייבר האיראני צמח והתפתח – הן בהיקף המתקפות והן בעצימותן. לאיראן יש אתגרים רבים, בראשם הכלכלה המקרטעת בגלל העיצומים של המערב, שמאיימים על יציבות השלטון. זאת, לצד איום ביטחוני, אמיתי ומדומה, מצד מדינות המפרץ הסוניות, ארה"ב וישראל. מערך הסייבר האיראני תומך באופן ישיר בהתמודדות עם אתגרים אלה. בארסנל הסייבר האיראני יש תשתית וכלי ריגול, המשמשים לאיסוף מידע ובניית התרעות אמת לדרג המדיני, אך גם תשתיות שתומכות במלחמה פסיכולוגית-תודעתית לשינוי דעת קהל. בנוסף, יש היבט מסוכן יותר – מתקפות סייבר לחבלה ולשיבוש מהלך החיים התקין במדינות. ממד חדש שמתפתח ותופס תאוצה הוא החיבור לפשעי סייבר כלכליים. איראן בהחלט עונה להגדרה של מעצמת סייבר", כך אמרה סנז ישר, חוקרת ראשית בצוות המחקר ומודיעין האיומים של פייראיי (FireEye) ישראל.

ישר דיברה בכנס Cyber Defense Live – הכנס השנתי שערכה ענקית אבטחת המידע והגנת הסייבר בישראל. הכנס, שקודם על ידי אנשים ומחשבים, התקיים היום (ה') באופן וירטואלי. לדברי ישר, "לכל מדינה יש מערך סייבר התומך במדיניותה. הדבר החשוב ביותר לרפובליקה האיסלאמית הוא היציבות השלטונית שלה ואיתור מתנגדי השלטון. זה בעדיפות לפני ישראל וסעודיה. את המתנגדים הם תוקפים בתוך איראן וגם מחוצה לה".

בהיבט הגיאוגרפי, אמרה ישר, "הם התפשטו וכבר לא תוקפים רק במדינות המפרץ, אלא גם בישראל, בארה"ב, באירופה ואף באסיה הרחוקה. הרחבת היעדים מעידה על גידול ביכולות ובכוח האדם שלהם. בהיבט המגזרי, אם בעבר ממשלה תקפה רק ממשלה, הרי שכיום יש מגוון מגזרים מותקפים, איש לא חסין: פארמה, אנרגיה, פיננסי, תקשורת וטלקום".

כך, אמרה, "קבוצת APT39 תוקפת מגוון מדינות – מאזורנו ועד אוסטרליה וארה"ב. 'הלחם והחמאה' שלהם הוא ספקיות תקשורת, סוכנויות תיירות ותעופה – מהן הם שולפים המון מידע על אנשים פרטיים. הם מגיעים לבסיסי הנתונים ולליבת הרשת במהירות. אף שבחודשים האחרונים לא ראינו את הקבוצה, היא לא נעלמה".

יכולת אחרת, ציינה ישר, "היא מחטף של רשומות DNS – מי יודע הכי הרבה עליכם, למי יש הכי נגישות לארגון? התשובה היא ספקיות התקשורת והאינטרנט, והם 'התלבשו' עליהן – ומנתבים את התעבורה לכמה דקות או שעות וכך מגיעים למשתמשים. זה מטורף: ההאקר יושב על האדמין ברשת הספקית, המשתמשים שוגים לחשוב שהם בדומיין הספקית, רק שבדרך הם שינו את הניתוב וקוצרים את שמות המשתמשים והסיסמאות כדי לתקוף מחדש. אחת הקבוצות הפועלות באופן זה היא APT34. היא הגדולה שבקבוצות האיראניות, אך לא הכי אגרסיבית". לדבריה, "פיתוח יכולת רחבה לגניבת נתוני המשתמשים – בדומה למעצמות הנהנות ממידע סיגינטי – מאפשר טרגוט אנשים ברחבי העולם ויכול להשליך על המימד הקינטי-מבצעי. למשל, זיוף דרכונים זרים כדי לחדור באופן לא חוקי למדינות ולבצע פעולות טרור. באחרונה הגיש משרד המשפטים בארה"ב כתבי אישום רבים נגד פרסונות איראניות. האם הרובד המשפטי מספיק לפיחות או לסיכול הסייבר האיראני? לכל הפחות, לדבר יש השפעה על הורדת המוטיבציה של הצעיר ששוקל להצטרף למודיעין האיראני".

