מלחמת הסייבר בין ישראל לאיראן מגיעה לתשתיות

הכותרות שמגיעות מאיראן, לפיהן מתקפת סייבר שיתקה את הנמל המרכזי שלה ("חשוב כמו נמל חיפה ונתב"ג ביחד"), מפנות זרקור לשינויים בעולם הסייבר • ההתמקדות עוברת לפגיעה בטכנולוגית תפעוליות בתעשייה ובתשתית, שסובלות מהגנות חלשות יחסית

נמל שאהיד רג’אי באיראן, שלפי דיווחים זרים שותק במתקפת סייבר שישראל הייתה מעורבת בה  / צילום: ארגון הנמלים והספנות האיראני
נמל שאהיד רג’אי באיראן, שלפי דיווחים זרים שותק במתקפת סייבר שישראל הייתה מעורבת בה / צילום: ארגון הנמלים והספנות האיראני

עולם הצללים של הסייבר לא מפסיק לעלות אל פני השטח ולתבוע את מקומו כאחת החזיתות החשובות בכל סכסוך בינלאומי. בחצי השנה שחלפה, לפי פרסומים בארה"ב, התרחשה עליית מדרגה משמעותית בתדירות ובחומרה של מתקפות הסייבר בין איראן לישראל, שנבעה לא רק מהתגברות המתח בזירה הגיאופוליטית העולמית (מלחמת הסחר בין ארה"ב לסין), הזירה המקומית (ישראל מול איראן) ומשבר הקורונה, אלא ממה שנראה כמו שינוי מדאיג במוטיבציה של הצדדים לעשות שימוש ביכולות התקיפה הטכנולוגיות שבידי הצדדים ובמוטיבציה לעשות בהן שימוש.

את האירועים האחרונים, מתקפת הסייבר של האיראנים על תשתיות מים בישראל ואת פעולת התגמול הישראלית על נמל באיראן, לפי פרסומים זרים, יש לבחון ולהבין לאור ההתגוששות הבינגושית בין מעצמות העולם: בין סין ורוסיה מצד אחד לבין ארה"ב מצד שני, כשבתווך - ישראל, איראן, ערב הסעודית, סוריה ומדינות נוספות, שכל אחת היא שחקנית במשחק, אבל גם כלי משחק בו.

נמל בנדר עבאס באיראן
 נמל בנדר עבאס באיראן

האירועים שתופסים את הכותרות בימים האחרונים הם רק חולייה בשרשרת. משתמע מהפרסומים כי בין ישראל לאיראן מתחוללת מלחמת סייבר, כשמדי פעם אירועים שונים עולים לכותרות. האירוע המכונן על פי גורמים אמריקאים, הוא מתקפת סטקסנט נגד תשתיות פרויקט הגרעין באיראן ב-2012, שבו נפגעה יכולת העשרת האורניום של האיראנים, ונגרם נזק לצנטריפוגות שלהם. אירוע שאחת התוצאות שלו, מעבר למבוכה הגדולה של האיראנים והפגיעה בתוכנית הגרעין, הייתה מאמצים אדירים של האיראנים להגן על תשתיותיהם. אם נשאיל מעולם המלחמה בווירוסים, החשיפה ליכולות הישראליות הייתה יכולה לעורר את מערכת החיסון האיראנית ולהאיץ את פעולתה. נראה שבימים האחרונים המערכת הזאת אותגרה.

נמל משותק ואוניות תקועות בים

בפעולה שעלתה לאחרונה לכותרת, נמל שאהיד רג’אי בבאנדר עבאס, הטרמינל המרכזי של הנמל הימי העיקרי של איראן בדרום מזרח המדינה, משותק כמעט לחלוטין כבר יותר מ-10 ימים. השלטונות באיראן ממעטים להתייחס לכך רשמית, אבל בשתי התגובות שהוצאו נמסר כי מתקפת הסייבר נכשלה וכי הנמל פועל כסדרו. אלא שהאמירה הזו, לפי גורמי הערכה בישראל כנראה רחוקה מהאמת.

דיווחים מודיעיניים מאיראן, וכן צילומי לוויין ומודיעין מראים כי הנמל שרוי עדיין בכאוס. עשרות אוניות מטען וגם מכליות נפט, ממתינות מחוץ לנמל ותורים ארוכים של משאיות משתרעים לאורך קילומטרים מהכניסה אליו. באנדר עבאס הוא הנמל הימי המרכזי של איראן ומשמש השער הכלכלי שלה למזרח הרחוק, אל סין והודו, שתיים מהמדינות שהקשר המסחרי והכלכלי עימן חשוב לאיראן.

לדברי גורם ישראלי המעורה בעולם הסייבר, יותר מסביר שהמתקפה המדוברת בוצעה לא רק על ידי ישראל, אלא כמתקפה משולבת עם מדינה אחרת, ככל הנראה ארצות-הברית. לאמריקאים היכולות החזקות ביותר בעולם, ושיתוף הפעולה עם ישראל, שנחשבת פורצת דרך בתחום, כנראה נרחב. איכות התקיפה מראה כי היא התבצעה בכמה גלים, תוך שיתוק של מערכות תפעול ומערכות הגנה, שניסו לחסום אותה.

הדיווחים בתקשורת האמריקאית תומכים באפשרות הזו. פקיד בכיר במשרד האנרגיה האמריקאי העוסק בלוחמת סייבר ובהגנת מתקנים אזרחיים, אמר בתדרוך בשבוע שעבר כי הממשל מסייע לכל בעלות בריתו, לרבות ישראל, בהגנה על מתקנים אזרחיים ממתקפות סייבר זרות, ובתגובה למתקפות אלה.

האלוף (מיל’) עמוס ידלין, ראש המכון למחקרי ביטחון לאומי, אומר כי התקיפה המיוחסת לישראל נראית משמעותית והיא הדגימה יכולת סייבר מעצמתית. נראה שיש כאן מסר ישראלי ברור לאיראן שלא תעז לפגוע שוב במתקנים אזרחיים, שכן היא פגיעה יותר מישראל. עם זאת, ידלין הביע תהיה האם ההאקרים האיראניים פעלו בישראל לפי הנחיה מהשלטונות או שהייתה זו פעולה עצמאית.

הנזק הכלכלי מינורי, אבל המסר חזק

לדבריו, "האיראנים יודעים לעשות היטב את חשבון העלות תועלת. מה שראו בנמל הבהיר להם שהם מאוד פגיעים ולעומת זאת המתקפה על המתקנים בישראל שלא השיגה תוצאות של ממש, כי לישראל יכולות מגננה גבוהות מפני מתקפות כאלה".
ידלין הוסיף, כי ההנהגה בטהראן בדרך כלל רציונלית ולכן אינו צופה הסלמה של ממש או מלחמת סייבר באופק, אם כי גם בעבר הם נהגו לעיתים באופן לא רציונלי. לכן לפי הערכתו, תהיה תגובה - אך מינורית יחסית. ידלין מעריך, כי לבד מהנזק הכספי של עיכוב בהעמסת ופריקת האוניות, הנזק הכלכלי הישיר אינו גדול מזה, אבל גם לא היה מכוון לכך - המטרה הייתה העברת המסר שקיימת יכולת התקפית נגד העורף האזרחי שלה ויכולת לשתק אותו כלכלית.

לדברי גורמים מערביים, הנזק גדול ממה שהאיראנים מוכנים להודות: "הנמל, שחשיבותו לאיראן היא כמו נמל חיפה ונתב"ג ביחד, שותק כליל למשך כמה ימים ורק בתחילת השבוע החל לפעול ובאופן חלקי ביותר. אוניות מטען שהיו בדרכן לנמל המתינו בים, וספינות של חיל הים האיראני הוזעקו כדי לסייע בהתרת הפלונטר בכניסה לנמל".

המשמעות היא פגיעה של במסחר הבינלאומי של איראן. הנזק הישיר נאמד במיליוני דולרים בכל יום, אבל הנזק האמיתי הוא בעיקר הרתעתי. כלומר, התובנה באיראן ובעולם כי היא חשופה בעורף הכלכלי שלה למתקפות סייבר העשויות לשתק אותה. אם הנמל משותק כך - כל מערכת אזרחית אחרת יכולה להוות יעד למתקפה.

הרמטכ"ל אביב כוכבי אמר ביום ג’, במה שנראה כרמז לעניין, כי "צהל ימשיך לפעול בכלים מגוונים ובשיטות יחודיות לפגיעה באויב, וכי ביום פקודה יגלה האויב שבמו ידיו הפך את העורף שלו לחזית ואנחנו נתקוף אותו בעוצמה".

אחד האירועים המשמעותיים במלחמות הסייבר, שלא זכה לתהודה משמעותית, הוא מתקפה שבוצעה נגד מיליוני חשבונות בנק של אזרחים איראנים בנובמבר 2019. אירוע שלא זכה לפעולת תגמול איראני בסמוך לה, משום שעל פי הערכות האירוע היווה מבוכה רבה למשטר. אותו אירוע, על פי גורמים במערב, היה עליית מדרגה וזאת בשל ההיקף הרחב שלה, והעובדה שהיא בוצעה נגד אזרחים מן השורה.

חלק ממאבק בין מעצמות שונות

התקיפה על הנמל באה על רקע האצת תהליכים גיאופוליטיים בהתגוששות בין ארה"ב לבין סין ורוסיה, שהביאה להתקרבות אינטרסים בין סין לאיראן. על פי הסברה, קפיצת המדרגה ביכולות האיראניות נובעת מהכשרה סינית. אחד המוקדים של העימות בין המעצמות מתרחש במזרח התיכון שבו נקודת החיכוך היא מאמצי ישראל וארה"ב לבלום את ניסיונות האחיזה של סין באמצעות רוסיה, איראן וסוריה בנקודות אסטרטגיות באזור (במסגרת תוכנית ההתפשטות העולמית של סין שקרויה "דרך המשי" או "דרך אחת חגורה אחת").

בעקבות המתקפה מבקשות עוד מדינות ללמוד את פרטיה, ואיראן, לפי דיווח אחד לפחות, ביקשה סיוע רוסי לחקירת האירוע ולהגנה על מתקניה ממתקפות עתידיות. רוסיה נחשבת מעצמת סייבר, ולהאקרים רוסיים מיוחסות תקיפות בעולם. לפני שנה פורסם כי האקרים רוסיים, העובדים כנראה עם השלטונות במוסקבה ומכונים "טורלה", פרצו למערכות מחשב של ארגונים אזרחיים, רובם תעשייתיים, בצ’כיה, אסטוניה ובבריטניה. בדיווח נאמר כי ההאקרים "רכבו" על שרתים ותוכנות ריגול של איראן, ובכך העבירו את ה"אשמה" למדינה האיסלמית. במקרה הזה לא היה ברור אם הרוסים עבדו בשיתוף פעולה עם איראן או רק השתמשו בלי רשותה במערכות שלה. במערב משוכנעים כי יש קשר הדוק בין שתי המדינות בתחום הסייבר.

את מתקפות הסייבר הללו, יש לראות כחלק מאותה התגוששות בינלאומית, שחלק ממנה מקבל ביטוי בתקיפות של חיל האוויר בסוריה, וחלק גדל והולך מקבל ביטוי בדמות מתקפות סייבר.

באותו אופן, כפי שאנו רואים הצטיידות של הסורים במערכות נ"מ מתקדמות, שמשנות את המאזן האסטרטגי, כך עולם הסייבר חווה לאחרונה עליית מדרגה ושינוי ביכולות. את השינוי הזה אפשר לסכם בהתגברות המוטיבציה של הצד שכנגד לבצע תקיפות מהסוג של מתקפת סטקסנט. באירועים כאלה, מתקפת סייבר גורמת לשינוי בעולם הפיזי. בכך הן בעצם מקרבת את הסייבר, שנתפס עד כה בעיני רבים יותר כ-"פשע מחשבים" בעולם הווירטואלי, לכיוון שיותר דומה ל-"כלי נשק", כמו שאנו מכירים אותם שמבצעים נזק בעולם הפיזי - פוגמים, שוברים, משמידים.

