תשפ"ה: "ראש בראש" בין ישראל ואיראן – גם בסייבר

אחשוורוש נותן בראש – גם בסייבר: לצד הטילים שאיראן ירתה על ישראל השנה, היא המשיכה "לתת לה בראש" גם בממד הקיברנטי. אלא שבניגוד לטילים, שרובם אמנם יורטו אבל מיעוטם פגעו במטרות בישראל וגרמו לנזקים רבים, רוב מכריע של הניסיונות האיראניים לתקוף אותנו בסייבר נכשלו, ולא נגרם נזק משמעותי, להוציא במקרים אחדים. מה שיותר הצליח להם הוא מבצעי השפעה ותודעה, ולמרבה הצער גם ריגול. ומה אתנו? גם אנחנו לא טמנו את ידינו בצלחת הסייבר נגד האיראנים.

לפעולות שעשתה איראן בסייבר אגיע בהמשך הסקירה. אבל, ראשון ראשון ואחרון אחרון, ונשאלת השאלה: איך היא הגיעה ליכולות האלה?

"ההפגנות נגד המשטר האיראני ב-2009 ותקיפת תשתיות הגרעין בתולעת המתוחכמת סטקסנט ב-2010 עוררו את העניין של איראן בסייבר", כתב ד"ר צ'ק פרייליך, לשעבר סגן ראש המל"ל (המועצה לביטחון לאומי). "סטקסנט הייתה תקיפת הסייבר הראשונה שגרמה לנזק פיזי, והמחישה את הפגיעות הרבה של איראן. בתגובה האיצה איראן את פיתוח יכולות הסייבר שלה, שהיו אז בסיסיות בלבד, ואלה השתפרו במידה ניכרת".

ד"ר צ'ק פרייליך, לשבר סגן ראש המל"ל וכיום חוקר ב-INSS – המכון למחקרי ביטחון לאומי. צילום: ניב קנטור

במרוצת השנים שלאחר סטקסנט, ציין ד"ר פרייליך, "איראן הייתה מהמדינות הפעילות ביותר בלוחמת סייבר, מהשחקניות הגלובליות בתחום". לדבריו, "הכמות והתחכום של התקיפות שאיראן ניהלה גדלו, והיא הוכיחה יכולת להרוס, לשבש, לעוות, לחבל ולערער תשתיות לאומיות חיוניות, אינטרסים מסחריים, יכולות צבאיות, פוליטיקה פנימית, חוסן חברתי ודיפלומטיה בינלאומית". הניתוח שלו אמנם נכתב כמה חודשים אחרי ה-7 באוקטובר, בנייר עמדה של INSS – המכון למחקרי ביטחון לאומי, אבל נכון גם לתשפ"ה.

לפי דפנה ינין, מנהלת אירועי סייבר במערך הסייבר הלאומי, "בתחילת המלחמה ישראל חוותה מתקפות סייבר פשוטות יחסית, בניסיון לייצר השפעה תודעתית, בהדהוד חומרים ישנים. בחלוף הזמן, התקיפות עברו שינוי והחלו לגרום נזק, למחוק מידע ואף להביא להשבתת ארגונים. זאת, לצד דלפי מידע וניסיונות הפחדה, לא כולם מתוחכמים". לדברי ינין, "התוקפים היו מאוד פעילים בניצול חולשות 'יום 1', כמו גם במתקפות פישינג".

דפנה ינין, מנהלת אירועי סייבר במערך הסייבר הלאומי. צילום: יח"צ

"מרבית המתקפות בסייבר על ישראל הגיעו בתשפ"ה מאיראן, שמשקיעה הכי הרבה משאבים בתחום", אמרה. "בחרבות ברזל, גם החיזבאללה והחמאס תקפו. היקף המתקפות (של האיראנים – י"ה) צמח מאז מלחמת איראן. המגזר האזרחי הוא המטווח ביותר, ולאחריו מגזרי התקשורת והטלקום, הפיננסים והטכנולוגיה". ינין סיכמה באומרה כי "נתונים על מתקפות ב-2025 טרם פורסמו, אבל כבר כיום ניתן לומר שהן חוו גידול השנה".

