דוח מיוחד בנושא פעילות הסייבר האיראנית לאחר מתקפת חמאס ב-7 באוקטובר פורסם הבוקר (יום ד') על ידי מיקרוסופט העולמית ובהובלת מיקרוסופט ישראל. חוקרי החברה חקרו את פעילות הסייבר האיראנית בראי מלחמת חרבות ברזל והגיעו ללא מעט תובנות שבזכותן ניתן להבין אפילו את המהלכים של חמאס וכמה איראן לא היוותה חלק מהסוד של תכנון מתקפת ה-7 באוקטובר - השבת השחורה - אלא נגררה לאחר מכן לפעול על פי החליל של חמאס. המחקר נערך על ידי Microsoft Intelligence Center, גוף בינלאומי של ענקית הטכנולוגיה המורכב מיותר מ-8,000 מומחי סייבר, חוקרים ואנליסטים המנתחים 65 טריליון אותות מדי יום על מנת לגלות איומים ולספק תובנות עדכניות ורלוונטיות.
אחת המסקנות העיקריות של עורכי המחקר היא ש"במתקפות איראניות מאז ה-7/10 נראה שימוש בטכניקות וטכנולוגיות חדשות, כולל לראשונה שימוש ב-AI כמרכיב מרכזי במתקפות ההשפעה האיראניות ברחבי העולם; זאת במטרה לערער את היציבות בישראל ואת התמיכה הבינלאומית, ולייצר הפחדה". מדובר בהפתעה חלקית, אך לא כזו שתפיל אותנו מהכסא. השימוש בבינה מלאכותית במסגרת מבצעי התודעה ברשתות החברתיות בלט היטב לכל מי שנחשף לתכנים האלה. החל מפרסום תמונות פייק של ילדים תחת עיי חורבות וכלה בעיוות של פעולות חיילי צה"ל שכביכול תוקפים את האוכלוסייה האזרחית בעזה.
"זה משהו שהוא הוא לא חדש, אבל זה משהו שלא ראינו בסדר גודל כזה", מסביר ל-ynet איציק צלף, מנהל האבטחה הלאומית של מיקרוסופט ישראל. צלף הוא האיש שאחראי בין היתר על קשרי הביטחון של החברה מול שלל גורמים מדינתיים בארץ, החל מהממשלה וכלה בארגוני ביטחון. מיקרוסופט רואה בישראל נכס אסטרטגי. לא בגלל ציונות גרידא, אלא בעיקר כי יש לחברה כאן הרבה מאוד נכסים שחשובים לה מאוד הן ברמה העסקית-כלכלית והן ברמה הטכנולוגית. למשל מרכז הנתונים (דאטה סנטר) שהקימה כאן ושאמון על אספקת שירותי מחשוב ענן, שירותים ואפליקציות לאלפי הלקוחות שלה באזור.
שימוש ב-AI, למה איראן צריכה את זה?
"זה סוג של טרנספורמציה שהעולם עובר באופן כללי. ההשפעה על תודעה וכו'. הדרך לעשות סקייל? במבצעי השפעה על תודעה, האיראנים הם לא כמו הסינים שיכולים להעמיד 10,000 חוקרים עכשיו שיכתבו תוכן. לשם הטכנולוגיה הולכת. דעת הקהל מתבססת על הרשתות החברתיות אז לכן הם עשו פה שימוש אינטנסיבי בבוטים לייצור תוכן".
ריפרש
יותר הנאה ויותר דיוק: מהפכת ה-VR וה-AR מגיעה לרפואה / פרופ' אמתי זיו
40:34
אבל איראן לא נכנסה ל-ChatGPT כדי לבקש מהבוט החביב של OpenAI לכתוב טקסט מכפיש על ישראל או ממשלתה. הבוטים האלה נמצאים תחת בקרה ופיקוח וקשה להאמין שאיראן הייתה מסתכנת ביירוט הניסיונות סייבר-תודעה שלה. במקום, היא עשתה שימוש במודלים ציבוריים, ככל הנראה אלה בקוד-פתוח שאינם מפוקחים. "הם מאוד נזהרים לא לעשות שימוש במודלים שיש עליהם בקרה, כי אז יעלו עליהם, וזה די יהיה קל לדעת מי עשה את זה. אני מניח שהם עושים את זה בדרכים, אתה יודע, אנונימיות", אומר צלף.
