"מתקפת הסייבר על אלבניה – חלק מהמלחמה של איראן בישראל"

משרד האוצר האמריקני הודיע ביום ו' האחרון כי הטיל עיצומים על משרד המודיעין והביטחון של איראן ועל איסמעיל חטיב, השר הממונה עליו. זאת, בתגובה ל-"פעילות המותאמת, חסרת התקדים, בסייבר – נגד ארצות הברית ובעלות בריתה (הכוונה לאלבניה – י"ה)". על פי מיקרוסופט, למתקפה האיראנית בסייבר על אלבניה יש קשר למתקפות שלה נגד ישראל. יצוין כי החברה לא נימקה את הטענה הזו.

ההודעה של ארצות הברית הגיעה יומיים לאחר שאדי ראמה, ראש ממשלת אלבניה, האשים את ממשלת איראן בתקיפה בסייבר ונקט בצעד חסר תקדים של ניתוק היחסים הדיפלומטיים עם איראן. הוא נתן לדיפלומטים האיראניים שהות בת 24 שעות לעזוב את המדינה.

מתקפה אחת – ארבע קבוצות איראניות שונות

מרכז מודיעין האיומים של מיקרוסופט פרסם ביום ה' האחרון דו"ח מקיף ומפורט אודות המתקפה. מומחים הופתעו מההיקף הרחב של הדו"ח. לפי הממצאים של חוקרי הענקית מרדמונד, כמה קבוצות פעלו במקביל במבצע המתקפות המשולב, אשר נערך ביולי השנה, וכוון כנגד מערכות מחשוב של ממשלת אלבניה, ואף כלל כמה פריצות שהצליחו וגרמו להרס. לפי חוקרי מיקרוסופט, את המתקפות ערכו ארבע קבוצות האקרים איראניות שונות, שלוש מהן פועלות תחת "ארגון הגג" APT34 וקבוצה נוספת, Dev-0842, שייכת למשרד המודיעין האיראני.

אחת משלוש הקבוצות המרכיבות את APT34 השיגה גישה לרשתות אלבניות כבר בחודש מאי 2021. מדובר בקבוצת תקיפה איראנית, המבצעת פעולות סייבר התקפיות נגד ארצות הברית, ישראל וערב הסעודית. התקפותיה של הקבוצה מתמקדות בחברות העוסקות בפיתוח ומחקר בתחום תעופה וחלל ופטרוכימיה, על מנת לגנוב מידע ולהעבירו אל ממשלת איראן. הקבוצה, המוכרת מאז 2014, תוקפת את קורבנותיה באמצעות הנדסה חברתית, הפצת נוזקות, שימוש לרעה בפקודות מאקרו וניצול פגיעויות באמצעות Powershell.

לפי חוקרי מיקרוסופט, "ההסלמה בסייבר בין איראן וישראל באה לביטוי בתקיפה של איראן את אלבניה. אחת מקבוצות ההאקרים, Dev-0861, סילקה בעקביות ובאופן פעיל מיילים מארגונים שונים בכמה מדינות, ביניהם מטרות ישראליות – בין יוני 2021 למאי 2022".

בנוסף ציינו בענקית מרדמונד כי הלוגו של Homeland Justice, הקבוצה שהוקמה כדי להפיץ את החומרים האלבניים הגנובים באינטרנט ובטלגרם, לעג ללוגו של Predatory Sparrow, קבוצת פריצה שאיראן מקשרת לישראל. זו ביצעה סדרת מתקפות סייבר מתוחכמות על מטרות איראניות החל מאמצע 2021.

מתקפות הסייבר על אלבניה התרחשו לאחר שורת מתקפות על איראן. לפי ממשלת איראן, התוקפים היו חברי מוג'הידין א-חאלק, ארגון מחתרת גרילה, אופוזיציוני למשטר, הפועל כבר עשרות שנים במדינה. את קבוצת האופוזיציה הזו ממשלת איראן מגדירה כטרוריסטים.

