כלכלה

אלה קבוצות הסייבר המזוהות עם המשטר באיראן ומנסות לקחת חלק במלחמה

מחלקת המחקר בצ'ק פוינט מיפתה את קבוצות הסייבר שמזוהות עם המשטר באיראן ולוקחות חלק במלחמה המרחב האינטרנטי • סרגי שוקביץ׳, מנהל קבוצת המודיעין בצ׳ק פוינט: "אנחנו מזהים פוטנציאל להרחבה של טווח היעדים – כולל ארה״ב ומדינות המפרץ"

מתקפת סייבר איראנית (אילוסטרציה). צילום: Gemini

פעילות הסייבר ההתקפי היאנ פעילות משמעותית בזירת הלחימה המודרנית וגם כעת, במלחמה עם איראן, הפעילות הזו לוקחת חלק לא קטן במערכה. הפעילות הזו כוללת החל מהפעלת מערכי השפעה ועד שיבוש שגרת החיים המתוחה. בצ'ק פוינט מיפו את קבוצות התקיפה המזוהות עם המשטר באיראן וככל הנראה לוקחות חלק במלחמה.

בצ'ק פוינט אומרים כי המיפוי שעשו מייצג מיפוי עדכני של קבוצות סייבר המזוהות עם איראן ופועלות בזיקה למשמרות המהפכה (IRGC) ולמשרד המודיעין האיראני (MOIS), לצד זהויות פרוקסי וקבוצות "האקטיביסטיות" המובילות פעילות השפעה דיגיטלית.

לפי הסקירה, הפעילות האיראנית משלבת ריגול, שיבוש והרס לצד מבצעי השפעה תודעתית, והיא צפויה להתרחב מעבר לזירה המקומית למדינות נוספות במזרח התיכון, ארה״ב ויעדים נוספים הנתפסים כיריבים.

Cotton Sandstorm (מזוהה עם IRGC)

סוג פעילות: פעילות משולבת של שיבוש והשפעה תודעתית, לרוב בקמפיינים מהירי תגובה לאירועים גיאופוליטיים.

דוגמאות מרכזיות: השחתת אתרים, מתקפות DDoS, השתלטות על חשבונות דוא״ל וגניבת מידע לצורך פעילות “hack-and-leak”, חדירה לחברת IPTV אמריקאית ושידור מסרים שנוצרו באמצעות AI, תקיפות נגד גופי ממשל ותשתיות בבחריין, שימוש ב-WezRat להפצת נוזקה באמצעות spear-phishing, שימוש נקודתי של WhiteLock ransomware נגד יעדים בישראל, חידוש פעילות תחת הזהות Altoufan Team בעת הסלמה אזורית.

יעד עיקרי: ישראל, מדינות המפרץ וגופים בעלי חשיפה ציבורית, לצד הרחבה למדינות נוספות בהתאם להתפתחויות בזירה

Educated Manticore (מזוהה עם IRGC-IO / APT35-42)

סוג פעילות: ריגול ממוקד מבוסס הנדסה חברתית והתחזות ברמת אמון גבוהה.

דוגמאות מרכזיות: spear-phishing נגד עיתונאים, חוקרים ואקדמאים; שימוש בערכות פישינג המתחזות ל-WhatsApp, Microsoft Teams ו-Google Meet; גניבת סיסמאות וטוקנים של Session; איסוף שקט מתיבות דוא״ל ושל מסמכים; במקרים מסוימים גם איסוף נתוני מיקום.

יעד עיקרי: אנשי תקשורת, חוקרים, מומחי אבטחה ואנשים בעלי גישה למידע רגיש או למקבלי החלטות במזרח התיכון ובארה״ב.

MuddyWater (מזוהה עם MOIS)

סוג פעילות: ריגול מתמשך בארגונים ממשלתיים ותעשייתיים, עם יכולת לעבור לשיבוש בעת הצורך.

דוגמאות מרכזיות: קמפייני פישינג רחבי היקף; שימוש בכלי Remote Monitoring & Management; הפצת קבצים זדוניים דרך שירותי שיתוף לגיטימיים; שימוש בכלי Windows מובנים (PowerShell, WMI); השתלטות על חשבונות דוא״ל פנימיים להפצת פישינג נוסף;

יעד עיקרי: ממשלות, מגזרי אנרגיה ותקשורת וארגונים עסקיים בישראל ובמדינות המפרץ, ולעיתים גם מחוץ לאזור

Void Manticore / Handala (מזוהה עם MOIS)

סוג פעילות: פעילות “hack-and-leak” והשפעה פסיכולוגית ותודעתית.

דוגמאות מרכזיות: חדירה לחברות לצורך גניבת מידע; פרסום מתוזמן של מידע גנוב; ניצול שרשרת אספקה (ספקי IT ושירותים) להגעה ליעדים משניים; פרסום “הוכחות” לצורך הפחדה וביסוס אמינות; סריקות לאיתור חולשות באפליקציות חיצוניות, לרבות פעילות שזוהתה מטווחי IP של Starlink.

יעד עיקרי: גופים ישראליים, עם פעילות נקודתית מחוץ לישראל בהתאם לאינטרס תודעתי.

Agrius (מזוהה עם MOIS)

סוג פעילות: פעילות הרסנית במסווה של מתקפות כופר.

דוגמאות מרכזיות: מתקפות מחיקה (Wipers); pseudo-ransomware המשמש כהסוואה לפעילות הרסנית; ניצול שרתי אינטרנט חשופים כווקטור חדירה; שימוש ב-ASPX webshell; טכניקות Living-off-the-Land (LOLBins) וכלים ציבוריים לתנועה רוחבית; סריקות מצלמות פגיעות בישראל במהלך מלחמת 12 הימים ביוני 2025 לצורך הערכת נזק.

יעד עיקרי: בעיקר יעדים בישראל, וכן יעדים אזוריים נוספים במזרח התיכון.

סרגי שוקביץ׳, מנהל קבוצת המודיעין בצ׳ק פוינט: בניגוד להסלמות קודמות, שבהן עיקר הפעילות התמקדה בישראל, אנו רואים כעת פוטנציאל להרחבה של טווח היעדים – כולל ארה״ב ומדינות המפרץ, ובראשן איחוד האמירויות. האקוסיסטם האיראני פועל במודל רב-שכבתי, שבו ריגול, שיבוש והשפעה תודעתית משתלבים זה בזה.

"המשמעות היא שהעימות במרחב הסייבר אינו תחום עוד לגבול גיאוגרפי מסוים, אלא מתנהל בזירה בינלאומית רחבה יותר, בהתאם לאינטרסים האסטרטגיים של איראן״.

טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו