אילוסטרציה: מתקפת סייבר של איראן (צילום: Hakan Gider / Alamy Stock Photo)
Hakan Gider / Alamy Stock Photo

איראן הגבירה את מתקפות הסייבר על ישראל מאז 7 באוקטובר

בשנה האחרונה הרפובליקה האסלאמית קבעה רף חדש לאסטרטגיית הסייבר שלה, המשתרעת הרבה מעבר לשדה הקרב – וכוללת גם מבצעי השפעה ואיסוף מודיעין ● מאז 7 באוקטובר האקרים איראנים וקבוצות המזוהות עם המשטר הסלימו את מתקפות הסייבר על תשתיות הממשלה והמגזר הפרטי בישראל

מאז מתקפת הפתע של חמאס ב־7 באוקטובר חל זינוק במתקפות הסייבר של איראן על ישראל. אנליסטים של אבטחת סייבר מזהירים כי הפגיעות הדיגיטליות הללו יימשכו בלי קשר לכל הפסקת אש או דה אסקלציה ברצועת עזה.

במקביל, בעוד שהמשא והמתן בין ישראל לחמאס תקוע, האקרים איראנים הנתמכים על ידי המשטר משפרים את יכולותיהם, במה שהמומחים מזהירים שעלול להפוך למלחמת סייבר בלתי פוסקת. למרות המאמצים לרסן את להבות המלחמה, מומחים אומרים לזמן ישראל כי הרגעת מעשי האיבה, כאמור, לא תפסיק את המלחמה הדיגיטלית בין שתי המדינות.

"אני לא חושב [שאיראן] תהיה מרוצה מישראל גם במקרה של הפסקת אש או שיפור כלשהו במצב" בעזה, אמר בן ריד, ראש מחלקת ניתוח ריגול סייבר בחברת מנדיאנט (Mandiant), חברת אבטחת סייבר בבעלות גוגל.

לדברי ג'ון פוקר, יכולות הסייבר של איראן הפכו לרכיב מרכזי באסטרטגיה הכוללת שלה להגן על האינטרסים הלאומיים, להרתיע את המודיעין המערבי ולהתמקד בריגול

לדברי ג'ון פוקר, ראש מחלקת מודיעין איומים בחברת האבטחה טרליקס (Trellix), יכולות הסייבר של איראן הפכו לרכיב מרכזי באסטרטגיה הכוללת שלה להגן על האינטרסים הלאומיים, להרתיע את המודיעין המערבי ולהתמקד בריגול. תחת החסות של יחידת הכוחות המזוינים ומשרד ממשלתי, איראן מרחיבה בעקביות את תוכניות הסייבר ההתקפיות שלה, הוא ציין.

מאז טבח 7 באוקטובר האקרים איראנים וקבוצות פשע סייבר המזוהות עם משטר עלי חמינאי הסלימו את מתקפות הסייבר על תשתיות הממשלה והמגזר הפרטי בישראל. בתגובה, האקרים החשודים כי הם מזוהים עם ישראל פתחו במתקפות סייבר משלהם, כשהם מכוונים לתשתיות קריטיות באיראן, כולל תחנות דלק.

ג'ון פוקר, ראש מחלקת מודיעין איומים בחברת האבטחה טרליקס (צילום: באדיבות המצולם)
ג'ון פוקר, ראש מחלקת מודיעין איומים בחברת האבטחה טרליקס (צילום: באדיבות המצולם)

יכולות הסייבר של איראן מתפתחות מזה זמן רב. בשנת 2012, וירוס "שמון" שיתק 30 אלף מחשבים של חברת הנפט עראמקו הסעודית, באחת המתקפות הידועות ביותר של איראן. לאחרונה, בשנת 2020, האקרים איראניים כיוונו את מתקפותיהם לחברת התרופות "גיליאד" בניסיון לגנוב מחקרים על חיסוני קורונה.

