הפרסום האחרון של חברת מטא בדבר גילויים של חשבונות מזויפים נוספים, שהופעלו על-ידי המשטר האיראני במטרה להפיק "פייק ניוז" – לא צריך להפתיע איש. בשנים האחרונות וביתר שאת בשנה האחרונה, נדמה שאיראן עברה לשלב התקפות אגרסיביות במרחב הקיברנטי לצרכים מגוונים (איסוף מידע, פגיעה בתשתיות קריטיות, איסוף מודיעין לקראת ביצוע פעילות טרור, השפעה על השיח ברשתות החברתיות ועוד).

גילוי החשבונות המזויפים שהפעיל המשטר האיראני כדי להפיק פייק ניוז – לא צריך להפתיע. בשנים האחרונות, וביתר שאת השנה, איראן עברה לשלב התקפות אגרסיביות במרחב הקיברנטי

הרשמו עכשיו לניוזלטר היומי

למעשה נשק הסייבר משתלב היטב בחשיבה הבטחונית האיראנית. איראן, אשר חוששת מאוד ממלחמה גלויה על אדמתה, מחפשת כלים אשר יאפשרו לה להגשים את אינטרסיה הבטחוניים והמדיניים אבל מבלי לשלם עליהם מחיר (מתחת לרף ההסלמה).

זו הסיבה שאיראן בנתה את מערך השלוחים שלה, וזו גם הסיבה שאיראן הבינה מהר את היתרונות הגלומים בשימוש בכלי סייבר. אלו יכולים לאפשר לאיראן להשאר מתחת לרדאר, לא לשלם שום מחיר על פעולותיה ומנגד להשיג הישגים כבירים בעלות נמוכה באופן יחסי. יתרה מכך, איראן מבינה שכחלק מרצונה להיות מעצמה עולמית, כזו שמשתווה גם לארצות הברית ביכולותיה הטכנולוגיות, היא חייבת להיות בקדמת הבמה של טכנולוגיה זו.

ניתוח התנהלותה של איראן בממד הסייבר מגלה כי "המעבר להתקפה" בהתנהלות האיראנית, הינו תולדה של שנים בהן ידה של איראן בתחום זה הייתה על התחתונה, והיא בעיקר התבססה על יכולות ההגנה שלה, ועל תקיפות בעיקר לצרכי מודיעין והפחדה. ניתן לחלק את אבולוצית הסייבר באיראן לשלושה שלבים מרכזיים:

1. שלב ההפתעה (2009-2011) – תקיפות נקודתיות ובניית יכולת הגנה

נקודת המפתח בכל הנוגע להתנהלות איראן בממד הסייבר, נוגעת לתקיפה שהיא חוותה באמצעות תולעת הסטוקסנט, שפגעה בצנטריפוגות המותקנות במתקן ההעשרה בנתנז בעשור הקודם. אירוע זה היווה קריאת השכמה עבור איראן. שגילתה עד כמה היא חשופה לפגיעות בממד הסייבר, והאירוע גם חידד להנהגתה את הפוטנציאל הגלום בעולם זה.

תולעת הסטוקסנט, שפגעה בצנטריפוגות בנתנז בעשור הקודם, היתה קריאת השכמה לאיראן. איראן גילתה עד כמה היא חשופה לפגיעות בממד הסייבר, והתחדד להנהגתה הפוטנציאל הגלום בעולם זה

עד לאותה נקודה, מירב ההתעסקות של איראן במרחב הסיבר הייתה מופנית לעבר האופוזיציה האיראנית, בדגש על זו שממוקמת באיראן. זאת במטרה לאסוף מודיעין אודות פעילותיהם של אותם גורמים. איראן חששה מאוד מהאפשרות שגורמי "המהפכה הירוקה" ישתלטו על המדינה, ולכן פעלה גם בממד הסייבר כדי למנוע אפשרות זו. התקיפות האיראניות היו פשוטות באופן יחסי והתבססו של מניעת שירות (DDOS) וגניבת זהויות.

Stuxnet, the worm that targeted Iran's nuclear facilities, was created by US and Israel #5yrsago https://t.co/nEhueNsvoP pic.twitter.com/8bstxRkVi1

— Cory Doctorow (@doctorow) May 30, 2017

המהלך הראשון שאיראן ביצעה היה ארגוני – הקמתה של מפקדת הגנת הסייבר בשנת 2010, שפועלת תחת "הארגון להגנה פסיבית". מטרתו המרכזית הייתה לארגן את ההגנה בממד הסייבר בקרב הגופים השונים שעסקו בנושא באיראן, במטרה להקטין ככל הניתן את הנזקים מתקיפות סייבר עתידיות. במקביל, החל "צבא הסייבר" האיראני להתמחות בתקיפות נקודתיות למטרות מודיעיניות נקודתיות.

