כל מה שרציתם לדעת על מתקפת איראן באלבניה – והקשר הישראלי אליה

ארה"ב הטילה עיצומים על משרד המודיעין והביטחון של איראן ועל איסמעיל חטיב, השר הממונה – כתגובה למתקפת סייבר רחבת היקף של איראן את אלבניה. לפי מיקרוסופט, למתקפה האיראנית בסייבר על אלבניה יש קשר למתקפות שלה נגד ישראל. לידי אנשים ומחשבים הגיע מחקר מודיעין איומים על המתקפה, אותו ערכו חוקרי קלירסקיי (ClearSky) הישראלית.

לפי הדו"ח, ב-15 ביולי השנה בוצעה מתקפת הרס על מערכות הממשל המקוון באלבניה. "המתקפה בוצעה לאחר חדירה וגניבת מידע מהמערכות המקוונות של המדינה". בעקבות התקיפה, הורדו מהרשת כלל השירותים הדיגיטליים ואתרי הממשל האלבניים. מרביתם נמחקו וחלקם הורדו למניעת פגיעה בהם. מדובר בשירותי ממשל מקוון קריטיים. בין האתרים שנפגעו: אתרי הפרלמנט ומשרד ראש הממשלה ואתר e-Albania, ממשל זמין האלבני. משרד החינוך האלבני נאלץ להפסיק את ההרשמה המקוונת לבתי הספר, ומשרד החוץ של אלבניה עצר את כל השירותים המקוונים של הקונסוליות שמחוץ למדינה. הקבוצה שלקחה אחריות על המתקפה היא Justice Homeland, שנחשפה בראשונה בתקיפה זו.

קלירסקיי הישראלית

"אנו מעריכים", כתבו חוקרי קלירסקיי, "כי התקיפה בוצעה על ידי קבוצת תקיפה מדינתית איראנית, והיא תקפה על רקע כינוס של קבוצות אופוזיציה איראניות, שהיה אמור להיערך באלבניה אותו חודש, אותו ערך ארגון האופוזיציה האיראני מוג'הידין חא'לק, הפועל נגד השלטונות באיראן". לדבריהם, "אנו מעריכים שאת התקיפה ביצעו כמה קבוצות תקיפה איראניות מוכרות, המסתתרות תחת מיתוג חדש".

הגישה הראשונית למערכות הממשל המקוון באלבניה נעשתה באמצעות קובץ PDF זדוני, דרך השגת גישה לשרת השייך ל-AKSHI, הסוכנות הלאומית לאיגוד המידע, השולטת בכלל השרתים של חוות השרתים של

הממשלה. התוקפים הצליחו לאתר את כל כתובות הדוא"ל השייכות לסוכנות, על ידי סריקת השרת, ואז שלחו את הקובץ הזדוני דרך כתובות אלו. מומחה ה-IT, אותו כינו בזלזול חברי אנונימוס אלבניה כבעל "דיפלומה מזויפת", פתח את הקובץ הנגוע וגרם להדבקת הרשת הממשלתית.

הדרור הטורף שעלול להיטרף? 

בנוסף, ציינו חוקרי קלירסקיי, על המחשבים שנפגעו אותר מכתב כופרה, בו נכתב כי כלל הקבצים הוצפנו על ידי התוקפים. כמו כן, דווח שהתוקפים דרשו כופר בסך 30 מיליון אירו. ממשל אלבניה הכחיש זאת, ו"סביר להניח שהאיראנים ניסו לייצר התחזות לקבוצת כופרה, כחלק מתהליך הסחיטה של ממשלת אלבניה".

