בשבועות האחרונים נחשף מערך הסייבר האיראני שמכונה "מחלקה 40". המערך פועל עבור ארגון המודיעין של משמרות המהפכה ו"יחידה 1500". ערוץ האופוזיציה האיראני "איראן אינטרנשיונל" פרסם אתמול (חמישי) תחקיר על "מחלקה 40" שפעלה בשנים האחרונות נגד ישראלים ויהודים בישראל וברחבי העולם תחת השמות החתלתול המקסים (Charming Kitten), מטה משה (Moses Staff), גרזן אברהם (ABRAHAMS AXE) ועוד.
הכתבה חשפה את התוקפות והתוקפים האיראנים שביצעו את פעילותם עבור המערך בהובלתו של עבאס רהרוי. תחתיו עבדו 60 נשים וגברים, שביצעו את פעילות הסייבר המתוחכמת שנועדה בעצם לשרת את זרוע הטרור של משמרות המהפכה.
לאורך השנים האחרונות, המחלקה קידמה פעילויות ריגול, לוחמה פסיכולוגית, קמפייני השפעה וטרור במספר רב של מדינות ערביות, כשמדינת ישראל ואזרחי המדינה היו יעד של המחלקה לפגיעה. רוחאללה באזקנדי, לשעבר ראש אגף הריגול הנגדי של ארגון המודיעין במשמרות המהפכה, הוביל ב-2022 צירי פיגוע מול ישראלים ויהודים ששהו בטורקיה.
"מחלקה 40" קיבלה את המשימה לעקוב ולתקוף בסייבר את הישראלים ששהו בזירה, על-מנת לאתר איפה הם שוהים בזמן אמת. אנשי הסייבר פרצו לאתרים של קליניקות רפואיות באיסטנבול, שבהן עברו ישראלים ניתוחים פלסטיים כגון הגדלת חזה וגם השתלות שיער. הם גם פרצו לטלפונים ניידים של ישראלים ששהו באותן מרפאות. במהלך אותן שנים הציל המוסד ישראלים ברגע האחרון מחיסול, ונתן להם הוראה להסתגר בחדרי מלון - שניות לפני שמחסלים איראנים עמדו להתנקש בהם או לחטוף אותם.
אנשי המחלקה עקבו אחרי עמודי הפייסבוק של קבוצות הישראלים בטורקיה. הם נכנסו לשם עם פרופילים אחרים, וראו מה הישראלים עושים. כך למשל, זיהו ישראלים שישנים במלונות מסוימים, הולכים לקליניקות מסוימות, ונכנסים למסעדות כשרות. הרעיון של מערך הסייבר היה להרחיב את מעגל התקיפה ולספק לחוליות החיסול בשטח יעדים ומיקומים.
יחידת איסוף לצורך חיסול ישראלים
לפי התחקיר של הערוץ שמזוהה עם האופוזיציה באיראן, "מחלקה 40" קשורה גם לפיגוע באיסטנבול ב-2022 שבו נהרגו שמונה בני אדם. למעשה, אנשי המערך שימשו כיחידת האיסוף כדי לדעת איפה נמצאים ישראלים כדי לחסל אותם. בלעדי אנשי המחלקה, האיראנים לא היו מצליחים להוציא אל הפועל את הפיגוע. הם לא הסתפקו בכך - הם גם פרצו לאתרים של חברות תעופה בחו"ל כדי לעקוב אחרי זמני ההגעה של אזרחים ישראלים או מתנגדי משטר.
החשיפה מגלה בעצם ש"מחלקה 40" הייתה זרוע הסייבר ההתקפי של יחידת הריגול הנגדי במשמרות המהפכה. היא שימשה למעשה כזרוע איסופית עבור היחידות המבצעיות של האיראנים. "מחלקה 40" עקבה אחר פעילותם ויחסיהם של אזרחים איראנים ולא-איראנים על-ידי גניבת מידע עליהם. המחלקה הצליחה לחדור למאגרי מידע של מרכזים ממשלתיים ולא-ממשלתיים זרים, כגון משטרת אבו דאבי ופוג'יירה באיחוד האמירויות הערביות, חברות התעופה פליי דובאי ואיג'יפט אייר, עיריית ראס אל-ח'ימה בירדן ומרכזים דומים בטורקיה וסעודיה.
