האיראנים אגרסיביים. המטרה שלה היא לגרום נזק

הממשל בטהראן משקיע בכל שנה מיליארד דולר בניסיון להפוך את איראן למעצמת סייבר איזו חברה סעודית נאלצה להשתמש בפקסים ומכונות כתיבה, האם הסייבר מהווה תחליף לפרויקט הגרעין ואיך כל זה קשור לצ'ק פוינט הישראלית

האזור הראשון שנותק מהחשמל היה רובע אל-עוליא בבירת סעודיה, ריאד. מדובר ברובע המרכזי ביותר בעיר. כשההאקרים סיימו את ההשתוללות שלהם במערכות המחשבים של מערכת החשמל, הם העריכו כי מיליוני בני אדם נותרו ללא חשמל, וכי פעילותם של בתי חולים ומתקנים צבאיים נפגעה.

העובדה שההאקרים דיברו בפרסית והשתמשו בתוכנה ייחודית הסגירה את מוצאם האיראני. מה שהם לא הבינו היה שרשתות המחשב הקריטיות שאותן הם שיבשו כביכול, היו רשתות מזויפות.

רשת החשמל - רשת לכל דבר עם שמות מדויקים של תחנות משנה ועמודי חשמל - נוצרה בידי MalCrawler, חברת ביטחון סייבר שמתמחה בהגנה על מערכות מחשב תעשייתיות. למעשה היתה הרשת שורה של מלכודות דיגיטליות מורכבות שנועדו לאמוד את כוונותיהם של תוקפים שמנסים פעם אחר פעם לפצח את המערכות של לקוחות MalCrawler. החברה יצרה דגמים לא פחות מורכבים של מערכות חשמל אירופיות, אמריקאיות וישראליות.

הראיות שנאספו מהמודלים מתאימות לתמונה הכוללת. הסינים חוטפים כל מה שנראה כמו מידע חדש. הרוסים חודרים למערכות, ממפים אותן ושותלים פתחי גישה כדי להשתמש בהם בעתיד. אבל לא הסינים ולא הרוסים מעזים לחולל נזק - וזאת בניגוד לאיראנים.

MalCrawler הגיעה למסקנה כי מבין חמש מעצמות הסייבר המובילות בעולם - ארה"ב, בריטניה, ישראל, רוסיה וסין - שורר איזון כוחות דיגיטלי בתחום תקיפות הסייבר הצבאיות שמתבסס על הנחות הרתעה ותגמול.

"במזרח התיכון זה לא המצב", אומר דיוואן צ'וודורי, מנכ"ל MalCrawler, "החשיבה נראית שונה לחלוטין. זה לא היה בהכרח ריגול או מבצע ייעודי. זה היה סתם כדי לגרום כמה נזק שרק ניתן".

המודל שפיתחה MalCrawler, מעין "שכפול" של רשת החשמל הישראלית, ספג פגיעה קשה ממש כמו המודל הסעודי. ההאקרים, ששוב הותירו עקבות שהצביעו על מוצאם האיראני, פגעו באופן אנוש במערכות הבטיחות של מה שהיו לדעתם תחנות החשמל של ישראל.

איראן מבססת במהירות את מעמדה כחברה השישית במועדון מעצמות הסייבר. יש החוששים כי לאחר ששאיפותיה הגרעיניות של איראן נבלמו בהסכם שנחתם אשתקד לצמצום העשרת האורניום והפלוטוניום, היא תנסה להשתמש בטכנולוגיית הסייבר שלה כבכלי נשק ארוך טווח שבאמצעותו היא מסוגלת לאיים על יריביה.

"לפני הסכם הגרעין, הסייבר היה סתם עוד אופציה שבה הם השתמשו למינוף, אבל עכשיו, לאחר ההסכם, הסייבר הפך למרכיב מרכזי עוד יותר בתיבת הכלים שלהם", אומר פקיד מודיעין בכיר במזרח התיכון, "איראן עומדת לעשות משהו בתחום הסייבר שישנה את הדרך שבה מתייחס העולם לסייבר. ארה"ב יודעת את זה. ארה"ב ראתה מה האיראנים עשו במהלך המו"מ להסכם, והם יודעים מה הם עושים לאחר ההסכם".