2. שלב הבניה – (2012-2018) חיזוק יכולות הגנה ויצירת כלים התקפיים

בשנים שלאחר מכן השקיעה איראן בבניין יכולותיה ההתקפיות. למעשה אלו התבססו על כלים שנמצאים ברשת, בעיקר בשימוש פושעים, אשר איראן לקחה ושדרגה אותם לצרכיה. בנוסף, לא ניתן להוציא מכלל אפשרות את העובדה שאיראן, כמו שהיא עשתה הנדסה לאחור לכלי הנשק שהיא הצליחה לשים את ידיה עליהם באירועים שונים ובכך לייצרם מחדש – השתמשה ולמדה מהחיכוך עם תוקפיה אילו יכולות הם מפעילים וניסתה לחקותם בהתאם.

בשנים לאחר מכן השקיעה איראן בבניין יכולותיה ההתקפיות. אלו התבססו על כלים שנמצאים ברשת, בעיקר בשימוש פושעים, אשר איראן לקחה ושדרגה אותם לצרכיה

נקודה נוספת שאיראן השקיעה בה נוגעת ליכולת לייצר שיתופי פעולה עם מעצמות זרות, בעיקר בתחום ההגנתי, כדי לשדרג משמעותית את יכולותיה שלה. כמו במקרה של תוכנית הגרעין שלה, איראן מעדיפה להשתמש בכוח אדם מקומי ובידע מקומי בלבד, אולם במקומות שהיא מרגישה שאין לה יכולת שכזו, היא מסתייעת באופן נקודתי בידע של אחרים, אותו היא מנסה לאחר מכן לשכפל בכוחות עצמה. במסגרת זו פעלה איראן לחתום על הסכם עם רוסיה בתחום הסייבר בשנת 2015, ועם סין (במסגרת הברית האסטרטגית בין המדינות).

#Iran, #Russia agree on #cyber–#defense cooperation: Officialhttp://t.co/8Knya7sv7y#CyberSecurity pic.twitter.com/aDtziDVZW4

— Iran (@Iran) June 13, 2015

ההתנסות הראשונה של איראן במעבר מהגנה להתקפה על חברות ותשתיות מחוץ לגבולותיה באופן רחב התקיימה בשנת 2012, באמצעות נוזקה בשם "מאדי" שאיראן השתמשה בה בעיקר למטרות מודיעיניות, בדגש על גניבת מסמכים רגישים מאישים שונים, כולל במזרח התיכון.

באותה שנה עברה איראן לפעולה אקטיבית יותר באמצעות נוזקה נוספת בשם "שאמון" שהאקרים איראנים פיתחו (כאמור בהתבסס כנראה על כלים שהיו נפוצים ברשת וייתכן שגם כלקח מתקיפת סטוקסנט).

באמצעות אותה נוזקה תקפה איראן את חברת הנפט הסעודית "ארמקו". במסגרת תקיפה זו, מחקה איראן מידע מ-35 אלף מחשבים סעודים, גנבה ססמאות ומנעה את פעולותיהם של מחשבים נוספים ברשת של "ארמקו".  תקיפה זו גרמה נזק כלכלי כבד לחברת הנפט הסעודית וחידדה את הסכנה הגלומה במתקפות סייבר מאיראן. איראן ניסתה ככל הנראה לתקוף שוב את התשתיות הסעודיות בשנת 2017 באצעות אותה נוזקה אבל הפעם היא נכשלה בכך.

באמצעות הנוזקה תקפה איראן את חברת הנפט הסעודית "ארמקו" ומחקה מידע מ-35 אלף מחשבים סעודים, גנבה ססמאות ומנעה את פעולות מחשבים נוספים ברשת "ארמקו"

במקביל המשיכה איראן לסבול מתקיפות סייבר ספורדיות, כמו ההתקפה על חברת הספנות IRISL שבוצעה בשנת 2011, ונסיונות שונים לתקיפת אתריה הגרעיניים, אך אלו לא הסבו נזק בדומה לתקיפה של סטוקסנט.

3. שלב ההבשלה – (2019 – ?) מיקסום יכולות התקפיות וביסוס יכולות הגנתיות

החל משנים אלו, מתבלט המאמץ הארגוני, המשולב והמתואם של איראן להשתמש בכלי הסייבר שהיא פיתחה, במתודולוגית הסייבר שהיא הטמיעה ובעיקר ביכולות הגבוהות שמומחיה השכילו לרכוש במהלך השנים, במטרה להשיג מטרות שונות ומגוונות באמצעות שימוש במרחב הקיברנטי.