הקבוצה, שלקחה אחריות על מתקפת הסייבר נגד אלבניה, טענה כי המניע למתקפה הוא האירוח של אלבניה את "הטרוריסטים של דורס". הכוונה היא לפליטים של מוג'הידין א-חאלק, המתגוררים במחנה בדורס, מחוז באלבניה. ארגון המוג'הידין היה אמור לארח כנס ביולי השנה, אך הוא בוטל, בסופו של דבר, בשל איומים באלימות.

ראש מערך הסייבר הלאומי, גבי פורטנוי. צילום: Coming Up, שבוע הסייבר

"ישראל לא תסבול השפעה איראנית על הבחירות בה"

גבי פורטנוי, ראש מערך הסייבר הלאומי, נמצא בביקור מקצועי בארצות הברית. הוא התייחס למתקפה ואמר כי "ישראל רואה את התקיפות האיראניות כבר כמה שנים. הניסיונות הבלתי פוסקים של איראן לפגוע בטווח הסייבר במרחב האזרחי, בלא הבחנה – לא עולים לה מספיק ביוקר. אני מברך את ממשלת אלבניה על הצעד הראוי שעשתה, לאור התוקפנות האיראנית. לפעולות תוקפניות יש מחיר".

פורטנוי ציין כי "ישראל לא תסבול השפעה איראנית על הבחירות בה וניסיונות מסוג זה לא יענו בשתיקה. על מדינות לאחד כוחות אל מול האויב המשותף. מרחב הסייבר הוא גלובלי ומאפשר הזדמנויות למהלכים משותפים וחכמים חוצי גבולות. ישראל תמשיך להגן על עצמה ועל אזרחיה בכל הכלים הקיימים ולפעול יחד עם ארה"ב בשמירה על מרחב סייבר מוגן".

ג'ון הולטקוויסט, סגן נשיא למודיעין של מנדיאנט, אמר כי "משרד המודיעין והביטחון האיראני מבצע ריגול בסייבר ועורך מתקפות כופרה משבשות. הוא עושה זאת בשליחות ממשלת איראן, במקביל לפעילות של משמרות המהפכה. הם מתמקדים במידה רבה ביעדי ריגול קלאסיים, כמו ממשלות ומתנגדי משטר, והם מכוונים למקורות מודיעין, כמו חברות תקשורת וחברות בעלות פרטים אישיים בעלי ערך. יש להם היסטוריה של התמקדות בחברי מוג'הידין א-חאלק. שחקני האיום הללו היו מעורבים גם במתקפות כופרה שמטרתן הייתה, אולי, שיבוש ולא רווח כספי".

הצהרתו של ראש הממשלה ראמה גררה במהירות הצהרות מצד ארה"ב ובריטניה, אשר גינו את מתקפות הסייבר. ארצות הברית התחייבה לנקוט בצעדים נוספים נגד איראן.

"מתקפת הסייבר של איראן נגד אלבניה מתעלמת נורמות ההתנהגות האחראית של מדינה במרחב הקיברנטי בזמן שלום, הכוללת הימנעות מפגיעה בתשתיות קריטיות המספקות שירותים לציבור", אמר בריאן נלסון, סגן שר האוצר לנושאי טרור ומודיעין פיננסי. "לא נסבול את פעילות הסייבר האגרסיבית ההולכת וגוברת של איראן, המכוונת כנגד ארה"ב, בעלות בריתנו ושותפינו".

נאסר כנעני, דובר משרד החוץ האיראני, גינה בחריפות את "ההאשמות חסרות הבסיס של ארה"ב ובריטניה". הוא הזהיר מפני "כל הרפתקנות פוליטית נגד איראן בתירוצים המגוחכים הללו", והדגיש את נכונותה המלאה של איראן "להתמודד בנחישות, מיד ובצער – עם כל קונספירציה אפשרית".