איראן – מלכת הסייבר במתקפות נגד ישראל

בין החמאס לחיזבאללה, בין רוסיה לצפון קוריאה, מעל כולן בולטת – כ-"מגדלור" בים הסוער של ממד הסייבר – איראן, כמי שתקפה וניסתה לתקוף הכי הרבה את ישראל בממד הקיברנטי בשנת תשפ"ב. זה, כמובן, לא מפתיע, לאור העובדה שאיראן היא האויב הגדול ביותר של ישראל מזה שנים.

צה"ל פרסם אתמול (ד') כי השנה חלה עלייה של 70% במתקפות הסייבר האיראניות נגד ישראל. כה אמר אתמול גורם בכיר בצבא: "בשנה החולפת, צה"ל סיכל עשרות ניסיונות תקיפה איראניים בסייבר". בצבא אומרים כי "מאז מתקפת הסייבר נגד מערכת התפלת מים בישראל היו ניסיונות רבים לפרוץ למערכות ישראליות. באיראן יש יותר מ-20 יחידות סייבר, כ-10 מתוכן פועלות מול ישראל. בטהרן הציבו את ישראל כיעד בעדיפות עליונה בממד הסייבר, ומשקיעים משאבים אדירים בפיתוח כוח סייבר התקפי למימוש תכליות שונות".

בחודש האחרון, הוא חודש אלול, הנפיקו חוקרי מודיעין האיומים של מיקרוסופט דו"ח מפורט על מתקפה איראנית בסייבר נגד אלבניה. בצנעה נכתב בו כי יש למתקפה זו קשר למתקפות הסייבר האיראניות נגד ישראל. צוין שם כי "ההסלמה בסייבר בין איראן לישראל באה לידי ביטוי בתקיפה של איראן את אלבניה". בועז דולב, מנכ"ל קלירסקיי, אמר כי "יש זהות בין הקבוצות האיראניות שתקפו את ישראל לאלה שתקפו את אלבניה". את המתקפות ערכו ארבע קבוצות האקרים איראניות שונות, ששלוש מהן פועלות תחת "ארגון הגג" APT34 וקבוצה נוספת שייכת למשרד המודיעין האיראני. APT34 עורכת פעולות סייבר התקפיות נגד ארצות הברית, ישראל וערב הסעודית מאז 2014 לפחות.

עוד באלול, חוקרים ממנדיאנט מצאו כי קבוצת האקרים איראנית אחרת, APT42, מבצעת מתקפות פישינג נגד גופים ודמויות מפתח במערב, בפרט בישראל.

מעל עשור של מלחמת סייבר איראנית נגד ישראל

המאבק בסייבר בין הרפובליקה האסלאמית לישראל אינו חדש, ושורשיו כבר במתקפת סטוקסנט על מערך הגרעין האיראני, שאירעה לפני יותר מעשור. אחת המתקפות האחרונות במלחמה הזאת אירעה בתמוז השנה, אז האיראנים תקפו את האתר של עיריית תל אביב-יפו והביאו לקריסתו. חודש לפני כן האקרים איראנים פרצו לתיבות המייל של בכירים ישראליים, בהם ציפי לבני, לשעבר שרת החוץ, וכן אלוף במיל' ושגריר לשעבר של ארצות הברית בישראל. עוד באותו החודש, האקרים מלבנון תקפו מטרות ממשלה וביטחון בישראל – בחסות המשטר האיראני.

נפלה קורבן למתקפה איראנית. ציפי לבני. צילום: BigStock

אחת ממתקפות הסייבר האיראניות הבולטות נגד ישראל לאורך השנים הייתה הניסיון לחבל במתקני המים שלה באפריל 2020. אל"מ אורי, סגן מפקד 8200, אמר בסיוון השנה כי ישראל עצרה את המתקפה הזו: "סיכלנו לפני מספר שנים את הניסיון להשתלט על מערכות המים הקריטיות של ישראל ולהרעיל אותן". כנקמה על המתקפה, ישראל ביצעה מתקפת סייבר על נמל באיראן, שפגעה כלכלית ברפובליקה האסלאמית.

המתקפה שגרמה לאזעקות

רגע לפני שהעביר את השרביט ליאיר לפיד דיבר בסיוון ראש הממשלה דאז, נפתלי בנט, על "המלחמה הקיברנטית" שבין ישראל לאיראן. בנט נתן גושפנקא לכך שהסייבר הוא חלק מהכלים שמדינת ישראל מפעילה במאבק מול האויב המושבע שלה. הוא התייחס גם להגנה מפני סייבר במישור האזרחי והודה שהמצב לא מושלם – הגדרה שמי שמכיר את הנושא יודע שהיא עדינה.

מתקפה נוספת שאירעה בסיוון היא חדירה של האקרים איראניים למערכות הכריזה של עיריות אילת וירושלים, שבעקבותיה הם הפעילו אזעקות שווא בכמה מוקדים בערים אלה. לדברי עמרי וקסלר, חוקר בכיר במרכז למחקר סייבר באוניברסיטת תל אביב, "הנזק של האירוע הזה הוא תודעתי, הבהלה שהוא גרם בשכונות שבהן הופעלו האזעקות והעובדה שמדברים על זה".

באדר ב', שורה של אתרים ממשלתיים הושבתו לעשרות דקות, במה שנראה כמתקפת סייבר מתוכננת, שבוצעה על ידי גורמים איראניים. מדובר במתקפת DDoS (מתקפת מניעת שירות מבוזרת). האתרים שנפרצו והושבתו היו אלה של משרדי ראש הממשלה, החוץ, הפנים, הבריאות, המשפטים והרווחה, אולם כולם חזרו לפעול לאחר זמן מה. מומחים העריכו כי מדובר במתקפת סייבר רחבה, אך לא מתוחכמת.

