אבטחת הסייבר משחקת תפקיד קריטי בגיאופוליטיקה - במיוחד בזמני מלחמה. כך נפתח הדוח המסכם של המחקר החדש של מנדיאנט, חברת מודיעין הסייבר של גוגל, בשיתוף TAG, קבוצת ניתוח האיומים של החברה. הדוח החדש המכונה "Tool of First Resort: Israel-Hamas War in Cyber" ושעיקריו מתפרסמים היום (ד') מצא שלא מעט מבצעי סייבר של איראן אינם קשורים באופן ישיר לפעולות חמאס, בעיקר במהלך המלחמה. למעשה, ממצאי הדוח מראים בדיוק את ההיפך, "המתקפה של חמאס לא שינתה מהותית את האסטרטגיה של טהרן, אך לאחר המתקפה ראינו מאמץ ממוקד יותר, שהתרכז בחתירה תחת התמיכה הציבורית במלחמה", כך לפי מחבריו. מדובר בממצאים מעניינים, שכן הם עומדים בסתירה לממצאים שפורסמו בדוח של מיקרוסופט מלפני כשבועיים, שמצא כי ישנה דווקא התייצבות של איראן לצד חמאס. עם זאת, בשתי החברות הסכימו שלא נמצאה הוכחה לתיאום בין איראן לחמאס ביום הטבח.
סייבר הוא אם כן בעיקר אמצעי השפעה על התודעה עבור יחידות הסייבר האיראניות. אבל אין ספק שהפעילות האיראנית שתוקפת מטרות תשתית, עסקים או ארגונים בישראל אגרסיבית מאוד. למעשה, היקף הפעילות הזו נמצא כל הזמן בעלייה. עם זאת, מבחינת איכות התקיפות, רובן לא מגיעות לרמה כזו שניתן להתייחס אליהן כאל איום אסטרטגי אם בכלל. מנגד, פעילות סייבר נגד איראן מתקיימת ובאמצעים הרבה יותר מתוחכמים. כותבי הדוח ציינו לדוגמה במהלך שיחת ועידה בהשתתפות ynet, את התקיפה שהשביתה חלק ניכר מתחנות הדלק בטהרן וערים גדולות נוספות.
חוקרי החברה סירבו להתייחס לייחוס מקור התקיפה על מערך התדלוק האיראני והסבירו שאין להם די ממצאים כדי להסכים עם הטענה האיראנית שמדובר בפעולה ישראלית, אך ציינו שקבוצת Predatory Sparrow או הדרור הטורף, שלקחה אחריות עליה, משתמשת בכלים מתוחכמים ביותר. "אלה לא כלים שאפשר למצוא בידי האקרים רגילים", ציינו החוקרים. עד כה, אף גורם רשמי לא לקח אחריות על התקיפה, וכך גם לא נחשף מי ביצע אותה ולאיזו מטרה, אך השערות שונות העלו שאופי התקיפה, העיתוי שלה וכן מספר מאפיינים נוספים דומים מאוד לפעולות סייבר שיוחסו בעבר לישראל או גורמים הפועלים לשמור על האינטרסים שלה.
ריפרש
המלחמה על ההייטק / עם ליעד אגמון
47:31
החוקרים מנו מספר ממצאים בפעילות הסייבר של איראן: ראשית, האסטרטגיה שמפעילה את המבצעים של טהרן לא השתנתה באופן מהותי מאז 7 באוקטובר. אומנם נצפה מאמץ ממוקד יותר בניסיון לחתור תחת התמיכה הציבורית במלחמה אך הוא הופעל בעיקר על ידי יחידות "פרוקסי" כגון ארגונים פרו-פלסטיניים, יחידות סייבר של חיזבאללה ומיליציות פרו-איראניות נוספות. מנגד, תקיפות נגד ארגונים ישראלים לא פסקו ואף הפכו ליותר אלימות לדוגמה הניסיונות לפגוע בבתי חולים (חלקם אף הצליחו כמו למשל בבית החולים זיו - ר.ק) או בתשתיות קריטיות של חברת חשמל ומקורות.
