צוהלת ושמחה – איראן תוקפת בסייבר, במסיכה

בחלוף 2,421 שנים (או 2,388, או 2,409 – תלוי את מי שואלים ואיך סופרים) מאז שהיהודים ניצלו באימפריה הפרסית מרצח עם שזמם לבצע בהם המן האגגי, המשנה למלך אחשוורוש – נתונים שהגיעו לידי אנשים ומחשבים חושפים כי מפברואר השנה, חל גידול בהיקף מתקפות הסייבר על ישראל, ובראשן – מאיראן. עוד נודע לאנשים ומחשבים כי במסגרת המתקפות שעורכת איראן, רבות מהן נעשות במסיכה, משמע באמצעות "שכירי חרב", קבלני מתקפות סייבר ב"מיקור חוץ".

באחרונה אמר גבי פורטנוי, ראש מערך הסייבר הלאומי, כי מספר מתקפות הסייבר של איראן על מטרות בישראל הוכפל בשנה האחרונה. "אחת מהשכנות (של ישראל) מהווה חלק גדול מהבעיה", רמז PURYBUH לאיראן. ממוצע המתקפות החודשי בסייבר מאיראן עמד על עשרות רבות עד 200, ומספר קבוצות התקיפה גדל, משש ל-14/ "האיראנים משקיעים בתחום", הוסיף, "כי הם מבינים את העבודה במרחב הסייבר".

מטרות התקיפות האיראניות ב-2022 היו ריגול, הרס, סחיטה כספית ותודעה. האיראנים פועלים נגד ארגונים מכמה מגזרי תעשייה: סוכנויות ממשלתיות, ארגוני תשתית קריטית, ספקיות IT, מוסדות פיננסיים וכן מפעלי וגופי תעשייה, שעלולים להיפגע דרך מתקפות פרוקסי בשרשרת האספקה.

תשתית התקיפה בסייבר של איראן מצויה במשרד למודיעין ולביטחון לאומי (MOIS) ובכוחות משמרות המהפכה (IRGC). סוכנויות ממשל אלה מפעילות כעשר, או יותר, יחידות סייבר התקפיות, לצד שימוש בכמה חברות אזרחיות. יעדי התקיפה של האיראנים הם מגוונים: מישראל ועד לארצות הברית, גופים מתנגדי משטר בתוך הרפובליקה האסלאמית, טורקיה, ערב הסעודית, מדינות המפרץ, לבנון, אזרבייג'ן, אלבניה וטג'יקיסטן. האיראנים פועלים נגד ארגונים מכמה מגזרי תעשייה: סוכנויות ממשלתיות, ארגוני תשתית קריטית, ספקיות IT, מוסדות פיננסיים וכן מפעלי וגופי תעשיה, שעלולים להיפגע דרך מתקפות פרוקסי בשרשרת האספקה.

בועז דולב, מייסד ומנכ"ל קלירסקיי. צילום: ניב קנטור

"איראן היא 'התוקף במסיכה' ולא מזהים אותה ככזו" 

לפי חוקרי קלירסקיי (ClearSky) הישראלית, בשנה החולפת חלה ירידה חדה בכמות המתקפות על יעדים בישראל, ובתחילת 2023, המתקפות נפסקו בבת אחת. אלא שבתחילת פברואר החוקרים הבחינו ב"גל חסר תקדים של מתקפות כופרה על חברות ישראליות".

לדברי בועז דולב, מייסד ומנכ"ל קלירסקיי, "אחד ההסברים לתופעה נעוץ במלחמת רוסיה-אוקראינה: כנופיות התקיפה הרוסיות, ש'גויסו' למילואים בשירות הקרמלין במהלך 2022, 'שוחררו', ושבו לפעול בזירה ה'טבעית' שלהן – פשע מקוון. במקביל, האיראנים הבינו כי הם יכולים לנצל כנופיות פשע רוסיות אלו, ולצרוך מתקפות ב'מיקור חוץ', CaaS (ר"ת Cybercrime as a Service).

