"נשק ההשמדה" הדיגיטלי של איראן: מומחה הביטחון עושה סדר

הם פרצו לטלפונים של בכירי הממשל, השתלטו על מערכות כריזה במוסדות ציבור ומשדרים שירי טרור בממ"דים • שי נחום, מנכ"ל CYGHT וזוכה פרס ביטחון ישראל, משרטט את מפת האיומים החדשה של איראן: מקבוצת "חנדלה" ועד נוזקות המחיקה הקטלניות • האם הוואקום הפיקודי בטהרן יגרום להאקרים להשתולל, ואיך תוכלו לזהות בשנייה אחת שמישהו מנסה לפרוץ לכם למכשיר?

מתקפת סייבר איראנית (אילוסטרציה). צילום: Gemini

מלחמת הצללים בשיאה: בזמן שצה"ל פועל בזירות השונות, חזית הסייבר האיראנית רותחת ומנסה לחדור לכל בית בישראל - ממערכות הכריזה בגני הילדים ועד למאגרי המידע הרפואיים של כולנו. שי נחום, מנכ"ל חברת CYGHT, מומחה ללוחמת סייבר וזוכה פרס ביטחון ישראל, מנתח את מפת האיומים העדכנית.

החל מקבוצת "חנדלה" שהפכה לזרוע תודעתית רבת עוצמה, דרך נוזקות ה"ביבי-וויפר" המיועדות להרס טוטאלי, ועד לשאלה הגורלית כיצד ישפיעו חיסולי הבכירים באיראן על המוטיבציה של ההאקרים לנקום. מדריך מיוחד להתגוננות בעידן של טרור דיגיטלי.

מתקפת הסייבר על תחנות אוטובוס הפצצות יתפוצצו בעוד כשעה (ארכיון)

מי הן אותן קבוצות? אילו אירועי תקיפה מוכרים הן ביצעו בישראל?

"ישנן כמות גדולה מאוד של קבוצות סייבר שתוקפות את ישראל, אך אלו שהגיעו להישגי החדירה הגדולים ביותר הן muddywater ,oilrig ,chafer ,Phosphorus וכאלו שנוצרו במיוחד עבור המאבק הפלסטיני המוכרות מהתקופה האחרונה כמו HANDALA, ו -CYBER TOUFON".

נחום מסביר: "הן פרצו לעשרות חברות וארגונים ישראלים, כולל גופים מאוד גדולים וחזקים גם בסייבר והצליחו לבצע מגוון רחב של מתקפות, מדלף מידע עד הצפנה והשבתה של החברות. במספר רחב של סקטורים כמו מדיקל, IT וטכנולוגיה, תעשיות ביטחוניות, כוח אדם, תעשיות ועוד. הציבור הישראלי מכיר אותן מפרסום מתקפות סייבר כמו המתקפה על שירביט, הטכניון, הילל יפה, זיו מדיקל ועוד".

נחום מוסיף כי "הקבוצה המוכרת מכולן היא ככל הנראה חנדלה, שהפכה בשנתיים האחרונות לכלי מרכזי בלוחמה הפסיכולוגית של המודיעין האיראני נגד ישראל. היא מוכרת לציבור מחשיפת חשבון הטלגרם של ראש הממשלה לשעבר, נפתלי בנט, ושל ראש הסגל של נתניהו, צחי ברוורמן. לפני מספר חודשים, בינואר 2025, היא השתלטה על מערכות כריזה בכ-20 גני ילדים ומוסדות ציבור, דרכם שידרה שירים תומכי טרור והתרעות שווא בזמן מלחמה".

בספטמבר 2024 היא טענה לפריצה לכאורה למרכז הגרעיני בשורק - שחדרה למערכות המרכז, גנבה 197 ג'יגה-בייט של נתונים ופרסמה תמונות מתוך המתקן ופרטים אישיים של מדעני גרעין. "ישראל הכחישה, אבל אין ספק שהאירוע שימש ככלי תודעתי משמעותי". אירוע נוסף, ממש החודש, היה תקיפת שירותי בריאות כללית בסמוך למבצע "שאגת הארי". "הקבוצה טענה שהדליפה מידע רפואי רגיש של כעשרת אלפים מטופלים. לאחר בדיקה התברר כי זה מידע מתקיפה שהתקיימה ב-2025".

