מתקפת תודעה איראנית על רכבת ישראל: "עליכם לעזוב את המטרו מיד"

המערכה בסייבר בין ישראל לאיראן נמשכת עם מתקפת השפעה-תודעה חדשה – הלילה (ד') הופיעו הודעות אזהרה על שלטי פרסום בחלק מהתחנות של רכבת ישראל. "שלום לתושבים, אזהרת טילים איראנית הופעלה עבור המטרו. עליכם לפעול לפי הוראות המפקד הפנימי ולעזוב באופן מיידי", נכתב באחד השלטים. בשילוט נוסף צוין: "צאו בזהירות מתחנות הרכבת התחתית ולכו למקלטים. הרכבת התחתית אינה בטוחה כרגע". בשל המתקפה פעילות השלטים ברכבות הושבתה באופן יזום.

מרכבת ישראל נמסר: "בדקות האחרונות נרשמו שיבושים בפעילות שלטי הפרסום והמידע באולמות הנוסעים בתחנות רכבת בודדות – ולכן הופסקה זמנית פעילות השלטים… צוותי רכבת ישראל פועלים אל מול הספקים הרלוונטיים לצורך בירור מקור התקלה ותחקורה". לפי הרכבת, מדובר ברשת חיצונית אשר לא קשורה לתשתיות חיוניות, ולפיכך צוין במפורש כי "אין חשש לפגיעה בתשתית חיונית או במסכי המידע הרכבתיים ברציפים (PIS)".

בוובינר מיוחד שנערך אתמול (ד') בנושא "מנהיגות, טכנולוגיה וחוסן – בונים המשכיות עסקית ב-2026", שהתקיים ביוזמת אנשים ומחשבים, אמר גיא מזרחי, יו"ר פורום CSC מבית אנשים ומחשבים ומנכ"ל סייפרוס (CYPROS) כי "עולם הסייבר ההתקפי, נחלק לשלושה: איסוף מודיעין וריגול; פגיעה, נזק והשבתה; השפעה פסיכולוגית על דעת הקהל ושינוי גישות ותפישות של אנשים. במלחמות בסייבר, נהוג לפעול בלפחות אחד או יותר מהתחומים".

נקמת הדרור הטורף – והיכן היא מצטלבת עם ההתרעות ברכבת

הותקף בידי הדרור הטורף. בנק ספאח באיראן. צילום: איראן אינטרנשיונל

אופן פעולתם של ההאקרים האיראניים הוא מגוון: הם תוקפים ומנצלים פרצות אבטחה בסיסיות – מערכות בלא עדכוני אבטחה, שחשופות לפגיעויות ידועות (CVEs) שניתן למנוע; סיסמאות חלשות, שמביאות לכך שההאקרים משתמשים בכלי פריצה אוטומטיים נגד סיסמאות ברירת מחדל; ותקיפה ישירה של מערכות תעשייתיות ומערכות בקרה ותפעול (OT/PLC) – בדגש על כאלה מתוצרת ישראל.

מאז המלחמה הקודמת מול איראן, ביוני האחרון, האקרים הקשורים לישראל ביצעו כמה מהתקיפות המשבשות ביותר נגד איראן. נראה שהקבוצה הפרו-ישראלית הפעילה ביותר היא הדרור הטורף. זהות חבריה אינה ברורה, ועל פי רוב ההערכות, הם תומכי ישראל. עם זאת, יש מומחים שסבורים אחרת, ושלדבריהם הדרורים הטורפים הם לא האקרים ישראלים או פרו-ישראלים.

במהלך המלחמה הקודמת נגד איראן, קבוצת 'הדרור הטורף' תקפה קשות את רשת הבנקים הגדולה במדינה, ספאח, שקשורה למשמרות המהפכה. היא הביאה לכך שחלק מסניפי הבנק היו סגורים, שלקוחות לא הצליחו להשיג גישה מקוונת לחשבונותיהם ושהם לא היו יכולים למשוך כסף מכספומטים ששייכים לבנק. גם כרטיסים בנקאיים שהונפקו על ידי בנק קוסאר ובנק אנצאר – שקשורים לצבא איראן – לא פעלו. על פי הקבוצה, בנק ספאח שימש לעקיפת הסנקציות הבינלאומיות על איראן ולמימון פעילויות של משמרות המהפכה, לרבות תוכניות הטילים והגרעין.

קבוצת הדרור הטורף נטלה אחריות על המתקפות נגד הבנקים האיראניים, וכן על השמדת 90 מיליון דולר מבורסת הקריפטו האיראנית נוביטקס. עוד מתקפות שמיוחסות לקבוצה כוונו, בין השאר, נגד מגזרי התחבורה והפלדה באיראן: כך, מיוחסות לה פגיעות בתחנות דלק במדינה, בדצמבר 2023. הקבוצה ביצעה מתקפה על תחנות דלק במדינה גם באוקטובר 2021 – מתקפה שהשלטונות בטהרן עצמם הודו שפגעה ב-4,300 תחנות.

באופן מרתק, אחת מהתקיפות מהדהדת למתקפה על ישראל מאמש, ולפי חוקרי צ'ק פוינט אף תואמת לדרכי הפעולה של הדרורים הטורפים. היא אירעה ביולי 2021, ופגעה בתחנות רכבת באיראן. התוקפים גרמו לעיכוב ולביטול נסיעות, ואף הביאו לפרסום מספר הטלפון בלשכתו של מנהיג המדינה, עלי חמינאי, כמספר הטלפון של מודיעין הרכבת, עם כיתוב שקורא לנוסעים להתקשר אליו.