איראן תקפה בסייבר מאות ארגונים בישראל ובאמירויות

איראן תקפה בשלושה גלים ארגונים במזרח התיכון, בדגש על ישראל ואיחוד האמירויות הערביות, כך לפי חוקרי צ'ק פוינט (Check Point Research).

הקמפיין, מסוג ריסוס סיסמאות מתמשך, כוון לארגונים הפועלים בסביבות מיקרוסופט 365 (Microsoft 365) במזרח התיכון. את המתקפות ביצעו האקרים המקושרים לאיראן. הקמפיין בוצע בשלושה גלי התקפות: ב-3, 13 ו-23 במרץ.

הקמפיין, כך לפי צ'ק פוינט, השפיע על יותר מ-300 ארגונים בישראל ויותר מ-25 באיחוד האמירויות. עוד נודע כי שחקן האיום נצפה תוקף בסייבר גם כמה מטרות באירופה, ארה"ב, בריטניה וערב הסעודית.

⚠️ Iranian APT conducts a wide M365 password spray campaign – focus on Israeli and UAE orgs

🌐TOR used to scan and spray, Israeli VPN infrastructure used for successful logins

🏙️ Israeli municipalities – key focus, likely for missiles BDA

Read more :https://t.co/N7rJbCJ08t

— Check Point Research (@_CPResearch_) April 1, 2026

הפעילות כוונה בעיקר לרשויות מקומיות, להן יש תפקיד קריטי בתגובה לנזקים פיזיים מפגיעות טילים. "אנו מבחינים בקשר מסוים בין מטרות הקמפיין לבין ערים שהיוו מטרות למתקפות טילים מאיראן במהלך מרץ", כתבו החוקרים. "זה מרמז שהקמפיין נועד לתמוך בפעולות קינטיות (פיזיות) ולסייע להעריך נזקים של הפצצות (BDA – ר"ת Battle Damage Assessment)".

"הקמפיין", כך נכתב, "כוון לסביבות ענן של גופי ממשל, רשויות מקומיות, ארגוני אנרגיה וחברות פרטיות. מקורו בסכסוך המתמשך במזרח התיכון. ריסוס סיסמאות מכוון לכמה חשבונות, להם יש אותו מערך סיסמאות, חלשות או נפוצות. הטכניקה מבוססת על ההנחה שלפחות משתמש אחד יהיה בעל אישורי סיסמה חלשים. התוקפים השתמשו בכמה כתובות IP מקוריות כדי לפגוע בחשבונות רבים, מה שהקשה על הזיהוי".

לדברי החוקרים, "טכניקה זו פופולרית בקרב שחקני איום מתקדמים ושימשה בעבר קבוצות מתקדמות רבות, ביניהן שחקני איום בסייבר איראניים".

טכניקות התקיפה והזיהוי האיראניות

לאחר ריסוס הסיסמאות, ההאקרים ערכו סריקות, לראות האם והיכן הם הצליחו להשיג גישה למערכות הקורבנות. כדי להימנע מחסימה, ההאקרים עשו שימוש בסוכן שמתחזה ל- Internet Explorer 10 (IE10): Mozilla/5.0. לאחר שהתוקף מוצא אישורים תקפים, הוא מבצע את תהליך ההתחברות המלא מכתובות IP של VPN הפועלים מישראל – על מנת לעקוף מגבלות גיאוגרפיות. כך התוקף מנצל אישורים תקפים, כדי לגשת לנתונים רגישים, עסקית או אישית".

"אנו מעריכים בביטחון ברמת ודאות מתונה שהשחקן שמאחורי פעילות זו מקורו באיראן. ההערכה מבוססת על התאמה של פרופיל הפעילות לאינטרסים האיראניים, כולל מיקוד בגופים וארגונים ממשלתיים מקומיים בישראל בענפי הלוויין, התעופה, האנרגיה והים".

הם ציינו כי "ניתוח יומני M365 מצביע על דמיון לסופת חול אפורה (Gray Sandstorm), כולל שימוש בכלי 'צוות אדום' לביצוע מתקפות אלו. שחקן האיום השתמש בצמתים מסחריים של VPN – מה שמתאים לדפוס הפעילות העדכני של איראן במזרח התיכון".

"ארגונים במזרח התיכון חייבים לחזק את ההגנות ברקע קמפיינים אלה", סיכמו בצ'ק פוינט. "הקמפיין ממחיש את החיבור ההולך וגדל בין פעולות סייבר ופעולות קינטיות. ארגונים באזורי סכסוך חייבים להתכונן להתקפות סייבר המתואמות עם איומים פיזיים. נדרש לממש אסטרטגיות אבטחה פרו-אקטיביות ומרובות-שכבות. ישראל ושכנותיה מתמודדות עם אתגר כפול של הגנה על תשתיות פיזיות ומערכות דיגיטליות, מה שמדגיש את החשיבות הגוברת של אבטחת סייבר כחלק מהחוסן הלאומי".