לגבי זהות התוקפים, כתבו החוקרים כי "את קבוצה זו, שפעילותה נצפתה בראשונה בתקיפה זו, אנו משייכים לתוקף מדינתי איראני. הבחירה שלה לבצע את המתקפה באלבניה אינה מקרית: נראה שהמניע המרכזי לתקיפה הוא ועידת הפסגה המתוכננת בנושא איראן, Free Iran World, שהייתה אמורה להתקיים באלבניה". הקבוצה טענה בערוץ הטוויטר שהקימה כי מטרת התקיפה לא הייתה לפגוע באזרחים האלבנים, אלא בממשלה אלבניה ובפוליטיקאים שלה, שכן הם הפכו את אלבניה ל"ביתם של הטרוריסטים". בסופו של דבר, הוועידה לא התקיימה, מסיבות ביטחוניות.

הקבוצה פתחה חשבון טוויטר, בו פרסמה דלף מידע ודרכו הדהדה מסרים, אך עמוד זה נסגר על ידי טוויטר

תוך זמן קצר. לצידו, הקבוצה פתחה ערוץ טלגרם והדליפה בו מסמכים ומידע, ואיימה להפיץ את המידע למכירה.

בכלל ערוצי התקשורת של הקבוצה מופיע לוגו בו נראה נשר התוקף ציפור קטנה יותר, וזו מוקפת במגן דוד. "ניתוח הלוגו מעלה כי הפרטים המופיעים בו אינם מקריים. נמצא קשר ישיר בין לוגו זה, של קבוצת Justice Homeland, לבין זה של קבוצה נוספת בשם הדרור הטורף. הלוגו של הקבוצה הנוספת מכיל את אותה ציפור קטנה, מותקפת בידי הנשר מהלוגו של קבוצת Justice Homeland. מלבד זאת, ישנו גם דמיון עיצובי בין שני הלוגואים – תבנית של שבבים ומסגרת עגולה. אנו מעריכים כי משמעות הלוגו היא שמתקפת הסייבר כוונה נגד הדרור הטורף. זו קבוצה שפעילותה מיוחסת לישראל".

מלבד הקשר לקבוצת 'הדרור הטורף', אותו ניתן למצוא בלוגו, כתבו החוקרים, "נראה שהקבוצה ניסתה

לאמץ אלמנטים בעלי דמיון לתקיפות של ה'דרורים' שאירעו בשנה וחצי האחרונות".

דמיון נוסף, ציינו החוקרים, הוא בפרסום הטלפונים של נשיא וראש ממשלת אלבניה במכתב האיום. "יש דמיון לתקיפה שאירעה באיראן על ידי הדרור הטורף באוקטובר: במסגרת תקיפת הסייבר על תחנות הדלק באיראן, צורף מספר טלפון של לשכת המנהיג העליון – ח'מינאי".

משרד ראש הממשלה האלבני ציין כי המערכות לא הושפעו, בזכות התגובה המהירה של סוכנות אבטחת הסייבר הלאומית של המדינה, שפעלה בשיתוף מיקרוסופט וחברת אבטחת הסייבר International Group Jones.

עם זאת, ממשלת אלבניה נאלצה לנתק את כלל השירותים הדיגיטליים שלה, לרבות שירותים קריטיים, אך מרביתם חזרו לאוויר כחמישה ימים לאחר שהמתקפה זוהתה בראשונה.

"נראה שהאיראנים הצליחו לפגוע בתשתית המחשוב המקוונת האלבנית, אך לאלבנים היו גיבויים, ובסיוע מיקרוסופט, הם הצליחו להתאושש בתוך שבוע", סיכמו החוקרים. "קמפיין התודעה האיראני לא ממש הצליח לחדור מחוץ לגבולות אלבניה; האיראנים הצליחו לפגוע ולבטל את הכינוס המיועד של גורמי אופוזיציה באלבניה; האיראנים ימשיכו לנסות להדהד את האירוע, ולגרום לנזקים נוספים לאלבנים; האיראנים הצליחו לחדור למערכי הניהול של חוות השרתים הממשלתית האלבנית, גנבו משם מידע ולאחר מכן, באופן ידני – מחקו את השרתים".