"הכוכב הנולד" בסייבר של סוף 2020

קבוצה נוספת הפועלת במרץ, אמרה ישר, "היא TEMP.ZAGROS, או Muddy Water. הם החלו לפני כמה שנים בפעילות ריגול, ומשם ממשיכים להתפתח. הקבוצה היא המתקדמת בין כלל הקבוצות. בתחבולות, הם תוקפים בכל המגזרים: שלטון, ביטחון, אנרגיה ובריאות. במתקפה שהם ביצעו על גוף תקשורת באפגניסטן זיהינו כלי תקיפה ובו מילים ומשפטים בעברית, ציטוטים של בנימין נתניהו, גולדה מאיר והרב כדורי. זאת, במטרה להסיח את דעת המותקפים וחוקרי האבטחה ולייחס את המתקפה לישראל". לדבריה, "קבוצה זו עשתה קפיצת מדרגה לא רק בהיבט טכני, של שינוי שפות קוד והחלפת תשתיות תכופות, אלא גם בכך שהם מבינים אותנו יותר ויותר, למשל שהמשתמשים במערב יקליקו כל דבר שקשור בקורונה. קבוצה זו היא 'הכוכב הנולד' של סוף 2020. מה שייחודי להם הינו התפתחות לתקיפות חבלה והשבתה. באחרונה הקבוצה ערכה מתקפות רבות חשאיות ואגרסיביות נגד המדינות וסמלי השלטון של המדינות שמעורבות בהליך השלום והנורמליזציה בין ישראל למדינות המפרץ. בחבלה בסייבר, האיראנים לא ממש אוהבים אותנו – ועוד פחות את הסונים ה'בוגדים' במהפיכה האיסלאמית. חלק ממתקפות החבלה הם מסווים באמצעות שימוש ביישויות פיקטיביות כפרוקסי, או התחזות, למשל – לצבא הסייבר התימני".

דפוס פעולה נוסף, אמרה ישר, "מודגם באמצעות קבוצת התקיפה 757UNC.. הם 'השתוללו' באביב, בארץ ובעולם. יש להם גם צד 'מסחרי', הם לא מתביישים לספר מה גנבו ולעשות מזה כסף. המגמה קשורה לעיצומים המושתים על איראן, והיא תגדל. הקבוצה לא מאוד מתקדמת ברמה הטכנית, אך לאחר חדירה לרשת הקורבן היא לומדת מהר את סביבת ה-IT שלו להשגת המטרה במתקפה".

"איראן אינה יכולה לקרוא לעצמה מעצמה", אמרה ישר, "בלא פעילות ברמת התודעה. כך, לפני ימים אחדים הם הפיצו ציוץ מזויף מטעם מהדורת ישראל היום באנגלית, שלפיה הנשיא דונלד טראמפ הובהל לבית החולים. משעשע לקרוא פייק ניוז על מי ששכלל את הפייק ניוז לאמנות. הפצת ידיעות הכזב נועדה לזרוע בלבול. הם פעלו גם בארה"ב במהומות שפרצו בעקבות רצח האפרו-אמריקני ג'ורג' פלויד בידי שוטרים. האיראנים הפיצו כזב ושמועות, תוך התחזות לסנאטורים. לא בראשונה, הם התחזו לדמויות ישראליות – ראשי ערים ומנהלי בתי חולים – להפצת מסרים. הם מפעילים בינה מלאכותית כדי להתחזות לעיתונאים ולבנות פרופיל אמין שלהם".

"האיראנים", סיכמה ישר, "עושים צעדים משמעותיים בדרך להיות מעצמת סייבר אמיתית. אמנם, הם לא ברמה של רוסיה וסין, אבל הם מנסים להתקרב ליכולות השתיים. הם עונים להגדרה 'מעצמה בסייבר' במענה לשני קריטריונים: להצליח לקיים המון תקיפות בזמן קצר, עם יכולת חזרתיות ורובסטיות. אנו רואים גידול בכמות הקבוצות וגיוון הפעילות של כל קבוצה, עם שיפור טכנולוגי והשגת המטרות. הם שחקן מהותי בזירת הסייבר".