השינוי בסייבר האיראני

בועז דולב, מייסד ומנכ"ל קלירסקיי, ציין כי "מרגע שפרצה מלחמת איראן, הסייבר האיראני עבר שינוי: מפעילות לאיסוף מודיעין, ריגול ומבצעי השפעה ותודעה – לפעילות שיבוש והרס, עם נוזקות ומגבים-מוחקים. האיראנים הפעילו קבוצות תקיפה שלא נצפו זמן רב. הצד הישראלי הגן על עצמו טוב יחסית". לדבריו, היקף הפעילות של החמאס והחיזבאללה בסייבר במלחמה היה מועט עוד לפני תשפ"ה, ונמוג לאחר פיצוץ הביפרים, שאירע לפני ראש השנה שמסתיימת מחר (ב').

בועז דולב, מייסד ומנכ"ל קלירסקיי. צילום: ניב קנטור

דולב ציין שאיראן לא הייתה לבד במתקפות הסייבר נגד ישראל בשנה החולפת: "גם צפון קוריאה 'עבדה מאוד קשה' בסייבר כאן. ההאקרים שלוחי המשטר של קים ג'ונג און המשיכו לממן את המשטר המבודד וגנבו מיליארדים, בין השאר בנכסי קריפטו, כולל בורסות בישראל. במקביל, הם חדרו לחברות שדרכן ניתן להשיג מידע על ארגוני ביטחון וחברות תעופה". לדבריו, "גם סין פעלה: האקרים סינים הצליחו לפרוץ לחברות תקשורת בארצות הברית, וקיים סיכוי וחשש שהם הצליחו בכך גם בארץ".

מה אומרים הדו"חות?

אחרי המלחמה מול איראן יצאו כמה דו"חות, שמהם עולה שמאחורי פעילות הסייבר של המשטר של הרפובליקה האסלאמית במלחמת 12 הימים הייתה אסטרטגיה, היא הייתה מתואמת – והשפיעה. ניתוח רבע מיליון הודעות שנשלחו על ידי שליחים, פרוקסיז של המשטר והאקטיביסטים מהמדינה, שפעלו ב-178 קבוצות העלה שהם הוציאו לפועל מבצעי תודעה והשפעה מעורבים בתעמולה, לצד גניבת נתונים, השחתת אתרים והפעלת מתקפות סייבר.

לפי NSSG Global, "התנהלות איראן בסייבר במלחמת 12 הימים סימנה נקודת מפנה באסטרטגיית הסייבר שלה. זו משקפת תיאום רב יותר, כוונה אסטרטגית ברורה יותר ושילוב של כלים דיגיטליים בתחומים צבאיים, פוליטיים ופסיכולוגיים". כך, קבוצת ההאקרים שקשורה לממשלת איראן חתלתול אימפריאלי (Imperial Kitten), או שריון צב (Tortoiseshell), שינתה טקטיקה ככל שהלחימה החריפה. היא החלה להשתמש בפיתיונות פישינג שעסקו בסכסוך ובנתה תשתית לקמפיין כמעט מיד לאחר תחילת המלחמה הפיזית. על פי הדו"ח, "פעולות פריצה איראניות נוספות כללו ביצוע סיורים באתרי קורבנות, גיוס כספים וכוח אדם, כמו גם אוהדים בטלגרם, ופרסום של פרצות וחולשות".

טילים איראניים שנורו על תל אביב במלחמה האחרונה. צילום: ShutterStock

חוקרי פורטינט מצאו שאיראן פעלה במהלך המלחמה נגד ישראל באמצעות שלל קבוצות תוקפים בסייבר, ביניהן קבוצות APT (מתקפות עקביות ומתקדמות) כ-APT33 ,MuddyWater ו-Rocket Kitten, שפגעו בארגונים ממשלתיים ופרטיים, במגוון מגזרים: טלקום, ממשל מקומי, ביטחון וארגוני נפט וגז. מתקפות אלה כוונו לדיפלומטים, אנשי ביטחון ואקדמאים בישראל ובקרב בעלות בריתה. כמו כן, התוקפים ביצעו שלל מתקפות תודעה, בניסיון להשפיע על הציבור הישראלי, וכך על מהלכי המלחמה, וחדרו למצלמות אבטחה בישראל – כפי שצ'ק פוינט חשפה בזמן אמת.

המענה של הפרו-ישראלים

בתשפ"ה הייתה פעילות נרחבת של קבוצת הדרור הטורף הפרו-ישראלית, ובמרכזה המתקפות נגד הבנק הגדול באיראן, בנק ספאח, ובורסת הקריפטו האיראנית נוביטקס. התוקפים גרמו להתפוגגותם של 95% מהנכסים של בורסת הקריפטו וגנבו עשרות מיליוני דולרים. בורסת נוביטקס נחשבת למסלול להשקעות שעוקף את הסנקציות המוטלות על איראן. קבוצת האקרים לא מזוהה בשם פורצי קוד (CodeBreakers) איימה להדליף 47 מיליון פריטי מידע – מאוד רגישים – של קצינים ובעלי תפקידים במשמרות המהפכה, אותם הם טענו שהשיגו במתקפה בנק ספאח. היא הדליפה חלק מאותם פריטים.