עם זאת, הפריצות האלו שבהן התהדרו קבוצות סייבר כגון Cyber Avengers המזוהה עם איראן, התבררו לרוב כהגזמה גדולה שלא לומר הונאה. כך למשל, מסמכים שהועלו על ידי הקבוצה כ"הוכחה" להצלחתם התבררו מהר מאוד כאחיזת עיניים ושהמקור שלהם מגיע בעיקר ממקורות גלויים ולא מוגנים כלל. כלומר, אין כאן באמת הצלחה מבצעית. רוב הטענות על הצלחת תקיפות סייבר נגד מטרות תשתית בישראל או בארה"ב "התבררו כמוגזמות לגמרי". החוקרים ציינו עוד שפעולות לוחמת מידע (IO) "נועדו לפגוע במוראל של אזרחי ישראל ובאמון בארגונים קריטיים, ולהסיט את דעת הקהל העולמית נגד ישראל". במילים אחרות, מדובר על שימוש בסייבר כחלק ממלחמת תודעה ופחות כאמצעי לחימה.
3 צפייה בגלריה
דיפ פייק איראני של שדרן טלוויזיה שמדווח על "הצלחת" המתקפה של חמאס
(צילום מסך: מיקרוסופט)
עם זאת, הסייבר האיראני כן עשה שימוש ביכולות שלו כדי לנהל קמפיינים של פישינג שכוונו למשתמשים בישראל ובארה"ב, "במטרה לאסוף מודיעין על מקבלי החלטות מרכזיים". לא ברור עד כמה הקמפיינים האלו היו מוצלחים. מה שכן, היו שני קמפיינים עיקריים שמהלכם התקיפות האלו נעשו ביתר אגרסיביות ובכמות גדולה - בין ינואר למרץ שנה שעברה וכן בין מאי ליוני. הזינוק העיקרי בהיקפים של ניסיונות הפישינג אירע בעיקר במרץ 2023 על ידי קבוצת APT 42 המיוחסת לממשלה האיראנית ולמשמרות המהפכה. העיתוי מעניין כי על פי דיווחים שונים תקיפת חמאס תוכננה במקור לאפריל שעבר, כך שהקמפיין הזה ספציפית אולי נועד לסייע לחמאס או לספק מודיעין אסטרטגי. יכול מאוד להיות שהצלחתו או כישלונו של אותו קמפיין היווה חלק מהגורמים שהביאו את חמאס לא לצאת למבצע באותו תאריך.
על פי הערכות TAG, איראן אחראית על כ-80% מסך פעולות הפישינג נגד מטרות ממשלתיות או רשמיות בישראל. 10% נוספים מתבצעים בידי קבוצות פרו-פלסטיניות, 5% על ידי צפון-קוריאה, 3% על ידי סין וה-2% הנותרים בידי מדינות או גורמים אחרים. רוסיה, אגב, חסרה ברשימה הזו. אך אין זה מפתיע לגמרי. יחידות הסייבר הרוסיות מתמקדות בדגים השמנים יותר מבחינת הקרמלין: ארה"ב, אירופה וכמובן אוקראינה. אגב, על פי הערכות של גורמי מקצוע, יחידות הסייבר האיראניות פועלות בחסות יחידות הסייבר של הביון הרוסי שמשתמש בהם, כפי שהגדיר זאת בעבר מומחה סייבר אמריקאי בכיר, כ"אידיוטים שימושיים". עם זאת, החוקרים האמריקאים של גוגל מצאו גם שישנה התקרבות סינית הולכת וגוברת בפעילות האיראנית אם על ידי הכשרה, שיתוף בטכנולוגיות או סיוע במו''פ.