נראה כי האיראנים, לפחות בחלק מהמקרים, עשו ועושים שימוש במודל ובכלים אלה על מנת לתקוף את ישראל. כיוון שהמתקפות נעשות על ידי צד שלישי, רוסים והאקרים אחרים – איראן היא 'התוקף במסיכה' ולא מזהים אותה ככזו".

דולב ציין כי "ההאקרים האיראניים חוו התקדמות טכנולוגית משמעותית ביכולות התקיפה שלהם, וכיום, יותר מאשר אי פעם, יש להם פוטנציאל לפרוץ ולשלוט על רחפנים בישראל ובארה"ב. איראן מרחיבה את היכולות שלה בכל תת-תחום בסייבר".

בעבר אמרה סנז ישר, שהייתה חוקרת ראשית בצוות המחקר ומודיעין האיומים של פייראיי (FireEye), כי "בשנים האחרונות מערך הסייבר האיראני צמח והתפתח – הן בהיקף המתקפות והן בעצימותן. לאיראן יש אתגרים רבים, בראשם הכלכלה המקרטעת בגלל העיצומים של המערב, ואיום ביטחוני, אמיתי ומדומה, מצד מדינות המפרץ הסוניות, ארה"ב וישראל. מערך הסייבר האיראני תומך באופן ישיר בהתמודדות עם האתגרים. בארסנל הסייבר האיראני יש תשתית וכלי ריגול, המשמשים לאיסוף מידע ובניית התרעות אמת לדרג המדיני, לצד תשתיות שתומכות במלחמה פסיכולוגית-תודעתית לשינוי דעת קהל. בנוסף, יש היבט מסוכן יותר – מתקפות סייבר לחבלה ולשיבוש מהלך החיים התקין במדינות. ממד חדש שמתפתח ותופס תאוצה הוא החיבור לפשעי סייבר כלכליים. איראן בהחלט עונה להגדרה של מעצמת סייבר".

התחזקות ברורה לאורך השנים

בדצמבר האחרון דיווחו חוקרי דיפ אינסטינקט (Deep Instinct) הישראלית, על שורת מתקפות שהאקרים איראניים ביצעו. קורבנות הקמפיין, מסוג דיוג חנית (Spear phishing), היו בכמה מארצות ערב ובמדינות באסיה, ובישראל. את הקמפיין ערכה קבוצת ההאקרים האיראנית Boggy Serpens (נחשי ביצה), שידועה גם בכינויים MuddyWater – אותה קבוצה שככל הנראה ביצעה את מתקפת הכופרה על הטכניון, כפי שנחשף היום (ג') – וכן בשמות TEMP.ZAGROS, Seedworm, חתלתול סטטי, מרקורי ו-Cobalt Ulster.

בדצמבר 2021 פרסמה סימנטק (Symantec) כי האקרים איראניים תקפו שורה של מפעילות טלקום וחברות המספקות שירותי IT במזרח התיכון ובאסיה – כולל בישראל – במשך חודשים.

עד 2017, ההאקרים האיראנים כתבו סקריפטים פשוטים וביצעו מתקפות פישינג קלות לזיהוי וחסימה. אז הם נתפסו פעמים רבות על ידי חוקרי אבטחה, והבינו שעליהם להשתפר. כמו כן, ב-2019 הם הבינו שהנוזקה העיקרית שלהם לא באמת עובדת – אז הם כתבו כלי חדש, בשפת פיתוח אחרת. ב-2018 הם התחזו לסינים ושנה לאחר מכן הוסיפו הצפנה לכלי התקיפה שלהם.

בשנתיים האחרונות, ציינו חוקרים, משקיעים האיראנים שלוחי המשטר בטהרן יותר מאמצים באיך לא להתגלות. הם עברו ממתקפות רחבות היקף לפגיעה ביעדים איכותיים ונקודתיים.

דולב סיכם בציינו כי "הגענו לשלב מכריע בעימות בסייבר מול איראן, וייתכן כי נגיע השנה אף לעימות בממד הפיזי, ובכל מקרה ההסלמה תבוא לידי ביטוי במרחב הסייבר. היקף המתקפות מצד איראן יגדל, ויש להניח כי גם חברות שלא נפגעו בעבר – יש סבירות מסויימת שהן תיפגענה השנה".