יכולות הסייבר של החיזבאללה: האם מצפון תיפתח הרעה?
תחקיר אנשים ומחשבים, רגע לפני מלחמה אפשרית עם החיזבאללה: מה חווינו בסייבר מצד ארגון הטרור הלבנוני-שיעי? מה צפוי לנו בעתיד? ומהי התרומה של הפטרונית שלו, איראן?
אם הגזרה הצפונית תוסיף להתחמם, עד כדי מלחמה של ממש עם החיזבאללה, ההערכות הן שגם זירת הסייבר תיכנס ללחימה, והארגון וישראל יחליפו מהלומות קיברנטיות, שיש מצב שגם אנחנו, הציבור, נדע עליהן. הקונצנזוס בקרב המומחים הוא שיש לחיזבאללה יכולות סייבר לא מעטות, אם כי כל אחד מהם מעריך אחרת עד כמה הן לא מעטות. בכל אופן, הוא טוב הרבה יותר (גם) בסייבר מה-"יבול" הדל שראינו מהחמאס במלחמה הנוכחית ובכלל, ונראה שהוא לא יהסס להשתמש ביכולות האלה.
"לחיזבאללה יש מזה שנים רבות יכולת סייבר התקפית. חלק ניכר ממנה נשען על סיוע מסיבי שהוא מקבל מאיראן בתחום. אולם, יש לו גם יכולת סייבר עצמאית, שאותה הוא מממש מול ישראל וגופים שונים בתוך לבנון", כך אמר לאנשים ומחשבים ד"ר הראל מנשרי, ראש תחום סייבר ב-HIT – המכון הטכנולוגי חולון, ומי שהיה ממקימי מערך הסייבר בשב"כ.
ד"ר מנשרי, שלצד תפקידו ב-HIT מרצה באוניברסיטאות תל אביב ובר אילן, ציין כי "לחיזבאללה יש יכולות סייבר לא רעות בכלל בהשוואה לארגוני טרור אחרים, בעיקר מאחר שעיקר כוחו בסייבר נובע מהיכולות המתקדמות שאיראן שיתפה איתו. האיראנים מתקדמים בעולם הסייבר כל הזמן. הם טובים, אבל לא שווים ליכולות של ישראל".
האם יכולות הסייבר שהחיזבאללה קיבל מהאיראנים יקבלו ביטוי במלחמה מולו?
ב-2020 פרסמו דוד סימן טוב ושמואל אבן מאמר בביטאון המכון למחקרי ביטחון לאומי, שנשא את הכותרת "מלחמת הסייבר בין ישראל לאיראן עולה מדרגה". "לפי דיווחים בתקשורת, איראן תקפה תשתיות מים וביוב בישראל, שהגיבה בתקיפת סייבר נגד תשתיות בנמל איראני", כתבו השניים. "הגם שתקיפות אלה אינן ראשונות, הן ממחישות שזירות העימותים בין שתי המדינות כוללת תשתיות אזרחיות חיוניות. ישראל הצליחה עד כה להתמודד עם תקיפות סייבר נגד תשתיות כאלה בלא שנגרם לה נזק רב, אך היא עלולה להיות פגיעה יותר ככל שיואץ מרוץ החימוש בתחום הסייבר ואיראן תשכלל את יכולותיה". בכך רמזו המחברים, כנראה, לפריצות של איראן למערכת מצלמות תחבורה ולמערכת צילום של ארגון מדינתי בישראל.
"באחרונה", אמר ד"ר מנשרי, "דווח על ניסיון תקיפה בסייבר של חיזבאללה, במטרה להשתלט על תשתיות מים. הם הצליחו, כנראה, לפגוע כמה פעמים במערכות השקיה במטעי בננות באחד הקיבוצים. יש להם יכולות רבות בסייבר ובסיוע איראן, אנשי הסייבר של חיזבאללה מנסים לפגוע ביעדים בישראל כל הזמן, ליירט תקשורות, לאסוף או לגנוב מידע, לפרוץ למערכות ועוד".
"בדרך כלל המודיעין הישראלי עובד טוב, ומצליח לעלות על חלק מהמקרים", ציין. "יש גם לזכור שהפעילות האיראנית בסייבר נשענת על הסכמי שיתופי פעולה וידע שלה עם סין ורוסיה. מאוד ייתכן שחלק מהתשלום הרוסי על נשק שאיראן מספקת לה הוא ויהיה בתחום הסייבר ההתקפי. בסייבר ההגנתי כבר היה ביניהן שיתוף פעולה מסוים. במרץ האחרון, הסכם שנחתם בין המדינות כלל גם סייבר".