בשנת 2019 מפעילי הסייבר של המשטר ביצעו גל של מתקפות על ערים ושדות תעופה בארה"ב – והדגישו את יכולת המשטר לשבש תשתיות קריטיות, ציין פוקר. "המקרים הללו משקפים את ההתקדמות המהירה של יכולות הסייבר של איראן, מה שהופך אותה לאיום משמעותי", אמר פוקר לזמן ישראל.

לדברי ג'יימס שיירס, השחקנים הממומנים על ידי המדינה האיראנית מגבירים תעמולה, מפיצים דיסאינפורמציה ומניפולציות על נרטיבים ברשתות החברתיות כחלק מאסטרטגיית הסייבר הרחבה שלהם

כעת, בעיצומה של המלחמה, האקרים איראנים מכוונים לנכסים ישראליים באופן אגרסיבי יותר. בנובמבר, קבוצת האקרים איראנית בשם "Cyber Av3ngers" נשאה באחריות על חדירה לציוד תעשייתי לטיפול במים בארה"ב. טהרן נמצאת שוב במוקד תשומת הלב העולמית לאחר שהקהילה המודיעינית בארה"ב הודיעה כי האקרים איראנים כיוונו למערכת הבחירות של דונלד טראמפ וקמלה האריס.

ג'יימס שיירס, מומחה לטכנולוגיה ועניינים גלובליים ומנהל משותף של יוזמת המחקר האירופית לסכסוכי סייבר (צילום: באדיבות המצולם)
ג'יימס שיירס, מנהל משותף של יוזמת המחקר האירופית לסכסוכי סייבר (צילום: באדיבות המצולם)

ג'יימס שיירס, מומחה לטכנולוגיה ועניינים גלובליים ומנהל משותף של יוזמת המחקר האירופית לסכסוכי סייבר, אמר כי חלק ניכר מהמאמצים של טהרן מתמקדים במבצעי השפעה. השחקנים הממומנים על ידי המדינה האיראנית מגבירים תעמולה, מפיצים דיסאינפורמציה ומניפולציות על נרטיבים ברשתות החברתיות כחלק מאסטרטגיית הסייבר הרחבה שלהם, אמר שיירס.

המלחמה עצמה מבוססת רבות על תפיסות ודימויים, אמר שיירס, כשהוא מדגיש את החשיבות של קרבות התודעה המקוונים בסכסוכים מודרניים. זהו משחק של שני צדדים. ישראל ניהלה קמפיין השפעה חשאי משלה, כשהיא מכוונת למחוקקים בארה"ב, כך לפי דיווח שפורסם בניו יורק טיימס ביוני, שציטט גורמים המעורבים במבצע ומסמכים הקשורים אליו.

"כל דבר שיכול לשנות את התפיסה הוא בעל ערך עצום לשני הצדדים", אמר שיירס לזמן ישראל. מומחי הסייבר האיראנים גם מאמצים כלים מבוססי בינה מלאכותית להפצת דיסאינפורמציה. אחד מהקמפיינים החשאיים המונעים על ידי AI יצר אתרי חדשות מזויפים בניסיון להשפיע על בוחרים אמריקאים, אם כי לפי OpenAI, המאמץ לא השיג מעורבות משמעותית.

אחד מהקמפיינים החשאיים המונעים על ידי AI יצר אתרי חדשות מזויפים בניסיון להשפיע על בוחרים אמריקאים, אם כי לפי OpenAI, המאמץ לא השיג מעורבות משמעותית

לפי ריד ממנדיאנט, שלושה גופים ממשלתיים מקושרים מובילים את מאמצי הסייבר של טהרן. קבוצות איום מתמיד מתקדם (APT) – APT33 , APT34 ו־APT42 – פועלות עם טקטיקות מתוחכמות. APT33 ו־APT42, לדוגמה, מקושרות למשמרות המהפכה – וממוקדות באנשי צבא ישראלים ואנשים המעורבים בקמפיינים לנשיאות ארה"ב.