החוקרים מסבירים בדוח שהמטרה העיקרית כאן היא לערער את המדינה אבל גם להרעיל את סביבת המידע - כלומר את הנתונים שמדווחים מהשטח - כדי לייצר בלבול וחוסר אמון. המחקר מציין שההיקף הוכפל כמעט פי שניים במתקפות הסייבר וההשפעה על ישראל בשבועות שאחרי המלחמה. כלומר מדובר בניסיון בוטה לנסות ולמסגר מחדש את השיח על האירועים והמלחמה בקרב העולם. החוקרים גם מצאו עלייה משמעותית בצריכת פייק ניוז ותעמולה איראנית במהלך אוקטובר ונובמבר – גם לאחר ה"פיק" הראשוני, הצריכה הייתה גבוהה בכ-30% לעומת התקופה שלפני המלחמה במדינות דוברות אנגלית אשר תומכות בישראל ובהן בארה"ב.
התעמולה האיראנית ככל הנראה לא מסתפקת באנגלית וסביר להניח שהיא פועלת בשפות נוספות. אך בכל מקרה רק באנגלית, בשבוע הראשון של המלחמה, הייתה עלייה של 42% בתנועה לאתרים שבהם פורסמו פוסטים וכתבות על ידי האיראנים. זאת, לפי הדוח, "בעקבות עלייה במתקפות השפעה איראניות ובפרסום כתבות ופרסומים במגוון פלטפורמות רחב. עלייה זאת הורגשה בעיקר במדינות דוברות אנגלית אשר תומכות בארצות הברית ובישראל".
איפה זה פוגש את הישראלי הממוצע?
צלף: "בעיקר ברשתות החברתיות, טלגרם וטיקטוק. אנחנו יודעים להצביע על ערוצים. גם על ערוצים ממומנים ועל הגופים שמממנים את הערוצים האלה. זאת אומרת, זה חומר שאנחנו יודעים וכמובן משתפים אותו עם מי שצריך, ולכן לא הכל פורסם בדוח הזה. הם מאוד ממקדים את זה, בערוצים בעברית קל מאוד לזהות את הפייק כי הם לא משייפים את זה עד הסוף. בערוצים באנגלית, שם כנראה ה-AI מייצר תוכן מאוד איכותי ולכן קל להם גם יותר בערוצים הבינלאומיים. ושם אנחנו גם רואים עלייה".
החיבור בין הפעולות של איראן באנגלית מעלה את ההנחה שאולי היא זו שאחראית לשינוי בקרב הצעירים בארה"ב, בעיקר אלה שמזדהים עם ערכים ליברליים ופרוגרסיביים. אך לדברי צלף, החוקרים לא התמקדו בנושא הזה כך שאין שום דרך לאשש את ההערכה הזו.
נקודה מעניינת נוספת שנמצאה במחקר היא שלא נמצאה הוכחה לתיאום בין מתקפות הסייבר של איראן ובין החמאס ביום המתקפה על ישראל ב-7 באוקטובר. "רבות דובר על מתקפת הסייבר הנרחבת שהופעלה ביום התקיפה, אך גם אם נמצאה פעילות סייבר מאוד ענפה, היא ככל הנראה לא הגיעה מאיראן. לפחות לא בהתחלה. ואולם בשבועיים שלאחר מכן, החל מ-7 באוקטובר, איראן הגבירה את התמיכה בחמאס באמצעות פריצות ממוקדות בשילוב מבצעי השפעה מבוססי סייבר עם פעולות השפעה שהועצמו ברשתות החברתיות. עד סוף אוקטובר, כמעט כל השפעתה של איראן ושחקני הסייבר המרכזיים שלה התמקדו בישראל באופן ממוקד, מתואם והרסני יותר ויותר, מה שהוביל למערכה חסרת גבולות נגד ישראל".
אבל ראינו פעילות סייבר מאוד ענפה של איראן נגד ישראל, פריצות לחברות, בתי חולים וכו'.