להערכת החוקרים, חמאס לעומת זאת ככל הנראה לא עשה שימוש כמעט בסייבר כאמצעי מקדים לתקיפה של 7 באוקטובר. מדובר בתמיכה טקטית ישירה בתקיפה ולא בקמפייני ריגול, תקיפות מניעת שירות או תודעה שכן נחשפו. כלומר, ככל הנראה חמאס לא נטרל את האמצעים המיוחדים של צה"ל בגדר באמצעות תקיפת סייבר, אלא עם אמצעים הרבה פחות מתוחכמים כגון רחפנים או פשוט חוסר המוכנות של הצבא באותו יום. "קבוצות המקושרות לחמאס עסקו בריגול סייבר בהתאם לפעילותן הרגילה, כולל: קמפיינים המוניים של פישינג שמטרתם לספק תוכנות זדוניות ולגנוב נתונים; תוכנות ריגול סלולריות, כולל דלתות אחוריות (backdoors), שהופצו באמצעות פישינג; מיקוד עקבי של ישראל, פלסטין ושכנותיהן האזוריות במזרח התיכון, כמו גם מיקוד קבוע של ארה"ב ואירופה".
3 צפייה בגלריה
האקרים לא סייעו לחמאס לפרוץ את הגדר ב-7 באוקטובר
(עיבוד תמונה. צילום: רויטרס, shutterstock)
ממצאים אלה עשויים להיתפס כהפוכים מאלה שפורסמו בעבר, אך למעשה עד כה אכן לא נראה שבחמאס הצליחו לייצר יכולות סייבר שהן מעבר לפעולות ריגול ותקיפה ממוקדות. המחקר גם ערך השוואה בין פעילות הסייבר הרוסית מול אוקראינה לבין זו של איראן וחמאס נגד ישראל. רוסיה למשל עושה שימוש נרחב בסייבר נגד מטרות אוקראיניות או מערביות. היא ליוותה את הפלישה הראשונית לאוקראינה במתקפת סייבר עוצמתית, כלומר הסייבר הולך יד ביד עם תקיפות קינטיות לפי התו"ל (תורת לחימה) הרוסית.
החוקרים ציינו למשל "שתוקפים בחסות ממשלת רוסיה ימשיכו לערוך מתקפות סייבר נגד אוקראינה והחברות בנאט"ו כדי לקדם את היעדים האסטרטגיים שלה. תוקפים בחסות רוסיה ממשיכים לתקוף מספר מוקדים באוקראינה ובאזור, כולל אנשים בכירים בעמותות, בכירי מודיעין וצבא לשעבר וממשלות של החברות בנאט"ו. בימים שהובילו למתקפת הנגד של אוקראינה ביוני 2023 ראינו גם עלייה בתדירות ובהיקף של פעולות הפישינג של APT29, כולל התגברות פעולות שממוקדות בשגרירויות זרות באוקראינה, ומאוחר יותר עלייה במתקפות הרסניות נגד ספקית התקשורת קייבסטאר וחברות נוספות. במוסקבה גם המשיכו לחבר בין מתקפות סייבר לבין פעולות של לוחמה קינטית".
החוקרים מסכמים את הדוח בהערכות לעתיד הקרוב, שדומות מאוד למה שנצפה עד כה. כמו למשל שקבוצות שמקושרות לאיראן ימשיכו לערוך מתקפות סייבר הרסניות, במיוחד לנוכח פעולות שייתפסו כהסלמת הסכסוך, כולל לוחמה קינטית נגד שלוחות איראניות במדינות שונות, כמו לבנון ותימן. או במילים אחרות, ככל שהסכסוך בין ישראל, ארה"ב ומדינות המפרץ יסלים מול איראן כך נראה יותר תקיפות סייבר אגרסיביות מצד טהרן. מהצד של חמאס, החוקרים מעריכים כי לא יהיה שינוי מהותי באופי הפעילות סייבר של חמאס. להערכתם, הפעילות תתמקד יותר "בריגול לצורך איסוף מודיעין על עניינים פנים-פלסטיניים, ישראל, ארה"ב ושחקנים אזוריים אחרים במזרח התיכון", כלומר הסיכוי שחמאס ישתמש בסייבר באופן הרסני בינתיים קטן מאוד.