אם בעבר המאמצים היו ספורדים ופשוטים באופן יחסי, איראן היום פועלת באופן מתואם כדי להגשים מטרות אלו. במהלך שנים אלו, וביתר שאת בשנים האחרונות, מתפתחת "מלחמת סייבר" של ממש בין ישראל לאיראן ואיראן מנצלת את מגוון יכולותיה כדי לבנות "מאזן הרתעה" בסייבר וככזה היא מגיבה לכל פעולה ישראלית בראייתה.

1

פגיעה באתרי תשתית – במסגרת זו, פרצו האיראנים לתוכנות שמפעילות את משאבות המים בישראל לאחר שעברו בשרתים אמריקניים ואירופיים כדי להסתיר את מקור הקוד. פעולה זו היתה עלולה הייתה להוביל להשבתת המשאבות לאחר גילוי החריגה הכימית, דבר שעלול היה להותיר אלפי אזרחים בישראל ללא מים בברזים, ואף לגרום למחלה בשל רמות הכלור הגבוהות שהיו עלולות להגרם בעקבות התקיפה. במסגרת ההתפתחות הטכנולוגית של איראן בעולם הסייבר, איראן המשיכה וממשיכה לכוון לתקיפות סייבר כנגד מתקני הגז בסעודיה ובחריין, תוך שימוש בנוזקות מתקדמות.

פריצת האיראנים לתוכנות הפעלת משאבות המים בישראל הייתה עלולה להוביל להשבתתן לאחר גילוי החריגה הכימית, מה שהיה מותיר אלפי אזרחים בישראל ללא מים בברזים, ואף לגרום למחלה בשל רמות הכלור הגבוהות

2

הפחדה והשפעה פסיכולוגית – במסגרת המערכה התודעתית בין ישראל ואיראן, פרצה איראן מספר פעמים לאתרי חדשות מובילים בישראל בנסיון להלך אימים על תושבי מדינת ישראל באמצעות זריעת מסרים באתרים אלו. המיוחד בתקיפה זו שהיא התקיימה שנתיים לאחר חיסולו של קאסם סולימאני, כעוד אמצעי איראני לציין תאריך זה.

Israel's Jerusalem Post website hacked on Soleimani assassination anniversary https://t.co/AK1nszcZ41

— Reuters Iran (@ReutersIran) January 3, 2022

3

העברת מסרים פוליטיים – במסגרת המערכה בסייבר פועלת איראן ללא לאות במטרה להשתמש ברשתות החברתיות ככלי להפצת תעמולה שלה. כדי לבצע זאת בונה איראן חשבונות מזוייפים, גונבת חשבונות, בונה עמודים פיקטיביים ברשתות החברתיות, הכל במטרה להסוות את העובדה שמאחורי הפצת התעמולה הזו עומדים איראנים.

4

השפעה על תהליך בחירות – במסגרת הבחירות לנשיאות בארצות הברית בשנת 2020, מצביעים במספר מדינות, כולל אלסקה ופלורידה, קיבלו הודעות דואר אלקטרוני לכאורה מקבוצת הימין הקיצוני האמריקאי "הנערים הגאים", אשר מאחוריהן עמדה איראן. בהודעות האלו איימה לכאורה על מצביעים שלא להצביע לנשיא טראמפ. המיילים אפילו הכילו מידע אישי, כולל כתובות הבית של חלק מהנמענים, המעיד על כך שהשולחים השיגו נתוני רישום בוחרים אמריקאים.

בבחירות לנשיאות ארה"ב ב-2020, מצביעים במספר מדינות, כולל אלסקה ופלורידה, קיבלו הודעות אימייל, לכאורה מקבוצת הימין הקיצוני האמריקאי "הנערים הגאים", שמאחוריהן עמדה איראן

5

השגת מידע בטחוני – איראן מכוונת את תקיפותיה לתעשיות בטחוניות שונות להשגת מידע בטחוני רגיש, ואף מנסה לפעול אל מול גורמים בכירים בתעשיות הבטחוניות בישראל כדי לחלץ מהם מידע בשיטוי או כדי "למשוך" אותם לפגישות מחוץ לישראל לצרכים שונים.

6

תקיפות של "פריצה והדלפה" – במסגרת מאמציה להשיג מידע מודיעיני רגיש ופרטים על בכירים, בוודאי ישראלים, מנסה איראן לפרוץ למאגרי מידע ממשלתיים ופרטיים כמו חברות ביטוח, במטרה להשיג מידע זה. לאחרונה איראן החלה בהדלפת פרטים ממאגרים אלו, במטרה לסחוט כספים מאותם חברות ("תקיפות כופרה") אבל גם לנצל את המידע בהיבטי תודעה (לדוגמא, הדלפת שמות מאתר "אטרף" המזוהה עם הקהילה הגאה).

