ה-FBI ומערך הסייבר חושפים פרטים על קבוצת תקיפה איראנית

ה-FBI, משרד האוצר האמריקני ומערך הסייבר הלאומי בישראל פרסמו במשותף מסמך, המציג את פעילות קבוצת התקיפה האיראנית בסייבר Aria Sepehr Ayandehsazan (Emennet Pasargad), המשויכת למשמרות המהפכה ברפובליקה האסלאמית.

במסמך מפורטות שיטות פעולה, תשתיות וקמפיינים אחרונים שנצפו בישראל ובארה"ב. בין היתר, מוצגים פרטי חקירת הקמפיין כנגד ספורטאים מהמשלחת הישראלית לאולימפיאדת הקיץ בפריז, אז ההאקרים ניסו להשתלט על לוחות תצוגה כדי לגנות את ישראל. עוד מפורטים ניסיונות פריצה לישראל ולבחירות לנשיאות ארה"ב ב-2020.

הקבוצה השתמשה בחברה בשם Aria Sepehr Ayandehsazan (ASA) ככיסוי לפעולותיה. החוקרים כינו אותה בשמות שונים, כולל "סופת חול כותנה" ו"חתלתול מטורף ולא תקין".

"הקבוצה עשתה שימוש בכלים חדשים, במאמציה לנהל פעולות מידע מבוססות סייבר עד אמצע 2024, תוך שימוש במספר עצום של ישויות כיסוי, כולל פעולות סייבר רבות במהלך אולימפיאדת פריז 2024". חברי הקבוצה ניסו גם לקצור תוכן ממצלמות IP, המשמשות לצילום סרטוני מעקב, והשתמשו בכלי בינה מלאכותית.

"מאז 2023, הקבוצה השתמשה בכלים חדשים, כולל שימוש במשווקים פיקטיביים של אירוח, כדי לספק תשתית שרתים תפעולית לחבריה, כמו גם לשחקן איום בלבנון, המעורב באירוח אתרים".

על פי המסמך, ההאקרים השתמשו בכלים שונים כדי להשתלט על החברה הצרפתית – ששמה לא נמסר – שהפעילה את מסכי התצוגה באולימפיאדה. מטרתם הייתה "להציג מונטאז'ים של תמונות בגנות השתתפות ספורטאים ישראלים במשחקים האולימפיים והפראלימפיים 2024".

"מתקפת סייבר זו לוותה במסעות כזב מניפולטיביים, כולל פרסום מאמר פייק ניוז באתר תקשורת צרפתי, והפצת מסרי איום לכמה ספורטאים ישראלים ולחברי המשלחת הישראלית. הם כינו עצמם בשם 'רגימנט GUD', והתחזו לארגון הימין הקיצוני הצרפתי 'GUD' – האמיתי", נכתב.

בשנה שעברה, משרד המשפטים בארה"ב ומיקרוסופט שייכו לחברי אמנט פסרגד את מבצע הסייבר שכוון נגד המגזין הסאטירי הצרפתי שארלי האבדו. ההאקרים גנבו את פרטיהם האישיים של 200 אלף לקוחות שרלי הבדו, לאחר שפרצו לאחד ממאגרי המידע של המגזין.

המסמך, המבוסס על חקירות FBI וניתוח טכני, מצטט מחקר שפרסמה באחרונה מיקרוסופט, המצביע על כך שהקבוצה מעוניינת להתמקד באתרי בחירות וכלי תקשורת – לצורך ביצוע פעולות השפעה ותודעה.

ה-FBI זיהה בראשונה את פעולותיה של הקבוצה ב-2022, אז דווח על כמה מבצעי פריצה והדלפה שנועדו להביך ארגונים, בעיקר בישראל. משרד המשפטים האמריקני האשים שניים מחברי הקבוצה ב-2021 בפריצה לכמה אתרי בחירות ב-2020, שיתוף סרטונים מזויפים של הונאת בחירות עם חברי המפלגה הרפובליקנית, והתחזות לחברי "הנערים הגאים" במיילים המאיימים על מצביעים דמוקרטים.

לפי המסמך, "בדומה למעשיהם ב-2020, הקמפיינים האחרונים של הקבוצה כוללים שילוב של פעילות חדירה למחשב, עם טענות מוגזמות, או פיקטיביות, על גישה לרשתות קורבנות, או לנתונים גנובים – כדי לשפר את ההשפעות הפסיכולוגיות של פעילותם".

חוקרי ה-FBI הצליחו גם לאסוף מידע על הכלים והפעילות של אמנט פסארגד מאירועים אחרים – בצרפת, שבדיה וישראל. לפחות במבצע אחד, הקבוצה נצפתה משתמשת בבינה מלאכותית יוצרת, כדי ליצור מגיש חדשות מזויפות. הקבוצה משתמשת גם במשפר תמונות מבוסס AI, מחליף קול ומחוללי תמונות אחרים.

בשוודיה הקבוצה ערכה כמה מבצעי מידע ופריצות, לכאורה בתגובה לאזרחים שוודים ששרפו את הקוראן. עוד נכתב כי ל-ASA מיוחסים גם כמה מבצעים נוספים שאירעו באחרונה, כולל פריצה לחברת סטרימינג אמריקנית. חבריה ערכו כמה פעולות האקטיביסטיות, וקידמו אותן במדיה החברתית תחת השם "Cyber Court". החוקרים תפסו כמה דומיינים ששימשו את הקבוצה לניהול תשתיות ולערפול פעילותה.

הודעת SMS למשפחות החטופים שהקבוצה שלחה. צילום: מסמך ה-FBI

חברי הקבוצה האיראנית יצרו קשר עם בני משפחות של ישראלים חטופים על ידי החמאס, ושיתפו תמונות של הודעות טקסט שהם שלחו לבני המשפחות – לפיהן הוצעו לישראל עסקאות בתמורה לשחרור בני הערובה, שסורבו שוב ושוב. ההאקרים קראו למשפחות "לשמור על קשר" כדי לדעת מה מצבם של החטופים.

מאז ה-7 באוקטובר 2023 חברי הכנופייה ערכו כמה פעולות נוספות בישראל, כולל ניסיון לגנוב וידיאו ממצלמות IP במדינה. חברי הקבוצה ניסו לזהות טייסי קרב ישראלים, מפעילי כטב"מים וחיילים אחרים, בדרכים שונות.

בפברואר 2022 הודיעה מחלקת המדינה על פרס של 10 מיליון דולר עבור מידע על סיד מוחמד חסין מוסא כאט'מי וסג'אד קאשיאן – שני קבלנים איראנים שעבדו עבור Emennet Pasargad ופתחו בכמה מבצעים, שנועדו "לזרוע מחלוקת ולערער את אמון הבוחרים בתהליך הבחירות בארה"ב". מחלקת המדינה הטילה עיצומים על חברי הארגון בחודש שעבר, כאשר הגישה כתבי אישום בגין מתקפת הסייבר על הקמפיין של הנשיא לשעבר, דונאלד טראמפ.