האויב של אויבי הוא ידידי – גם בסייבר
הדו"ח של מיקרוסופט, שקובע שמתקפת הסייבר האיראנית על אלבניה היא חלק מהמלחמה שלה מול ישראל, מעלה כמה שאלות ● כל המצב הזה מזכיר אסטרטגיה ישנה של בן גוריון, שנתניהו, בנט ולפיד אימצו
נתניהו, בנט ולפיד לא המציאו דבר: בן גוריון היה שם לפניהם. ה-"זקן" הבין היטב כי התפיסה שלפיה "האויב של אויבי הוא ידידי" היא הדרך לפרוץ את מעגל האיומים של מדינות האויב המקיפות את ישראל. נראה שתפיסה זו קיבלה חיים חדשים – בממד הסייבר.
ברית הפריפריה הייתה אסטרטגיה דיפלומטית, שלפיה על ישראל לפתח בריתות אסטרטגיות חמות עם שכנותיהן של המדינות הערביות העוינות את ישראל ושוכנות במזרח התיכון. האסטרטגיה שרצתה לנטרל את ההתנגדות הרחבה של מדינות ערב לקיומה של ישראל פותחה, כאמור, על ידי בן גוריון, והתמקדה בטורקיה, איראן, אתיופיה, הקהילה הכורדית, שמרוכזת בעיקר בעיראק ובאיראן, והמורדים בדרום סודאן. בחלוף השנים חשיבותה של האסטרטגיה פחתה, אולם בשנתיים האחרונות היא קיבלה תחייה עם הסכמי אברהם.
דו"ח שהפתיע את המומחים
מומחי אבטחה הופתעו לקרוא את הדו"ח של חוקרי מודיעין האיומים של מיקרוסופט על המתקפה האיראנית בסייבר נגד אלבניה. הדו"ח היה נרחב ומפורט. בשקט בשקט ובצנעה נכתב בו, בין השאר, כי למתקפה האיראנית בסייבר על אלבניה יש קשר למתקפותיה נגד ישראל. כך אמר גם בועז דולב, מנכ"ל קלירסקיי. לדבריו, "יש זהות בין הקבוצות האיראניות שתקפו את ישראל לאלה שתקפו את אלבניה"
לפי חוקרי הענקית מרדמונד, כמה קבוצות פעלו במקביל במבצע המתקפות המשולב, ביולי השנה, נגד הממשל האלבני. את המתקפות ערכו ארבע קבוצות האקרים איראניות שונות, כאשר שלוש מהן פועלות תחת "ארגון הגג" APT34 וקבוצה נוספת שייכת למשרד המודיעין האיראני.
APT34 היא קבוצת תקיפה איראנית שעורכת פעולות סייבר התקפיות נגד ארצות הברית, ישראל וערב הסעודית. יעדי הקבוצה, שפועלת מאז 2014 לפחות, הן חברות שעוסקות בפיתוח ומחקר בעולמות התעופה, החלל והפטרוכימיה.
"צדק" למולדת
לפי חוקרי מיקרוסופט, "ההסלמה בסייבר בין איראן לישראל באה לביטוי בתקיפה של איראן את אלבניה". אולי בכוונה, מיקרוסופט לא ציינה נימוק לטענתה. מה שכן, החוקרים שלה כתבו כי "אחת מקבוצות ההאקרים, DEV-0861, סילקה בעקביות ובאופן פעיל מיילים מארגונים שונים בכמה מדינות, ביניהם מטרות ישראליות – בין יוני 2021 למאי 2022".
בנוסף, ציינו ברדמונד, הלוגו של Homeland Justice – הקבוצה שהוקמה כדי להפיץ את החומרים האלבניים הגנובים באינטרנט ובטלגרם – לעג ללוגו של Predatory Sparrow (הדרור הטורף), שהיא קבוצת פריצה שאיראן מקשרת לישראל. זו ביצעה סדרת מתקפות סייבר מתוחכמות על מטרות איראניות החל מאמצע 2021.
הלוגו של Homeland Justice, ובו נראה נשר שתוקף ציפור קטנה יותר אשר מוקפת במגן דוד. הוא מייצג את הניסיונות של איראן לפגוע בדרור הטורף הישראלי לכאורה.
הלוגו של הדרור הטורף – קבוצה שביצעה מתקפות המיוחסות לישראל על תשתיות דלק ופלדה איראניות.