חודשיים לפני כן, בטבת, המידע אודות שלושה מיליון ישראלים היה בסכנת חשיפה, לאחר שקבוצת האקרים לא מוכרת בשם Sharp Boys הודיעה כי היא פרצה למאגרי המידע של שני אתרים של למטייל: האתר הראשי של החברה ואתר טיולי, ששייך אליה. ההאקרים הציעו את המידע למכירה בערוץ טלגרם שפתחו, לרבות שמות, מיילים, מספרי טלפון וסיסמאות. לטענת ההאקרים, הם הורידו כחצי טרה-בייט של נתונים.

בחשוון פרצו האקרים חברי קבוצת Black Shadow, שמקושרת למשטר האיראני, לשרתים של סייברסרב וגנבו, בין היתר, את מאגר המידע של אפליקציית ההיכרויות לקהילת הלהט"ב אטרף – שעדיין מושבתת. הם פרסמו מידע אודות משתמשים רבים באתר, מה שהוביל להוצאה מהארון של חלק מהם.

Black Shadow הייתה אחראית על מתקפת סייבר איראנית נוספת נגד ישראל שאירעה השנה, גם היא בחשוון, ושהייתה אחד האירועים המרכזיים בתחום, אם לא המרכזי שבהם: המתקפה על המערכות של בית החולים הלל יפה בחדרה. במשך תקופה ארוכה מערכות בית החולים הושבתו או פעלו חלקית, ובית החולים עבר לעבודה ידנית. בימים הראשונים שלאחר המתקפה היו חולים שהופנו לבתי חולים אחרים.

בית החולים הלל יפה. צילום: דוברות בית החולים, מתוך ויקיפדיה

מנגד, גם איראן הותקפה בחשוון, במתקפה שהיו שייחסו אותה לישראל. השלטונות בטהרן הודו כי המתקפה פגעה ב-4,300 תחנות דלק במדינה. המתקפה שיתקה את מערכת המחשוב שבאמצעותה הממשל באיראן מסבסד את מחירי הדלק – מה שגרם להשבתתן של התחנות, לתורים ארוכים בתחנות דלק שכן פעלו ברחבי המדינה ולאזרחים מתוסכלים, שלא הצליחו לתדלק את המכוניות שלהם.

הטובים לסייבר?

ולא רק מתקפות: אחד הנושאים שעלו על הפרק השנה הוא הקריאה החדשה, "הטובים לסייבר", שהיא פרפראזה על הקריאה הידועה "הטובים לטיס". הרמטכ"ל, רא"ל אביב כוכבי, תקף את הקריאה הזו בחודש טבת ואמר שהיא משקפת "אובדן דרך ופגיעה בערכים אצל חלק מהאוכלוסייה. הטובים הם קודם כל הלוחמים. לסייבר יש פוטנציאל רב, הוא כנראה מכניס כסף רב והאנשים שהולכים לשם מוכשרים, אבל הטובים נמדדים בראש ובראשונה בנכונות שלהם לתרום למדינה, בנכונותם לסכן את חייהם כדי להגן על אנשים אחרים".

הרמטכ"ל, רא"ל אביב כוכבי. צילום: דובר צה"ל

צה"ל ערך השנה תרגיל לחימת סייבר יחד עם פיקוד הסייבר של ארצות הברית. ראש הפיקוד, הגנרל פול נקסונה, שהוא גם מנהל ה-NSA, אמר בהתייחס לתרגיל כי "שותפויות הן נשמת אפנו… סייבר הוא ספורט קבוצתי".

חשוב לציין כאן גם את דו"ח מבקר המדינה, שפורסם באייר, ושבו הוא קבע שלמערך המשטרה שמטפל בעבריינות סייבר אין תפיסת הפעלה עדכנית, אין כוח אדם מיומן בתחום, אין אמצעים טכנולוגיים הנדרשים לביצוע עבודתו בשלמותה ואין תוכנית למלחמה בתופעת הכופרות. ואם זה לא מספיק, הנה עוד שני ממצאים עגומים: הציבור לא מאמין בטיפול של המשטרה בעבירות סייבר, ולכן לא מדווח עליהן, ולמשטרה חסרים 350 מיליון שקלים למאבק במרחב הקיברנטי.

ואם כבר כופרות: בניסן פורסם ששני שלישים מהארגונים בישראל נפלו קורבן למתקפת כופרה. מחקר של סופוס העלה ש-57% מהארגונים הישראליים שהותקפו בכופרה ב-2021 שילמו את הכופר.

רגע לפני סיום, אחת הפרשות הבולטות השנה בתחום הסייבר הייתה זו של השימוש של המשטרה בסייפן, שהיא גרסה מוחלשת של רוגלת פגסוס של NSO. בתחקיר שפורסם בכלכליסט, ושנגרר לאחר מכן למאבק משפטי, טען העיתון שהמשטרה חדרה באמצעות הרוגלה למכשירים של 26 אנשים, בחלק מהמקרים ללא צו שיפוטי. ועדה בראשות עו"ד עמית מררי, המשנה ליועץ המשפטי לממשלה, בדקה את הדברים והעלתה ממצאים רק בשלושה מקרים. ועדיין, התחקיר חשף חשיפה שלא הוכחשה, שלפיה המשטרה מבצעת מעקב סייבר – דבר מטריד גם אם הוא נעשה בצורה חוקית.