שאגת הארי - חזית הסייבר: קמפיין ההשפעה מאחורי המתקפות

בעוד שמערכת התקיפות באיראן ממשיכה בעוצמה, חזית נוספת בה המלחמה אינה פוסקת לרגע היא עולם הסייבר. על אף שישראל נחשבת למעצמה בתחום הסייבר, בדומה לתחום ההגנה האווירי, גם במאבק מול האקרים ומתקפות סייבר אין הגנה הרמטית.

קבוצת הסייבר האיראנית "חנדלה" פרסמה היום (ראשון) הודעה, בה היא טוענת שפרצה לטלפון הנייד של שר הביטחון לשעבר יואב גלנט, והשיגה מידע אישי, התכתבויות ומספרי טלפון.

רק לאחרונה חשף מטה הסייבר שהאיראנים הצליחו לבצע 50 פריצות במהלך המלחמה. למרות זאת, בחברת צ'ק פוינט מציינים שלצד חלק מתקיפות הסייבר שמצליחות, במקרים רבים הודעות ארגונים מעיין אלו היא הפצה מכוונת של מידע שקרי ומטעה.

אז מי זו קבוצת "חנדלה" ומה לעזאזל קורה כאן?

לפי סקירה שפרסמה חברת צ'ק פוינט, קבוצת "חנדלה" אינה ישות האקרים עצמאית, אלא חלק ממיניסטריון המודיעין האיראני. הקבוצה, הפועלת גם תחת השם Void Manticore, התפרסמה לראשונה בסוף שנת 2023 ומאז מתמקדת בעיקר בתקיפת יעדים ישראליים, תוך שילוב בין חדירה למערכות, פרסום מידע והפצת טענות לפריצות - לעיתים גם כאשר לא ניתן לאמת באופן מלא את היקפן.

דפוס הפעולה של הקבוצה מבוסס בעיקר על ניצול חולשות אבטחה מוכרות ושימוש באמצעים זמינים יחסית, ולא בהכרח על יכולות טכנולוגיות יוצאות דופן. הפעילות כוללת חדירה למערכות באמצעות פרטי גישה שנגנבו או מערכות שלא הוגנו כראוי.

בשלב הבא מתחיל פרסום מבוקר של חומרים או טענות לפריצה. חלק מההשפעה של הקבוצה נובע מהשילוב בין הפעילות הטכנית ובין האופן שבו היא מוצגת לציבור, מה שמגביר את תחושת החשיפה גם כאשר היקף הפגיעה בפועל מוגבל. בחלק מהמקרים הקבוצה מבצעת גם מחיקת מידע בארגונים שאליהם היא חדרה.

מאז תחילת המלחמה הנוכחית, ניכרת הרחבה של היעדים של הקבוצה, כולל פעילות נגד גופים מחוץ לישראל, בעיקר בארה"ב. בסוף שבוע האחרון הקבוצה פרצה למייל הפרטי של ראש ה-FBI, קאש פאטל, והדליפה תמונות והתכתבויות אישיות שלו. לפני כשבועיים היא השביתה השביתה חלקים גדולים מהרשת של ענקית הטכנולוגיה הרפואית האמריקאית Stryker.

לאחרונה הקבוצה גם טענה כי ביצעה מתקפה נגד רשת קמעונאית אמריקאית, במסגרתה נמחקו לכאורה כמויות גדולות של מידע. עם זאת, החומרים שפורסמו ביחס למקרה אינם מאפשרים לאמת את מלוא היקף האירוע. דפוס זה, של פרסום חלקי לצד טענות רחבות, חוזר על עצמו במספר מקרים.

מחקרים עדכניים של צ'ק פוינט מצביעים על עלייה כללית בפעילות סייבר מצד גורמים איראניים באזור. "במהלך התקופה האחרונה אנו מזהים התרחבות בפעילות הסייבר האיראנית, הן מבחינת היקף והן מבחינת אופי הפעילות", אומר סרגיי שוקביץ', מנהל קבוצת מודיעין הסייבר בצ'ק פוינט.

שוקביץ' מוסיף כי "מעבר לפעילות של קבוצות כמו "חנדלה", אנו רואים היקף רחב יותר בניסיונות תקיפה של גורמים איראניים. החל מסריקות לניצול מערכות חשופות, דרך קמפיינים של הנדסה חברתית ועד לניסיונות לאיסוף מידע בזמן אמת, למשל באמצעות מצלמות אבטחה שאינן מאובטחות".

לפי ממצאי המחקר, החל מ־28 בפברואר זוהתה עלייה משמעותית בניסיונות סריקה וניצול חולשות במצלמות המחוברות לרשת במספר מדינות באזור, ובהן ישראל, איחוד האמירויות, קטר, בחריין וכווית. פעילות דומה נצפתה גם בלבנון ובקפריסין - כאשר קפריסין, מדינה חברה באיחוד האירופי, חוותה בתקופה האחרונה גם ירי טילים משמעותי לכיוונה המיוחס לאיראן.

המחקר מבוסס על ניטור מתמשך של תשתיות תקיפה המשויכות לקבוצות סייבר המקושרות לאיראן. חוקרי צ’ק פוינט עוקבים אחר שרתי תקיפה, תשתיות ענן ורשתות VPN המשמשות את הקבוצות הללו. במסגרת הניטור זוהו גלים של סריקות נגד מצלמות המחוברות ישירות לאינטרנט בניסיון לאתר מערכות החשופות לחולשות אבטחה מוכרות.

לדברי החוקרים, פעילות זו עשויה לאפשר לתוקפים להשיג גישה למצלמות ולצפות בתיעוד בזמן אמת מאזורים שונים. יכולת כזו יכולה לשמש בין היתר לצורך איסוף מודיעין חזותי או להערכת נזק לאחר תקיפות, תהליך המכונה בעולם הצבאי Battle Damage Assessment.

החוקרים מציינים כי הדפוס שנצפה כעת מזכיר דפוס שזוהה במהלך מלחמת 12 הימים בין ישראל לאיראן ביוני האחרון, אז נרשמו עלייה של למעלה מ-1000% בניסיונות השתלטות על מצלמות אבטחה כחלק ממאמץ לאסוף מידע על אזורי תקיפה.

לדברי שוקביץ': "לא מדובר בהכרח בקפיצה טכנולוגית, אלא בהרחבה של שימוש בשיטות מוכרות בקנה מידה גדול יותר ובתזמון מדויק יותר. השילוב בין פעילות דיגיטלית לבין אירועים בזירה הפיזית, כמו הפצת הודעות מתחזות בזמן מתקפות, מצביע על רמה גבוהה יותר של תיאום ועל כך שסייבר הפך לכלי משלים בתוך מערך רחב יותר של הפעלת כוח. במובן הזה, מדובר במגמה מתמשכת שבה גבולות בין מודיעין, השפעה ותקיפה הופכים פחות ברורים".

ממטה הסייבר לא נמסרה תגובה.