Photo by Danial Igdery on Unsplash

מאמר אורח: על פעילות הסייבר האירני בשנים האחרונות

איראן היא אחת המדינות שחוותה הכי הרבה אירועים משמעותיים במרחב הסייבר, החל בשנת 2010 בה נחשפה התולעת המפורסמת Stuxnet שנועדה לפגוע בתכנית הגרעין. מאז חשיפתה, החל גל חשיפות של נוזקות נוספות שפעלו במדינה בצורה משמעותית, בין למטרות התקפיות ובין אם למטרות איסוף מודיעין. שלל החוויות שהמדינה חוותה עזרו לה להבין את המשמעות והיכולות הטמונות במרחב הסייבר.

הפעילות ההתקפית הראשונה שזוהתה ושויכה לאיראן התרחשה בשנת 2012, במסגרתה מחקו האקרים איראניים עשרות אלפי עמדות קצה ושרתים מחברת הנפט הסעודית Saudi Aramco וכן מהחברה הקטארית RASGAS. זו הייתה פעילות התקפית ראשונה מיני רבות אשר יוחסו מאוחר יותר לאיראן.

בד״כ פעולות אלו באות במקביל להתרחשויות מחוץ לממד הסייבר (קרי- בעולם האמיתי). חברת שירותי הנפט האיטלקית saipem הותקפה בשנת 2018 על ידי אותו הפוגע (Shamoon), יתכן כי על רקע מתחים בין מדינות המפרץ על תנועת מכליות נפט.

לצד פעילויות התקפיות ענפות היוצאות מן המדינה, איראן פועלת בצורה רחבה גם בפעילות איסופית. רבות מהפעילויות האיסופיות של איראן פועלות למול מדינות המזרח התיכון, ביניהן ישראל. עם זאת, ניכר כי חלק בלתי מבוטל מפעילות הסייבר של המשטר מכוון גם פנימה וכן למול איראנים גולים ובתפוצות. 

פעילות הסייבר האירנית עולה שלב

בשנה האחרונה חלה הסלמה משמעותית בפעילות האיראנית למול ישראל, בין היתר בפעילויות התקפיות מפורשות שהוצאו לפועל על ידי מערכי תקיפה המשויכים לאיראן. רבות מפעולות אלה מנצלות טקטיקות של פושעי סייבר, כגון כופרות, על מנת לאפשר מרחב הכחשה, כדוגמת pay2key, אך חלקן הוצאו לפועל על ידי פוגענים הרסניים מסוג wiper. דוגמה למערך כזה הוא Agrius אשר נחשף על ידי סנטינל וואן.

קשה להגיד במדויק כמה חוליות תקיפה יש באיראן, אך לאורך השנים נחשפו מספר בלתי מבוטל של קבוצות, בניהן OilRig, Copy Kittens, APT33, APT39, Charming Kitten, Rocket Kitten, Agrius, Muddy Water, Pay2Key כאמור ועוד. אלו כמובן שמות שפעילויות איראניות קיבלו מחוקרי אבטחה, שלהם הרבה פעמים קשה להפריד בין קבוצות שונות. צריך לקחת בחשבון שיתכן ויש עוד הרבה פעילויות נוספות שזוהו, אך לא קוטלגו כאיראניות או כאלו שלא זוהו כלל.

ניכר כי רבות מהקבוצות הללו ממומנות ומופעלות על ידי גורמי משטר רשמיים, בהם משמרות המהפכה ומשרד המודיעין. 

חלק מהקבוצות מקבלות סיוע מגורמי המדינה, חלקן ממומנות באופן ישיר על ידי גורמי ביטחון במדינה. 

מכון המחקר IISS מדרג את איראן במקום העשירי המכובד בדירוג מעצמות הסייבר. 

לסיכום:
נוכחתם של תוקפים איראניים במרחב הסייבר הישראלי הגיעה השנה לכותרות מספר פעמים, אך היא מציאות יום יומית כבר שנים. ההסלמה הנוכחית בין ישראל לאיראן הפכה את פעילות הסייבר החשאית בין המדינות לרועשת והרסנית, וכעת היא משפיעה על חיים של רבים. בעוד יכולותיהם של תוקפי הסייבר האיראניים עדיין לא משתווה לאלו של מעצמות סייבר כדוגמת ישראל, יש ביכולתם להשפיע על חייהם של אנשים בעיקר בזכות מבצעי התודעה. הצלחתם תלויה בעיקר בדרך בה אנחנו כציבור מגיבים להם.

מאמר זה נכתב על ידי אמיתי בן שושן ארליך,
חוקר מודיעין סייבר בחברת סנטינל וואן.

דילוג לתוכן