כל מה שרציתם לדעת על הסייבר האיראני ולא העזתם לשאול

מלחמות הסייבר של איראן מול ארצות הברית, ישראל ועוד מדינות הן נושא שנמצא בכותרות לא אחת. הפעילות האיראנית בסייבר נמשכת כל הזמן ולא יהיה מופרך להניח שגם עכשיו, עם המתיחות בינה לבין ארצות הברית ובריטניה סביב הסכם הגרעין והתקיפות במפרץ הפרסי, היא מבצעת פעילות מקוונת התקפית, ואולי אפילו ביתר שאת.

פעילות הסייבר האיראנית עמדה במרכז דבריו של אוהד זיידנברג, אנליסט סייבר בכיר וצייד איומים בחברת אבטחת המידע הישראלית קלירסקיי, שדיבר במפגש שהתקיים אתמול (ד') ביס פלאנט בראשון לציון במסגרת פורום הסייבר ואבטחת המידע CSC מבית אנשים ומחשבים. את המפגש, שעסק במודיעין סייבר, הנחה גיא מזרחי, סמנכ"ל לתחום זה ב-רייזון, שעומד בראש הפורום.

קלירסקיי עוקבת מזה זמן אחרי פעילות הסייבר של איראן ושל "רעים" אחרים, כמו צפון קוריאה. רק בחודש שעבר חשפה החברה טקטיקות תקיפה חדשות של קבוצת הסייבר MuddyWater, המקושרת למודיעין האיראני, ובדצמבר האחרון היא דיווחה על רשת של 150 אתרי פייק ניוז בשפות שונות שמפעיל המשטר בטהרן – לצרכי תעמולה ופנייה ישירה לגולשים במדינות אויבות של איראן, כמו ארצות הברית, סעודיה וישראל.

איראן פועלת גם נגד ארגונים. זיידנברג, שכינה אותה "המדינה המרתקת ביותר במזרח התיכון", אמר במפגש כי "האיראנים ממשיכים לנסות ולחדור לארגונים רבים בארץ ובעולם, באמצעות ניסיונות למשלוח דברי דואר עם קובץ נושא נוזקה, פריצה לחשבונות מייל ושימוש בחשבונות אלה לצורך בניית אמון של המותקף והדבקתו בנוזקה".

אלה גופי הסייבר האיראניים העיקריים

הוא ציין כי המודיעין האיראני פועל באמצעות ארבעה מרכיבים: יומינט – מודיעין אנושי, סיגינט – מודיעין אותות, ויזינט – מודיעין ויזואלי, ואוסינט – מודיעין מבוסס מידע ממקורות גלויים. "זה עולם מטורף, עם מידע גלוי שניתן להשיג ממנו מודיעין רב, עם מאגרים רבים ויכולת לחשוף קמפיין סייבר נגד מדינות, ביניהן ישראל", אמר זיידנברג. לדבריו, "יש בשוק תוכנות שעוזרות לחפש את אותו מידע גלוי, למשל במדיה החברתית. מידע נוסף קיים בדארקנט, אף שקשה להעריך את מידת אמינותו. אלא שהחוכמה היא לא רק לדעת לחפש את המידע, כי אם גם לנתח אותו".

המודיעין האיראני הטכנולוגי, הוסיף, כולל שלושה גופים: משרד המודיעין, גוף ששייך למשמרות המהפכה ושלישי המהווה חלק ממשרד ההגנה. "משרד המודיעין האיראני הוא סוג של 8200, שב"כ ומוסד ביחד. הוא מחפש לתקוף לא רק גופים ואישים חיצוניים, אלא גם אזרחים איראניים. אנשי המשרד מדווחים למנהיג העליון של איראן, מה שיוצר בעיות מול גופי הסייבר האחרים במדינה", אמר.

אוהד זיידנברג, אנליסט סייבר בכיר וצייד איומים בקלירסקיי. צילום: יח"צ

לדברי זיידנברג, "משרד המודיעין עורך פעילות רבה נגד ישראל. בין השאר, אנשיו חושבים שהאקדמאים הישראליים שחוקרים את איראן הם אנשי מוסד. כאשר אותם חוקרי אקדמיה מותקפים, הם מספרים זאת לנו. כך, ב-2015 חשפנו קבוצת סייבר איראנית שתקפה מאות יעדים בישראל ובמזרח התיכון, באמצעות פעילות תקיפה רב שלבית של יעדים ותשתיות מחשוב, ובמגוון ערוצים. היה זה קמפיין תקיפה ממוקד, עיקש ושיטתי במיוחד, שהתבסס על איסוף מודיעין ומידע מקדים וממוקד על יעדי התקיפה. החוקרים שלנו כינו את מתקפת הסייבר 'מאגר תמר', על שמה של ד"ר תמר עילם-גינדין, בלשנית שמתמחה בפרסית ובאיראן, שהייתה אחת מיעדי התקיפה, דיווחה עליה וסייעה בתחקורה".

באשר לגוף הסייבר של משמרות המהפכה הוא אמר כי "זה מעין צבא 'שני', מקצועי ובעל כמה יחידות סייבר. גם מה שהוא עושה הוא שילוב של 8200, שב"כ ומוסד, ופעילותו מהווה כפילות מול זו של משרד המודיעין. בין השאר, אנשיו ניסו לפתח נוזקה שתוקפת מערכות SCADA. אלה הן מערכות תעשייתיות לניהול פעולות ותהליכים בזמן אמת בתשתיות מחשוב קריטיות, והשבתת מערכות אלה עלולה לגרום נזק ברמה הלאומית, כמו גם לפגוע בחיי אדם".

זיידנברג ציין כי "גם למשרד ההגנה, שאחראי על הגופים הביטחוניים של איראן, יש יחידות סייבר".

ה-"חתלתולים" מטהרן

בהמשך דבריו הוא פירט כמה מהמתקפות שביצעו קבוצות סייבר איראניות בשנים האחרונות: קבוצת ההאקרים MuddyWater, שפעלה במזרח התיכון, בין השאר נגד עיראק וערב הסעודית; משפחת החתלתולים – Charming Kitten, שמתחקה אחרי חוקרי איראן בישראל ובעולם, מנסה לחדור לחשבונותיהם האישיים ולשלוף מתוכם פרטים אודות רשת הקשרים שהם מנהלים עם איראנים שנחשבים כמשתפי פעולה עם אויבי המשטר האיראני; קבוצת החתלתול הרקטי – Rocket Kitten, שהתקיפה 1,600 מטרות בארץ ובעולם, בהם בכירים במערכת הביטחון ומדענים ישראליים; וקבוצת OilRig, הידועה גם כ-Helix Kitten.

לדבריו, "לרוב, החשיפה הפומבית שאנחנו עושים לקבוצות הללו מסייעת להשמדת תשתיות התקיפה שלהן – אבל לא תמיד".
זיידנברג סיים בציינו כי "קבוצות הסייבר האיראניות מתאפיינות במקצועיות, גם אם לא ברמה גבוהה, לצד עצלות. במקרה אנקדוטלי ומשעשע, הם ניסו לזייף את האתר שלנו, אלא שהם לא העתיקו בצורה נכונה את שם הדומיין, וגם השאירו את השעון של טהרן".