"אני אתן לך את נקודת המבט שלנו, ששונה מכל חברת סייבר אחרת והיא שונה גם מכל נקודות מבט של גוף סייבר מדינתי כזה או אחר. יש לנו המון מידע מגוון שאנחנו רואים בארץ ובעולם, ולכן יש לנו המון זוויות על המתקפות האלה ואני לא מסתכל עליהן בצורה נקודתית. רק אחרי שהם ראו שיש מתקפה של חמאס הם יצאו במתקפות (משלהם). עכשיו, איך אנחנו מוכיחים את זה? אם שמת לב, בדוח זה מחולק לשלושה חלקים; הראשון הוא התגובתי, שהוא בעצם עד אמצע אוקטובר, שזה השבועיים הראשונים של המלחמה. בעצם הקבוצות הפעילות בישראל של האיראנים המשיכו להיות פעילות. לא היה פה תגבור מבחינת הקבוצות המאוד המעורבות.
"לא הייתה כאן תוספת וההיקף אכן גדל, כי מה שהם עשו זה בעצם למצות את האחיזה שכבר הייתה להם בשטח. זאת אומרת, לא ראינו פה משהו חדש, לא כלים חדשים, לא מתקפות חדשות, הם פשוט עשו את זה יותר. אחרי שבועיים באמת הגיעה התוספת של עוד קבוצות תקיפה שהיו באזורים אחרים. הן הופנו לישראל, ושם אתה רואה כבר קפיצה ולכן הניתוח שלנו זה מראה שהם גם הופתעו, אבל הם היו חייבים לתמוך איכשהו במתקפה (של חמאס - ר''ק). ולכן זה התבצע בצורה כזו ולא משהו איכותי".
וחיזבאללה? הוא חלק מזה? והרוסים?
"לא. חיזבאללה, הם בדרך כלל חלק מארגוני פרוקסי. הם לרוב מונחים על ידי איראן והם מופיעים תחת מפת האיומים שלה. רואים שאין תיאום בין האיראנים לרוסים. הרוסים מאוד נזהרים, הם נזהרים מלהיות מעורבים יחד עם האיראנים".
אז האיראנים ממתינים?
"הם כרגע ממתינים בצד, ולכן גם ההיקף של המתקפות הוא יותר תודעתי, יותר סייבר מציק כזה. אתה בתור אזרח יושב בבית ושומע פגעו בבית חולים, תקפו פה, תקפו שם, אתה מקבל רושם כאילו יש בלגן וישראל לא מתמודדת עם זה. זה כרגע הרמה שהם שומרים עליה. אנחנו מניחים שעדיין לא הופעלו הכלים הכבדים שלהם".
התקיפות האיראניות נועדו בעיקר לערעור העורף או כל מי שיושב בביתו ומתעניין במה שקורה. מתקפות השפעה עלו מהתקפה אחת בכל חודשיים ב-2021 ל-11 מתקפות רק במהלך אוקטובר. אבל מבחינת הישגי סייבר אמיתיים, כלומר כאלה הכוללים תקיפה של מטרות איכותיות כגון תשתיות קריטיות או ביטחוניות, לא היו. לדברי צלף, רוב ההתרברבויות של האיראנים בהישגי סייבר מוצלחים היו בדרך כלל ניפוח של אירועים מינוריים. כך למשל קבוצת סייבר בשם Cyber Avengers המזוהה עם משמרות המהפכה פרסמה הרבה מאוד צילומים של מתקני חברת חשמל או של מסמכים לא מסווגים שברוב המקרים לא נבעו מתקיפת סייבר מוצלחת אלא ממאגרים ציבוריים ברשת שזמינים לכל דכפין.
האיראנים, עם זאת, לא השאירו את הבמה לחמאס או לרוסים בלבד. החל מנובמבר גם החות'ים וקבוצות פרוקסי נוספות בעיראק וסוריה החלו להצטרף בעיקר בתקיפות על מטרות אמריקאיות. כמו כן, נצפתה הרחבה של הקמפיין האיראני למדינות מוסלמיות התומכות בישראל כגון אלבניה או בחריין. גם חברות שמקיימות יחסי מסחר עם ישראל זכו לעלות על הכוונת של הסייבר האיראני. עם זאת בשלב הנוכחי, כל עוד איראן לא הופכת לבעל ברית פעיל לצד חמאס, הסיכוי שהיקפי הסייבר האיראני יגדלו מעבר למתקפות תודעה די נמוכים.