זו הפעם הראשונה שזהותה והמבנה של יחידה זו נחשפים. הבנת "מחלקה 40" היא החוליה החסרה בריגול של משמרות המהפכה אחר אזרחים איראנים ולא-איראנים. המחלקה היא כאמור חברת בת ארגונית של יחידת הריגול הנגדי במשמרות המהפכה שמכונה "יחידה 1500". המחלקה יצרה מאגר מידע שבו סוכנים יכולים להזין את שמותיהם של אנשים כדי לקבוע את היקף קשריהם והעומק שלהם.
מאגר הנתונים אחרי אזרחים נקרא "קאשף". לפי מה שנחשף ב"איראן אינטרנשיונל", על-מנת לקבל פרטים של אדם, איראני ולא-איראני, "קאשף" מסוגל לזהות את מערכות היחסים של אנשים אחרים עם האדם הראשון באמצעות שיחות טלפון נייד, טיסות או מידע על מיקומו. בחינת זהותם של כ-60 סוכנים ב"מחלקה 40", מראה שרבים מהם העסיקו את בני משפחותיהם ביחיד זו והסתירו את פעילותם על-ידי הקמת שכבות מרובות של חברות קש.
המידע הדרוש לפעולות משמרות המהפכה בחו"ל נגד מתנגדי הרפובליקה האיסלאמית, או מטרות ישראליות כמו "מבצע 1401" באיסטנבול, סופק על-ידי אותן יחידות ב"מחלקה 40". הם גם ריגלו בהרחבה אחר שגרירויות זרות באיראן והשתמשו בכלים רוסיים כדי לקדם את מטרותיהם. עד כה, פעולותיו של משרד 40, המכונה בקהילת המודיעין ובקרב חוקרי אבטחת סייבר כ"חתלתול מקסים", נחשבו כמוגבלות לפעילויות פישינג.
קבוצות טלגרם לארגון מחאות נגד נתניהו
בעבר, חברות סייבר רבות זיהו את פעילות הקבוצה במדינות השכנות לאיראן ובמטרות אחרות בישראל ובאירופה על-ידי מעקב אחר כלי סייבר שפותחו על-ידי היחידה, אך הן לא ידעו מי עומד מאחורי פעילויות אלה. ואם זה לא מספיק: "מחלקה 40" עומדת מאחורי מודעות גיוס מזויפות של "ריגול למען ישראל", וקבוצות טלגרם שארגנו מחאות נגד ראש הממשלה בנימין נתניהו.
גורמי ביון במזרח התיכון סיפרו כי בשנים האחרונות היו הרבה אירועים במרחב הישראלי, תקיפות סייבר בארץ ובעולם, שמאחוריהם עמדה קבוצת החתלתול המקסים. אף אחד לא ידע מה עומד מאחוריה ומה היא מנסה להשיג. בחודש האחרון, כל המערך הזה באיראן נפרץ: קבוצה בשם מכסחי החתלתולים (kitten busters) פתחה חשבון ברשת GitHub, והעלתה מסמכים שנגנבו מ"מחלקה 40" כולל דוחות שלהם, פעילות סייבר, כלי סייבר ואפילו מסמכים רשמיים של הדירקטיבה שלהם בפרסית.
במסמכים נכתב כי המטרה שלהם היא לגייס ישראלים, לעשות הפיכות פנימיות בשטחה וקמפיין השפעה. החשיפה מגלה עוד ש"מחלקה 40" גם פיתחה כטב"מי נפץ מתאבדים. בדיווח צוין: "זה מערך סייבר שעשה הרבה מאוד פעילות וגרם נזק. הם פעלו נגד ישראל ועכשיו משלמים המחיר שזיהו אותם - מחיר משמעותי".