בחצי השנה האחרונה, ארה"ב וישראל היוו כ־60% ממטרותיה הידועות של APT42, על פי ממצאי מודיעין של גוגל. APT34, לעומת זאת, ככל הנראה קשורה למשרד המודיעין והביטחון האיראני, והתגלתה כמי שמבצעת קמפייני ריגול נגד יעדים באפריקה ובערב הסעודית. היא גם פגעה בעבר בחברות ישראליות, כולל אתר משאבי אנוש.

מכשיר של חברת יוניטרוניקס הישראלית נפרץ בפנסילבניה, 25 בנובמבר 2023 (צילום: Municipal Water Authority of Aliquippa via AP)
מכשיר של חברת יוניטרוניקס הישראלית נפרץ בפנסילבניה, 25 בנובמבר 2023 (צילום: Municipal Water Authority of Aliquippa via AP)

למרות היכולות הטכניות של הקבוצות הללו, מומחים אומרים כי יכולות הסייבר של איראן נופלות מאלו של מעצמות כמו רוסיה וסין. עם זאת, המתקפות עדיין עלולות להיות משבשות. "ייתכן שהם לא יצליחו לשתק את מערכות החשמל של הבית הלבן", אמר ריד, "אבל אם הם רוצים לחדור לעסק בארה"ב, זה בהחלט בטווח היכולות שלהם".

ההשפעה של הסייבר האיראני חורגת מגבולותיה עם קבוצות פרוקסי כמו חזבאללה, שמשתתפות גם הן במתקפות הסייבר. בנובמבר, האקרים הקשורים לחזבאללה פרצו למרכז הרפואי זיו בצפת. במקביל, קבוצות חות'יות הנתמכות על ידי איראן בתימן הפיצו רוגלות בטלפונים נגד מטרות במזרח התיכון, כולל ערב הסעודית, מצרים וטורקיה, לפי חברת אבטחת המובייל Lookout.

למרות היכולות הטכניות של הקבוצות הללו, מומחים אומרים כי יכולות הסייבר של איראן נופלות מאלו של מעצמות כמו רוסיה וסין. עם זאת, המתקפות עדיין עלולות להיות משבשות

הפסקת אש או כל שינוי במלחמה לא יאטו את קצב בניית הכוח של איראן בסייבר, אומר שיירס, תוך הדגשת האיום המתמשך שאיראן מציבה במרחב הדיגיטלי. אולם, הוא הדגיש שאם לא יושג פתרון דיפלומטי חיובי בקרוב, מתקפת סייבר מוטעית מצד אחד הצדדים עלולה להסלים את המתיחות עוד יותר.

"זה עלול מהר מאוד להתפתח להסלמה הדדית, שבה כל צד מנסה לכייל בזהירות רבה את התגובה ההולמת והפרופורציונלית, תוך ניסיון לא לחרוג מדי", הוא אומר. הלקח של איראן לאחר 7 באוקטובר ברור: מרחב הסייבר אינו רק שדה קרב למלחמה, אלא אמצעי עוצמתי למבצעי השפעה ואיסוף מודיעין – והוא רק מתחיל.

קציני סייבר מהצבא האמריקאי והישראלי בתרגיל במרכז הסייבר של ג'ורג'יה, דצמבר 2022 (צילום: דובר צה"ל)
קצינים מתחום הסייבר בצבא האמריקאי והישראלי בתרגיל במרכז הסייבר של ג'ורג'יה, דצמבר 2022 (צילום: דובר צה"ל)

"נראה שתחום הסייבר מאפשר לאיראן להשפיע על ישראל ולהראות שהיא משפיעה על ישראל, בלי לגרום להסלמה משמעותית," אמר ריד. "אני לא רואה שזה ישתנה".

עוד 888 מילים
סגירה