לפגוע במערכות בטיחות ובמכונות

מתקפות מסוג זה, הן לא נגד מחשבים לשם מחיקת או גניבת מידע, אלא נגד בקרי אבטחה, מחשבים זעירים בציוד תעשייתי, שמשמשים כמערכות בקרת הבטיחות של המתקנים. כאלה, למשל, שמוודאים שהטמפרטורה או הלחץ במכונות לא יחרוג מגבולות מסוימים.

בדצמבר 2017 אירעה במזרח התיכון מתקפה חריגה בחומרתה שהראתה שהתוקפים עלו בתעוזתם והראו כי הם מוכנים לבצע תקיפה בתשתית קריטית, שמשולה לחיתוך כבלי הברקסים במכונית ושבמפעלים קריטיים עלולה לגרום להתלקחויות ופיצוצים. מבדיקות שנערכו עולה, כי הווירוסים כאלה היו קשורים או נוצרו לשם תקיפות של בתי זיקוק בסעודיה ובבחריין.

המתקפות אם כן, עברו מעולם טכנולוגיות המידע (IT) לטכנולוגיות תפעוליות (OT), ובעולם זה, בהן יש אינספור מערכות הפעלה וטכנולוגיות שיוצרו ב-50 השנים האחרונות - קיים פער אינהרנטי משמעותי בין צרכי ההגנה ליכולת ההגנה.

ציוד תעשייתי ותשתיתי נמצא בכל תעשייה ולא רק בתשתיות כמו מים וחשמל, אלא גם במזון ובתרופות ובתחבורה. לכן נדרשת היום הערכה מקיפה מחודשת של היקף מאמצי ההיערכות, העלאת המודעות לחומרת האיומים, והעלאת הילוך בשיתוף הפעולה המשקי בנושא. משבר הקורונה הראה כי הדבר אפשרי, עתה ייתכן שיש ליישם זאת גם בתחום הגנת הסייבר.

עדיין מסוכנת למרות הכלכלה קורסת

המתקפה על הנמל תופסת את איראן בתקופה רגישה במיוחד. היא סופגת לאחרונה מכות קשות. העיצומים הממושכים שכפתה ארצות-הברית הקטינו מאוד את הכנסותיה מענף הנפט ומוצריו. שער המטבע הקורס הביא להחלפת המטבע ולמחיקת ארבעה אפסים. במישור הצבאי משמרות המהפכה ספגו מכה קשה עם חיסול מנהיגם קאסם סולימאני.

ד"ר רז צימט, מומחה לאיראן מהמכון למחקרי בטחון לאומי, אומר כי הכלכלה האיראנית נמצאת במצב רע בשל העיצומים, והיא הידרדרה עוד יותר בימי הקורונה. לדבריו, נתח הכלכלה הגדל והולך של מסחר ושירותים, שצמח על חשבון ענף הנפט השרוי בעיצומים, ספג בעצמו מכה קשה בשל המגבלות שהוטלו עם התפרצות הקורונה. לפי אומדנים אחרונים, למשק האיראני נוספו 3-6 מיליון מובטלים, נתון העשוי להוסיף לזעם כלפי השלטונות.

עם זאת, איראן הייתה ונותרה מסוכנת ומחויבת לתגובה על המתקפות עליה, בין אם הן צבאיות בסוריה ובין אם הן מתקפת הסייבר. יש המעריכים, כי התגובה האיראנית תגיע, אך ככל הנראה תהיה עקיפה באמצעות ארגוני טרור נתמכים ולא באופן ישיר. 

צרו איתנו קשר *5988