7

גניבה של קניין רוחני – המאמצים של איראן בתחום זה הפכו להיות מורכבים יותר ויותר ככל שטהראן בנתה את יכולות הסייבר שלה בעשור האחרון, ואלו משתמשים ביכולות אלו כדי לגנוב פטנטים וכל מה שיכול להועיל לאיראן צבאית וכלכלית.

8

בניית בנק מטרות – לצד הפעילות השוטפת בתחום הסייבר, איראן פועלת במטרה לבנות "בנק מטרות" אפשרי, הכולל תשתיות אזרחיות ובטחוניות במדינות רלוונטיות, כדי שניתן יהיה לפגוע בעת הסלמה באותם אתרים רגישים.

משמעויות

• איראן לא פועלת באופן ספורדי במרחב הסייבר, אלא מנהלת מערכה של ממש בה היא מפעילה כלים שונים ומגוונים למטרות שונות ומגוונות. איראן שמה לעצמה למטרה להפוך למעצמה בתחום הסייבר, ומשקיעה משאבים רבים לשם כך.
• לצד ההתקדמות האיראנית בתחום ההתקפי, נראה כי איראן גם מתקדמת בהגנה על תשתיותיה הקריטיות, בוודאי אלו הגרעיניות. הגם שכך, איראן עדיין חשופה לתקיפות סייבר משמעותיות, כמו זו כנגד תחנות הדלק באיראן, או בוודאי כנגד הנמל הימי בבנדר עבאס. כלומר איראן (כמעט כמו כל מדינה אחרת), עדיין פגיעה בחלק מהאתרים אבל נראה כי היא התקדמה משמעותית בתחום ההגנתי.
• חשוב לציין כי בניגוד מוחלט לעולם "הקינטי", במרחב הקיברנטי אין כללי משחק. מדובר בתחום פרוץ מאוד שבו איראן יכולה לתקוף את מקורות המים של ישראל, דבר שהיא לא היתה מעזה לעשות באמצעים קינטיים "רגילים". עובדה זו מגבירה את הסבירות למיסקלקולציה של שימוש בכלי הסייבר, בעיקר במקרה של פגיעה קשה במתקן תשתיתי. לאור זאת, הגבולות הפרוצים בממד הסייבר עלולים לדרדר את הצדדים למערכה שתצא מהר מאוד מממד הסייבר. ההגנות החלשות של הצדדים לצד יכולות התקפיות מרשימות יותר(ישראל) ומתפתחות(איראן)עלולים להוביל לנזק שיחייב את הצד שכנגד להגיב בצורה קשה. השאלה המרכזית היא עד מתי המערכה בסייבר תשאר בממד זה ולא תעבור למרחב הקינטי?
• ועדיין, נראה שרוב התקיפות האיראניות ממוקדות בעיקר למגזר הפרטי, תוך הפעלת כלים ומתודולוגיות פשוטות באופן יחסי (גניבת זהויות, שימוש בכלי הנדסה חברתית). יחד עם זאת, עקומת הלמידה האיראנית השתפרה מאוד וזו "סוגרת פערים" מול המעצמות העולמיות בתחום הסייבר.

במרחב הקיברנטי אין כללי משחק. זהו תחום פרוץ שבו איראן יכולה לתקוף את מקורות המים של ישראל, דבר שהיא לא היתה מעזה לעשות באמצעים קינטיים רגילים

בשורה התחתונה

איראן אימצה את תחום הסייבר ומחזקת מאוד את מאמציה בתחום, כחלק מ"סל כלים" נרחב שהיא מפתחת מול אויביה. אם בעבר איראן השקיעה רבות בפיתוח יכולות הגנתיות על תשתיותיה הקריטיות, בעשור האחרון היא מפתחת יכולות התקפיות מגוונות שמשרתות אותה למספר רב של מטרות. מהבחינה הזו, גם בתחום הסייבר השד יצא מהבקבוק. על כן נכון לחשוב כיצד ניתן לבנות מאזן הרתעה גם בסייבר, אשר ירתיע את איראן מלהשתמש בסל יכולותיה ולהציב את הנושא הזה במרכז המאבק אל מול טהראן.

דני (דניס) סיטרינוביץ, שירת כ-25 שנים באגף המודיעין במגוון תפקידי פיקוד ביחידות האיסוף והמחקר של אמ"ן וכיום עמית מחקר במכון למחקרי בטחון לאומי (INSS).