חבלה תעשייתית

ריגול היי-טקי הוא תופעה נפוצה - לצורך יצירת יתרון אסטרטגי למדינה וכן לצורך עשיית רווח מסחרי או רווח עברייני - אך גרימת נזק באמצעות מתקפת סייבר היא עדיין תופעה נדירה. איראן היא המדינה היחידה שגם גרמה - וגם סבלה - נזק פיזי משמעותי באמצעות מתקפות סייבר. ב-2008 נשלחה תולעת המחשב Stuxnet, שפותחה בידי ארה"ב וישראל, לזרוע הרס וחורבן בתוכניתה הגרעינית של איראן.

ב-2012 תקפו האקרים איראנים את חברת הנפט הלאומית של סעודיה, סעודי ארמקו. הם הצליחו למחוק כמעט את כל תשתית טכנולוגיית המידע התאגידי שלה ולהביא את החברה לסף קריסה.

המתקפה על ארמקו היתה קריאת השכמה ליריבותיה של איראן. מאז עברו כמעט ארבע שנים. עד כמה חזקות יכולות הסייבר של איראן, ומה - אם בכלל - תנסה טהראן לעשות עמן?

"היכולות שלהם צומחות במהירות, ומתגוונות. הן נעשות קשות יותר ויותר למעקב", אומר פקיד מודיעין בכיר מאחת המדינות השייכות ל"ברית חמשת העיניים", הכוללת את אוסטרליה, קנדה, ניו זילנד, בריטניה וארה"ב. "אין ספק שיש התקדמות גדולה בכיוון של יכולת הרס רבה יותר. הם רוצים להיות מסוגלים לבצע עוד פעולות בסגנון המתקפה על ארמקו. כרגע הם חוקרים ומתאמנים". טהראן אומרת שהיא מוציאה 1 מיליארד דולר בשנה על תוכניות סייבר. לצורך ההשוואה, מוציא GCHQ, שירות המעקב האלקטרוני והגנת הסייבר של בריטניה, כ-2 מיליארד דולר בשנה.

מערכות ייצור הנפט של ארמקו לא נפגעו, אך היא ספגה פגיעה כמעט אנושה מכיוון שחלק אדיר מתשתית המחשבים שלה נהרסה. אנשי החברה נאלצו להשתמש במכונות כתיבה ובפקסים כדי למנוע את קריסתן של עסקאות נפט בהיקף של מיליארדי דולרים. בסעודיה עצמה העניקה החברה נפט בחינם במשך כמה ימים לאחר המתקפה מכיוון שלא היה ביכולתה לעבד עסקאות.

קריסטינה קובקה, מומחית ביטחון סייבר שעבדה בארמקו, סיפרה אשתקד ל-CNN שאנשי החברה טסו לדרום מזרח אסיה כדי לרכוש את כל הכוננים הקשיחים שניתן היה לקנות היישר מאולמות הייצור.

אך המתקפה על ארמקו היתה חסרת תחכום באופן יחסי. יועץ ביטחון בכיר שעבד עבור ממשלת סעודיה ב-2012 סיפר לפייננשל טיימס כי בשלבים המאוד מוקדמים של המבצע, נתקלו ההאקרים האיראנים - שכינו את עצמם "חרבו החדה של הצדק" - במסמך וורד שכותרתו "ססמאות מנהלים".

מבצע הסייבר הגדול השני של איראן באותה העת היה מבצע אבאביל, שיוחס לקבוצת האקרים בשם לוחמי הסייבר של עז א-דין אל-קסאם. הקבוצה ביצעה מתקפות חסרות תחכום אך חוזרות ונשנות במטרה לגרום לקריסת אתרי האינטרנט של כמה מהבנקים האמריקאים הגדולים ביותר, כולל ג'יי. פי. מורגן ומריל לינץ'. הקבוצה לא טענה לקשרים עם גוף כלשהו, אך שני פקידי מודיעין מערביים בכירים, וכן מומחי ביטחון סייבר עצמאיים, מעריכים שהיא פעלה עבור ממשלת איראן.