קבוצת הסייבר חנדלה, צילום: ללא

כמו כן, יש את Karma ו-Homeland Justice, המתמחה במתקפות מחיקה (Wiper) הרסניות המשמידות נתונים לצמיתות. |תחת הזהות Karma, הקבוצה תקפה ארגונים ישראלים רבים באמצעות נוזקה שנקראה על שמו של ראש הממשלה בנימין נתניהו ('BiBi Wiper'), המיועדת להשחית את מערכות ההפעלה ולמחוק קבצים ללא יכולת שחזור".

מה עשויה להיות המשמעות של חיסולו של בכירים?

"בטווח הזמן המיידי, תהיה פגיעה משמעותית במבצעים מתוזמנים ויעדים חדשים. יחד עם שיבוש של החלטות תקציב ותיעדוף יעדים. זה כמובן שיבוש זמני ולא קריסה מבנית אבל בהחלט משפיע באופן ניכר. אך עם זאת, הידע והכלים אינם מרוכזים באדם אחד, אלא מבוזרים. בטווח הבינוני, היעדר דמות מרכזית עלול לפגוע בתיאום ובמבצעים מורכבים ורב-שלביים, אך במקביל להגביר פעילות מבוזרת של תאים עצמאיים. המשמעות היא יותר ניסיונות קטנים ומפוזרים ופחות קמפיינים אסטרטגיים מסונכרנים. סביר להניח שתתבצע החלפת תפקידים והתארגנות מחדש, שינוי בתעדוף ובדפוסי הפעולה".

מהי המשמעות המבצעית של "מתקפות מבוזרות" במקרה של היעלמות פיקוד סייבר מרכזי?

"כאן, כאשר יש הישגים גדולים בצד הישראלי, יהיו הרבה קבוצות סייבר שירצו לנקום ולהצטרף למאבק נגד המערב", אומר נחום. "כאשר אין פיקוד מרכזי, יכולות להיות יותר מתקפות סייבר שביניהן מתקפות מבוזרות ומניעת שירות DDOS יוזמתיות ללא תיאום, וכמובן מתקפות סמליות כדי להראות רלוונטיות או נאמנות. כנראה שנראה הרבה מאוד פעילות רועשת כמו מתקפות מניעת שירות כדי להראות דופק ולהישאר רלוונטיים".

האם הוואקום הפיקודי באיראן יגדיל את הסיכון למתקפות סייבר במערב?

"מצד אחד, בטווח הקצר והבינוני הוואקום הפיקודי יוצר בלבול ארגוני, פגיעה משמעותית בפיקוד ושליטה של הקבוצות, עצירה של מתקפות סייבר חדשות ואף רתיעה מחשיפה. לעומת זאת, בטווח הקצר ארגונים וחברות, שהאיראנים כבר השיגו עליהם שליטה מלאה, קיימת סבירות גבוהה כי יחוו פגיעה משמעותית נוספת כדי לייצר אפקט והשפעה במשק ובחברה הישראלית".

ישראל יעד מספר 1 במלחמת הסייבר העולמית, צילום: Gemini

עם זאת, אומר נחום, "בטווח הארוך יותר הקבוצות יהיו חייבות לייצר הישג תודעתי ענישתי כדי להראות קמפיינים ראוותניים נגד יעדים מערביים, ולכן כנראה ניסיונות התקיפות יתגברו".

האם הגיל של התוקפים משפיע? ומה לגבי ניבוי והיערכות של ארגוני ההגנה?

"הגיל פעמים רבות יכול להעיד על ניסיון וחוכמת סייבר, אבל הרבה פעמים גם מוחות צעירים מצליחים להביא הברקות וחשיבה מחוץ לקופסה שמביאה הישגים".

האם ובאילו דרכים התוקפים משתמשים בפלטפורמות מוכרות כדי לתקוף את הציבור?

