הבולשת הפדרלית של ארה"ב (FBI) הודיעה אמש (ה') על החרמתם והשבתתם של ארבעה דומיינים מרכזיים ששימשו את קבוצת ההאקרים האיראנית "חנדלה" (Handala). המהלך מגיע ימים ספורים לאחר שהקבוצה, המזוהה עם משרד המודיעין האיראני (MOIS), ביצעה את אחת ממתקפות הסייבר ההרסניות ביותר שידע המגזר האזרחי-רפואי בשנים האחרונות - פריצה לחברת המכשור הרפואי האמריקנית Stryker.
לפי הודעת משרד המשפטים האמריקאי, האתרים שהוחרמו שימשו פלטפורמות להפצת נתונים גנובים, לוחמה פסיכולוגית ותיאום מתקפות נגד יעדים במערב ובישראל. גורמי ביטחון מציינים כי מדובר בעליית מדרגה משמעותית בעימות הסייבר הישיר שבין איראן למערב, על רקע המלחמה במזרח התיכון.
פלטפורמות לתיאום מתקפות
העילה המרכזית לפעולה האמריקאית הייתה מתקפת "Wiper" (נוזקת מחיקה) שהכתה ב-Stryker ב-11 במרץ. החברה, המפעילה שלוחה משמעותית גם בישראל בעקבות רכישת "אורת'וספייס" ב-2019, חוותה שיתוק עולמי חסר תקדים. האקרים הצליחו לחדור למערכות ניהול המכשירים של מיקרוסופט (Intune) ושלחו פקודת "איפוס מרחוק" ליותר מ-200,000 מחשבים, שרתים וסמארטפונים של עובדי החברה ב-79 מדינות.
בניגוד למתקפות כופר מסורתיות השואפות לרווח כספי, מטרתה של חנדלה הייתה הרס טהור. הקבוצה טענה כי מחקה כ-50 טרה-בייט של נתונים והגדירה את הפעולה כנקמה על התקיפות המיוחסות לישראל וארה"ב באיראן. בחברה הדגישו כי מכשור רפואי קריטי בבתי חולים לא נפגע ישירות, אך היכולת הלוגיסטית לספק ציוד ולבצע הזמנות נפגעה קשות.
קבוצת התקיפה סימנה את Stryker כיעד "ציוני" בשל קשריה העסקיים הענפים בארץ. מומחי סייבר ישראלים מציינים כי הטכניקה של ניצול כלי ניהול ענן (Living off the Cloud) כדי להפוך כלי אבטחה לנשק הרסני, היא מגמה מדאיגה שמאפיינת את יחידות הסייבר המתקדמות של משמרות המהפכה.
באירופה, שם ממוקם מרכז לוגיסטי גדול של Stryker באירלנד, אלפי עובדים נשלחו לבתיהם לאחר שגילו כי הסמארטפונים והמחשבים האישיים שלהם נמחקו כליל. בסין, מנגד, התקשורת הממסדית מסקרת את האירוע בטון מסויג, תוך דגש על "תוקפנות הסייבר המערבית" והאשמת ארה"ב בשימוש בלוחמה דיגיטלית כדי לדכא התנגדות פוליטית.
שינוי אסטרטגי
המתקפה על Stryker מזכירה במידה רבה את מתקפת Shamoon המפורסמת נגד חברת הנפט הסעודית "ארמקו" ב-2012, שבה נמחקו עשרות אלפי מחשבים בפעולה איראנית דומה. אולם, בעוד שבעבר נדרשו נוזקות מורכבות שהושתלו בשרתים מקומיים, הפעם האיראנים ניצלו את התלות הגוברת בשירותי ענן מרכזיים.
בהשוואה למתקפות על תשתיות מים בישראל ב-2020 או הפריצה ל-Colonial Pipeline בארה"ב, כאן מדובר בשינוי אסטרטגי: תקיפת שרשרת האספקה הרפואית ככלי להפעלת לחץ פסיכולוגי על האוכלוסייה האזרחית. השימוש במותג חנדלה, דמות קריקטורה פלסטינית, נועד להעניק למבצע כסות של "אקטיביזם" בשירות המאבק הפלסטיני, אף שמאחורי הקלעים עומדת מכונת המודיעין של טהרן.
טכנולוגיית ה-Wiper, שעומדת בבסיס המתקפה הנוכחית, היא נשק המזוהה כמעט בלעדית עם שחקנים מדינתיים. בעוד פושעי סייבר רגילים נועלים קבצים כדי לקבל תשלום, ה-Wiper דורס את ה-Master Boot Record (מנגנון האתחול) של הדיסק הקשיח, מה שהופך את השחזור לכמעט בלתי אפשרי ללא גיבויים חיצוניים.
שורשי הטכנולוגיה הזו נעוצים עוד במבצע סטוקסנט שיוחס לישראל וארה"ב נגד הצנטריפוגות באיראן ב-2010. מאז, איראן פיתחה דוקטרינת "עין תחת עין", והפכה לאחת המדינות המובילות בשימוש בנשק קיברנטי התקפי. ההשתלטות של ה-FBI על האתרים אולי תאט את הקבוצה, אך מומחים מזהירים כי מדובר רק בקרב אחד במלחמה ארוכה שצפויה להחריף ככל שהעימות הפיזי בין המדינות יסלים.