במארס השנה הגיש משרד המשפטים של ארה"ב תביעה נגד שבעה אזרחים איראנים שלטענתו היו אחראים למתקפות. כולם עבדו עבור חברות איראניות, שלטענת התובעים שימשו כמסווה למשמרות המהפכה האסלאמית של הממשלה בטהראן.

המתקפות היו "החץ הראשון שנורה מהקשת", לדברי ג'ון הלטקוויסט, מנהל ניתוח ריגול סייבר ב-iSight, "מאז ארמקו ואבאביל, ראינו התפתחות מצדה של איראן במונחי המבצעים והיכולות שלהם. לא הייתי אומר שהם כבר ברובד העליון מבחינת התחכום, אבל אם הייתי צריך לפרט את האיומים המשמעותיים ביותר בעולם - הייתי מכליל אותם ברשימה. החשיבות של מה שהם מנסים לפגוע בו, וגם האגרסיביות שלהם - זו הבעיה".

חתלתולים וסכינים

שתי קבוצות האקרים ממחישות באופן מיוחד את התפתחות יכולות הסייבר של איראן. הראשונה, הידועה בשם "חתלתול רקטי", נמצאת מ-2014 במעקב הדוק מצד רבים בתעשיית ביטחון הסייבר.

חברת הביטחון הדיגיטלי האמריקאית FireEye ציינה את השימוש שעושה הקבוצה בפישינג - שימוש באימיילים שנראים לגיטימיים כדי לפתות את הקורבן לפתוח קבצים זדוניים או להקליק על קישורים - במטרה לפגוע במתנגדי משטר איראנים ובארגונים ישראליים. ב-2015 הבינו ארגוני ביטחון סייבר אחרים כי "חתלתול רקטי" משתמשת בתוכנה זדונית שהותאמה לצרכיה, ולא סתם בקוד סטנדרטי.

בנובמבר שעבר אפשרו פרצות בנוהלי הבטיחות של "חתלתול רקטי" לחברה הישראלית צ'ק פוינט להשיג גישה לפלטפורמת התוכנה של ההאקרים, ששמה Oyun. צ'ק פוינט גילתה יישום שהכיל רשימה של יותר מ-1,842 "פרויקטים" - אנשים שסומנו כמטרות בידי ההאקרים. עיון ברשימה הניב פילוח ממצה של יעדי "חתלתול רקטי": 18% היו סעודים, 17% מארה"ב, 16% איראנים ו-5% ישראלים. האנשים המסומנים כללו נושאי תפקידים וקבלנים בתחום ההגנה, מתנגדי משטר, עיתונאים ופוליטיקאים.

שני פקידי מודיעין, האחד מאירופה והשני מהמזרח התיכון, אמרו בנפרד לפייננשל טיימס כי "חתלתול רקטי" קשור למשמרות המהפכה האסלאמית באיראן, שלדברי שניהם חולש על אג'נדת לוחמת הסייבר האיראנית. מומחי הגנה וביטחון מערביים מתעניינים אפילו יותר בארגון אחר, שגם הוא קשור למשמרות המהפכה האסלאמית.

בדצמבר 2014, דיווחה Cylance, חברת ביטחון סייבר אמריקאית, ללקוחותיה על פעילויותיהם של האקרים איראנים שמבצעים פרויקט שאותו כינתה החברה "מבצע קופיץ". על בסיס ניתוח של פעילויות ההאקרים, זיהתה Cylance קבוצה שכינתה את עצמה "החושבים" כארגון העומד מאחורי המתקפות. הודות לדומיינים, IP וכתובות מגורים שבהם השתמשו ההאקרים בטהראן, הסיקו החוקרים כי ארגונים שנתמכים בידי הממשלה הם האחראים לפעילויות.

Cylance הכריזה על איראן כעל "סין החדשה" בגין המהלכים האגרסיביים שלה במרחב הסייבר. הדו"ח שחיברה החברה מפרט קמפיין מקוון מתוחכם, שהיה במעקב במשך שנתיים, ושבמסגרתו נעשה שימוש בתוכנה זדונית ייחודית כדי לזהם ולהשיג גישה למערכות בקרה תעשייתיות רגישות ולתשתיות קריטיות של חברות ברחבי העולם.