"הדרך הכי מוכרת היא באמצעות פישינג של מיילים והודעות SMS. משם הם התרחבו כמובן לרשתות החברתיות ולפלטפורמות השונות כמו וואטסאפ וטלגרם. אך עם זאת, הם משתמשים גם בדרכים נוספות כמו למשל ניצול חולשות במכשירים, הורדה של תוכנות ואפליקציות זדוניות או כאלה שמאפשרות שליטה מרחוק על מכשיר היעד. אלו הדרכים הכי נפוצות".

מדוע פגיעה ביכולות צבאיות קונבנציונליות הופכת את הסייבר לכלי אטרקטיבי יותר עבור המשטר?

"היום כולנו מחוברים בין אם אנחנו אינדבדואלים, או חברות ותעשיות. האיראנים יודעים זאת ומבינים שהדרך המהירה להשגת הישיגים יכולה להגיע דרך הלוחמה הקיברנטית. יתרה מכך, מימד הסייבר מאפשר להם תמיד לשמור על מעטה חשאיות ולכן זו דרך נפלאה גם לחדור לארגונים, להשיג מודיעין וגם להשיג מטרות טקטיות ואסטרטגיות".

שי נחום, מנכ"ל CYGHT, צילום: יהושע יוסף

האם כל הודעה בטלגרם על "פריצה למאגר נתונים" היא אמת, או שיש כאן ניסיון להפחיד אותנו?

"כמובן שלא כל הודעה לפריצה למאגר נתונים היא אמת", אומר נחום. "האיראנים מומחים בזריעת טרור ופחד בקרב האוכלוסיה. יש הרבה מקרים שבהם הם מפרסמים כי פרצו למאגר ובסוף מתברר שזה לא נכון. הן עושות את זה כדי לזרוע פחד והפצת טרור סייבר או שהם פשוט טועים ולא עשו ניתוח נכון של המידע. יכול גם להיות שהם ממחזרים פריצות וחומרים ישנים כמו הפריצה לכללית מ-2025".

למה האיראנים תוקפים דווקא אתרים אזרחיים או חברות לוגיסטיקה במקום רק מטרות צבאיות?

"האיראנים מבינים טוב מאוד את המשק האזרחי והתרבות הישראלית. במקום לנסות לפרוץ כל הזמן חומות גבוהות והגנות חזקות של תעשיות ומטרות צבאיות, הם הולכים לבטן הרכה של המשק. אתרים אזרחיים, חברות לוגיסטיקה או כוח אדם - המשמשות כשרשרת אספקה של תעשיות ביטחוניות וגורמים צבאיים. חברות אזרחיות הן מטרות יחסית קלות ללא מודעות גבוהה לאיומי סייבר. לאחר חדירה מוצלחת לאחד מהחוליות החלשות הללו, הם ינסו לחדור משם לתעשיות היותר מאובטחות".

איך אפשר להתגונן? וכמובן איך אפשר לזהות אם מה שנשלח אליי הוא תקיפת סייבר?

"הכי טוב תמיד להתייעץ עם מומחה וחברת סייבר שיכולה לבצע בדיקת עומק האם אתם תחת מתקפת סייבר. לחילופין, יש ברשת מגוון רחב של מערכות חינמיות שניתן לבדוק איתן האם זו מתקפת סייבר למשל Virustotal.com / Scanmysms ועוד".

תקיפת סייבר (אילוסטרציה), צילום: gettyimages

מה ההבדל בין פריצה שגונבת פרטי אשראי לפריצה שנועדה לזרוע פאניקה?

"מתקפת סייבר שמתמקדת בגניבת כרטיסי אשראי היא בדרך כלל מתקפת סייבר פיננסית שהמטרה החשובה ביותר היא להשיג רווח כספי. לעומת זאת, יש המון סוגי מתקפות סייבר שנועדו לזרוע פאניקה וטרור למשל מתקפות מבוזרות DDOS של מניעת שירות, השבתת פעילות של חברה, מחיקה והשבתה פעילות של חברה WIPING, ועוד".

טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו

עקבו אחרינו

G o o g l e News

איראן מבצע שאגת הארי מתקפת האקרים מתקפת סייבר

כדאי להכיר

המקום הכי טוב באיצטדיון - שלכם

המונדיאל עם מסכי Dreame - כמו שעוד לא ראיתם ולא שמעתם

בשיתוף Dreame