מאבק שהולך אחורה עד לסטוקסנט
המאבק בסייבר בין הרפובליקה האסלאמית לישראל אינו חדש, ושורשיו כבר במתקפת סטוקסנט על מערך הגרעין האיראני, שאירעה לפני יותר מעשור. אחת המתקפות האחרונות במלחמה הזאת אירעה ביולי השנה, אז האיראנים תקפו את האתר של עיריית תל אביב-יפו והביאו לקריסתו. חודש לפני כן האקרים איראנים פרצו לתיבות המייל של בכירים ישראליים, בהם ציפי לבני, לשעבר שרת החוץ, וכן אלוף במיל' ושגריר לשעבר של ארצות הברית בישראל. עוד באותו החודש, האקרים מלבנון תקפו מטרות ממשלה וביטחון בישראל – בחסות המשטר האיראני.
נפלה קורבן למתקפה איראנית. ציפי לבני. צילום: BigStock
אחת ממתקפות הסייבר האיראניות הבולטות נגד ישראל הייתה הניסיון לחבל במתקני המים שלה. אל"מ אורי, סגן מפקד 8200, אמר ביוני השנה כי ישראל עצרה את המתקפה הזו, כמו גם מתקפה שפגעה בארצות הברית. לדבריו, "סיכלנו לפני מספר שנים את הניסיון להשתלט על מערכות המים הקריטיות של ישראל ולהרעיל אותן".
המתקפה אירעה באפריל 2020, ופגעה במתקני מים וביוב מצפון הארץ ועד לדרומה. הפייננשל טיימס ציין שהאיראנים הצליחו לפרוץ למערכות שמתפעלות את משאבות המים בישראל, תוך שימוש בשרתים הממוקמים בארצות הברית ובאירופה, וניסו להחדיר אליהן כמות רבה של כלור. אילו המתקפה הייתה מצליחה, אזרחים ישראליים רבים היו מורעלים וחולים, וייתכן שאחרים היו נותרים ללא מים. כן דווח שכנקמה על המתקפה, ישראל ביצעה מתקפת סייבר על נמל באיראן, שפגעה כלכלית ברפובליקה האסלאמית.
ראש מערך הסייבר חרג ממנהגו והתייחס למתקפה ספציפית
בחזרה לתפיסת "האויב של אויבי הוא ידידי": מתקפות הסייבר על אלבניה היו תגובה של איראן לשורת מתקפות עליה, שהשלטון בטהרן משייך למוג'הידין א-חאלק – ארגון מחתרת גרילה, שמהווה אופוזיציה למשטר. הארגון הזה החל בפעילותו עוד לפני המהפכה האסלאמית, כשבראש המשטר באיראן עמד השאח.
ראש מערך הסייבר הלאומי, גבי פורטנוי. צילום: Coming Up, שבוע הסייבר
גבי פורטנוי, ראש מערך הסייבר הלאומי, היה בשבוע שעבר בביקור מקצועי בארצות הברית. פורטנוי – כקודמו, יגאל אונא, וכדרכו של המערך – לא מתייחס בדרך כלל למתקפות סייבר. הפעם הוא חרג ממנהגו זה, וביום ה' האחרון בשעת ערב יצאה ממערך הסייבר הלאומי הודעה שלפיה "ישראל רואה את התקיפות האיראניות כבר כמה שנים. הניסיונות הבלתי פוסקים של איראן לפגוע בתווך הסייבר במרחב האזרחי, בלא הבחנה – לא עולים לה מספיק ביוקר… לפעולות תוקפניות יש מחיר… ישראל לא תסבול השפעה איראנית על הבחירות בישראל וניסיונות מסוג זה לא ייענו בשתיקה… ישראל תמשיך להגן על עצמה ועל אזרחיה בכל הכלים הקיימים ולפעול יחד עם ארצות הברית בשמירה על מרחב סייבר מוגן".
כמה שאלות
לסיום, מומחי אבטחה ששוחחו בסוף השבוע עם אנשים ומחשבים העלו כמה שאלות: מדוע מיקרוסופט פרסמה דו"ח כל כך מפורט על המתקפה? מהיכן היו לה כה הרבה נתונים על מבצעי המתקפה: האם בשל רצונה לקדם רכיבי אבטחה חדשים שבהיצע שלה, או אולי שיתוף הפעולה שלה עם גורמי הגנה בסייבר פדרליים בארצות הברית?
על רקע פרסומים בכלי תקשורת זרים שלפיהם ישראל משתפת פעולה עם מתנגדי משטר באיראן כחלק מהמאבק שלה בגרעין האיראני, עולה ובולטת שאלה מרכזית אחת: מה מהות הקשר, אם יש כזה, בין ההאקרים חברי מוג'הידין א-חאלק לגורמים בישראל? תהא התשובה אשר תהא, דבר אחד נותר מעניין: שיתופי הפעולה של גורמים ישראליים עם מתנגדי משטר באיראן עשויים להיות גם בסייבר.
תגובות
(0)