דולב אמר כי "מתקפה זו היא בבחינת 'אצבע בעין' לשלטון. הנזק שספגה הכלכלה האיראנית בעקבות התקיפות עומד על מיליארדי דולרים, והבנקים הושבתו ותפקדו חלקית למשך תקופה ארוכה".

המפרץ הפרסי במוקד

שוב איראן: בחודש שעבר פרסמנו כי היא ניסתה לרגל בסייבר אחרי מהלך המשא ומתן להשבת החטופים, שהתנהל בדוחא וקהיר, בירות קטאר ומצרים. לפי דרים הישראלית, האיראנים חדרו לעובד שגרירות עומאן בפריז ומשם, עם קבצי וורד נגועים, לרשתות דיפלומטיה – עד שהגיעו לחדרי המשא ומתן. "ייחודיות המתקפה בהבנה שהאמון הדיפלומטי הפך למטרה אסטרטגית", מסרה החברה.

יובל נתיב, אנליסט איומים ביחידת CTI (מודיעין איומי סייבר) של טרנד מיקרו. צילום: צוות TEDx צ'יינג מיי

ואם כבר בחצי האי ערב עסקינן, לפי יובל נתיב, אנליסט איומים ביחידת CTI (מודיעין איומי סייבר) בטרנד מיקרו, "בתקופה האחרונה אנחנו עדים לעלייה בפעילות סייבר מצד מדינות באזור המפרץ הפרסי כלפי ישראל. מדובר בכל סוגי התוקפים: האקטיביסטים, האקרים הפועלים ממניעים כספיים, והאקרים שלוחי מדינות. המתקפות מבוצעות בכל מגוון השיטות המוכרות והידועות שלהם, כולל ניצול של חולשות ידועות (יום 1) שלא הוטלאו".

דרושים מרגלים בגילאי בר מצווה עד 72

היבט מטריד נוסף, ובעצם מרכזי, בפעילות האיראנית בסייבר נגד ישראל היה השנה, כמו בתשפ"ד, הריגול. הרשויות בארץ פענחו בתשפ"ה עשרות פרשיות ריגול, שבהן הופעלו ישראלים רבים על ידי סוכנים איראנים במטרה להשיג מידע מודיעיני, להפיץ מסרים אנטי ישראליים, לפגוע בלכידות החברתית במדינה, לפגוע בתשתיות, לזרוע הרס ולהתנקש באזרחים ובבכירים, בהם שר הביטחון, ישראל כץ. האיראנים יצרו קשר עם הישראלים דרך הרשתות החברתיות והעבירו להם תשלומים בקריפטו. פרופיל המגויסים היה מגוון, וגילאי המרגלים נעו מ-13 עד 72.

עד יולי האחרון סיכל השב"כ יותר מ-20 פרשיות ריגול חמורות של ישראלים עבור איראן. הוגשו יותר מ-30 כתבי אישום – מריסוס כתובות גרפיטי, תליית כרוזים, השחתת רכוש ועד לתכנון רצח, במקרה של העבריין מאשקלון מרדכי (מוטי) ממן, שנשפט ל-10 שנות מאסר.

אלוף (מיל') פרופ' יצחק בן ישראל, ראש סדנת יובל נאמן למדע, טכנולוגיה וביטחון באוניברסיטת תל אביב. צילום: פלי הנמר

"אחד הלקחים מהמלחמה נוגע לכך שלא הצלחנו לשבש את מבצעי ההשפעה של האויב ברשתות החברתיות, שבוצעו על ידי בוטים ופייק ניוז, למרות שידענו שלמלחמה על התודעה הציבורית יש חשיבות אסטרטגית", ציין אלוף (מיל') פרופ' יצחק בן ישראל, ראש סדנת יובל נאמן למדע, טכנולוגיה וביטחון באוניברסיטת תל אביב.

לסיכום, הנה דברים של ד"ר פרייליך: "ישראל היא היריבה העיקרית של איראן בתחום הסייבר, כמו בכל שאר התחומים. יכולותיה ימשיכו להשתפר – על בסיס יכולותיה שלה ובעקבות סיוע רוסי וסיני".