ההאקרים מאחורי "מבצע קופיץ" הצליחו לזהם את מחשביהן של מאות חברות וארגונים רגישים - החל במערכות צבאיות ומערכות בקרה להפקת נפט וגז, וכלה בבסיסי נתונים של מערכות ביטחון בנמלי וחברות תעופה. בין המדינות שספגו את הפגיעות הקשות ביותר לא היו רק אויביה האזוריים והמסורתיים של איראן, אלא גם מדינות כמו קוריאה הדרומית וקנדה.

"מה שמבצע קופיץ חשף זה שהחבר'ה האלה אגרסיביים, ופוגעים בתשתיות קריטיות במסגרת פעולות שלא מניבות שום תוצאות ריגול קלסיות. האיראנים לא חודרים לנמלי תעופה או לחברות נפט כדי לאסוף מידע. הפגיעה במערכות נועדה לגרום נזק", אומר הלטקוויסט.

תמונה מורכבת

הידיעה כי לאיראן יש את היכולת הטכנית היא רק חלק מהתמונה. מאז 2012, כשאיאתוללה עלי חמינאי, המנהיג העליון של הרפובליקה האסלאמית, הקים את מועצת הסייבר העליונה, חולשים הניצים על השליטה במועצה.

"הסייבר משולב בהקשר הרחב של יחסים פוליטיים וצבאיים שלגביהם צריכה המנהיגות האיראנית לשבת ולשקול: 'מתי אני רוצה לעשות את זה?'", אומר ג'ים לואיס, מנהל טכנולוגיה ומדיניות ציבורית במרכז ללימודים אסטרטגיים ובינלאומיים בוושינגטון.

חלק ניכר מיכולותיה של איראן בתחום הסייבר נובע ממאמציה לעקוב אחר מתנגדי המשטר ואחר מהגרים בעקבות פעולות המחאה שהציתו החשדות לזיוף תוצאות הבחירות ב-2009. חברי מיליציית בסיג' - הכוחות הצבאיים-למחצה התומכים במשטר בהנהגת משמרות המהפכה האסלאמית - ששיחקו תפקיד קריטי בדיכוי פעולות מחאה אלה מהווים כעת מרכיב קריטי בקרב לוחמי הסייבר של איראן.

ארגון שני, מתוחכם ומיומן יותר בתוך משמרות המהפכה, אחראי לפעילויות דומות ל"מבצע קופיץ", לדברי איש ביטחון בריטי בכיר. ארגון זה הוא המקבילה האיראנית ליחידת סייבר מובחרת, והוא מהווה את האיום המדאיג ביותר מבחינת מדינות המערב.

לוחמי הסייבר הפועלים מטעם ממשלת איראן מהווים מרכיב שלישי, וטהראן מואשמת בכך שהיא אחת מ"מפיצות" נשק הסייבר הפעילות ביותר בעולם, ומספקת תוכנות זדוניות לארגונים כגון חיזבאללה בלבנון. הסדרים כאלה מעוררים תהיות בסוגיית השליטה - ומה בדיוק נעשה בשמה של איראן ללא אישור מפורש מצדה של טהראן.

מועצת סייבר של ארגון הבסיג' מגייסת "האקרים פעילים" מבין חברי הבסיג', ולעתים קרובות מגייסת אנשים מבין המאגר הגדול של סטודנטים צעירים בעלי בקיאות בתחום המחשבים, וזאת במטרה לקדם את המסר של הרפובליקה האסלאמית באיראן עצמה ומחוצה לה. ארגונים אלה הם האחראים למרבית הפעילויות הברוטליות והלוחמניות במרחב הסייבר, כגון השחתת אתרי אינטרנט ופגיעה בחברות אמריקאיות, סעודיות וישראליות באמצעות מתקפות מניעת שירות באמצעות יצירת עומס חריג על מערכות המחשבים שלהן. ארגונים אלה פועלים בטיפוחם ועידודן של משמרות המהפכה, אך מאחורי פעילויותיהם לא קיים בהכרח מבנה פיקודי קשיח, ועקב כך קשה לצפות את מעשיהם ולהרתיע אותם.

צרו איתנו קשר *5988