איראן פועלת בסייבר כדי לשבש את קשרי סעודיה-ישראל

איראן פועלת בסייבר ותוקפת את סעודיה, במטרה לשבש את יחסיה עם ישראל ומהלכי הנורמליזציה בין שתי המדינות – כך לפי דיווח שפרסם באחרונה מרכז חקר האיומים של סקיורוורקס מבית דל.

לפי החוקרים, שחקן האיום, המכונה Cobalt Sapling, נצפה, החל מנובמבר האחרון, יוצר ישות חדשה בסייבר, בשם Abraham's Ax, גרזן אברהם, כדי למקד את המתקפות בסייבר על ערב הסעודית ולמנף אותן לתועלת גיאו-פוליטית עבור איראן. מומחים ציינו שהשם של הקבוצה מהדהד עם השם הסכמי אברהם – שמם של ההסכמים שנחתמו ב-2020 על ידי ארצות הברית, איחוד האמירויות הערביות, בחריין וישראל, לנרמול היחסים בין שלוש המדינות מהמזרח התיכון.

"לפעילות של קבוצת האקרים זו יש מניעים פוליטיים ברורים, וחבריה מבצעים פעולות מידע (הזרקת פייק ניוז ושמועות – י"ה), שנועדו לערער את היציבות העדינה של יחסי ישראל-ערב הסעודית. זאת, במיוחד כשסעודיה ממשיכה בשיחות עם ישראל על נורמליזציה של היחסים", אמר רייף פילינג, החוקר הראשי של סקיורוורקס.

פרשנים פוליטיים ציינו שהקבוצה ביצעה את המתקפות נגד המטרות הסעודיות מאחר שהנורמליזציה בינה לבין ישראל נמצאת בשלב מקדמי ו-"פריך", ומנהיגי הרפובליקה האסלאמית מקווים למנוע הסכם שלום בין שתי המדינות באמצעות פעילות שיבוש בסייבר.

הקבוצה משתמשת באתרי הדלפות של קבוצת האקרים אחרת

פילינג ציין כי מבחינה חזותית, קבוצת גרזן אברהם משתמשת באיקונוגרפיה, וידיאו ואתרי ההדלפות של שחקן איומים נפרד בעל מניעים האקטיביסטיים, שמכונה הצוות של משה (Moses Staff). הצוות של משה נצפה בראשונה בספטמבר 2021 כשהוא פועל בעיקר נגד ארגונים ישראליים.

קבוצת גרזן אברהם, שפועלת בחסות ממשלת איראן, נצפתה כשהיא עורכת שורה של מתקפות ריגול וחבלה בסייבר, תוך שימוש בכלים כמו StrifeWater RAT ו-DiskCryptor – כדי לאסוף מידע רגיש ולנעילת נתוני קורבנות ארגוניים ופרטיים. היא אף מנהלת אתר דליפות, המשמש להפצת נתונים שנגנבו מקורבנותיהם ולהפצת הודעות הקבוצה, שכוללות "חשיפת פשעי הציונים בפלסטין הכבושה". אחד ממאפייני הקבוצה הוא שהיא קוצרת נתונים, כמו בכל מתקפת כופרה, אולם מכיוון שהיא פועלת ממניעים פוליטיים ולא כספיים – היא לא דורשת דמי כופר ולא מציעה אפשרות לשחרור הנתונים שנחטפו.

שתי הקבוצות משתמשות בלוגואים דומים, כמו גם בבלוג מבוסס וורדפרס, כאמצעי להדלפות שלהן. פילינג אמר כי "לאיראן יש היסטוריה של שימוש בקבוצות פרוקסי (שימוש בכתובת אחרת, שרתים בלתי מזוהים או ביצוע פעולות מחשוב מרחוק, באופן שמסווה את המפעיל האמיתי – י"ה) וישויות שחבריהן יצרו כדי למקד את המתקפות שלהן על יריבים אזוריים ובינלאומיים".

"מספר גדל והולך של קבוצות האקרים בשירות המשטר האיראני"

פילינג הוסיף כי "במהלך השנתיים האחרונות אנחנו רואים מספר גדל והולך של ישויות, שבמקורן הן קבוצות האקרים שפועלות ממניעים פליליים או האקטיביסטיים, שמגויסות על ידי איראן כדי לפגוע באויביה. אלה מאפשרות לאיראן את מרחב ההכחשה הסביר – כך שהיא יכולה להרחיק את עצמה מהקבוצות אלה, להכחיש שיש לה קשר אליהן ולא ליטול אחריות על מתקפות שהם ביצעו. מגמה זו צפויה להימשך".

יש לציין שחברי גרזן אברהם טענו בעבר כי הם פועלים מטעם "האומה של חיזבאללה". ואולם, אין ראיות שתומכות בכך. בין אם זה נכון ובין אם לאו, חיזבאללה נתמך ופועל בחסות איראן.