מה יקרה בחזית הצפון במרחב הסייבר אם היא תתחמם עוד יותר?
"ככל הידוע, אין לחיזבאללה ולאיראן עדיין יכולת לפרוץ למערכות תקשורת דיגיטליות חכמות בארץ. הם יכולים לפגוע, אבל בעקיפין. אם תתלקח החזית הצפונית, החיזבאללה ינסה לפרוץ למערכות תשתית אזרחית קריטיות ולמערכות לא קריטיות, ללא ספק עם סיוע איראני. כשברקע מתקפות עבר שישראל חוותה, כמו על הטכניון, שירביט וסייבר סרב, שאירחה את אתר אטרף, יש סיכוי שחלק מהמתקפות הצפויות של החיזבאללה יצליחו".
אילו מתקפות הן יהיו?
"יש להניח שאלה יהיו מתקפות משולבות – DDoS עם מתקפות ממוקדות על תשתיות".
ד"ר מנשרי אמר לסיום דבריו כי "כפי שחווינו היטב ב-7 באוקטובר, וגם לפניו, קו ההגנה לעולם ייפרץ, אם זה הגדר בעזה, קו מאז'ינו או קו בר לב. ארגונים חייבים לתרגל ולהיערך למצב זה כל הזמן".
"פעילות הסייבר של החיזבאללה – מצומצמת יחסית"
לעומת ההערכה של ד"ר מנשרי, שמצביע על פעילות סייבר נרחבת יחסית של החיזבאללה, לדברי בועז דולב, מייסד ומנכ"ל קלירסקיי, "יש לארגון פעילות מצומצמת בסייבר, ורק קבוצת תקיפה אחת או שתיים. מטרות הארגון מצומצמות בהרבה מאלה של איראן, שתחתיה פועלות 5-10 קבוצות האקרים. התקיפות של החיזבאללה נועדו בעיקר לטובת ריגול וחילוץ מידע מודיעיני, ופחות להשפעה ולתודעה. אנשי הסייבר של הארגון פועלים בלא הרף לאיתור חולשות, בעיקר במערכות של מיקרוסופט, אורקל ואטלסיאן. הם פועלים בקביעות נגד יעדים במזרח התיכון, כולל בישראל. אחד הדברים ה-'חביבים' עליהם הוא שימוש בחתימות אלקטרוניות לגיטימיות של מיקרוסופט להסתרת הנוזקה שהם מנסים להחדיר".
הוא ציין כי "לפני כשנה וחצי, הסייבר של החיזבאללה החל לבצע מבצעי תודעה והשפעה בסייבר, וראינו מאז כמה קמפיינים שלהם. האחרון שבהם אירע בסוף השנה שעברה, וכונה 'הגרזן של אברהם' – שם שמהדהד להסכמי אברהם ולאב המשותף של היהודים והמוסלמים. בשיתוף חברה שסיפקה שירותי תגובה לאירועי סייבר לארגון בישראל חשפנו שמאגר המידע של הקורבן הודלף בטלגרם. איתרנו את הנוזקה שתקפה ו-CERTFA קישרה את המתקפה לקבוצת החתלתול המקסים, המכונה גם APT35".
"אחד ממבצעי התודעה בסייבר של החיזבאללה התגלה באוקטובר השנה. הוא נקרא הצפה בסייבר (Cyber Flood). היו לארגון מעט הצלחות: אנשיו הדליפו מידע ממערכת הניהול של אתר משרד החינוך ומעיריות ורשויות מקומיות אחרות. ההדלפה מהרשויות נבעה מפריצת שרשרת אספקה לחברת מחשבים בבית שמש. הערכנו שהם פרסמו את הנתונים כי הם הבינו שהם נחשפו ושהתשתיות שלהם נחסמו", הוסיף דולב.
מהי הפעילות של החיזבאללה במלחמה הנוכחית עד כה?
"אנשי הסייבר של החיזבאללה מנסים לתרום את חלקם למאמץ המלחמתי נגד ישראל במסעות תודעה, לצד מתקפות 'קלאסיות'. הם עובדים כל הזמן – בשקט. שיתוף הפעולה של הארגון עם איראן גלוי לא פעם. עם פרוץ המלחמה, האיראנים פתחו בארבעה מסעות תודעה – שהוכנו מראש. הם פרסמו מידע ממכללת קריית אונו".
האם ניתן להשוות בין יכולות הסייבר של החיזבאללה לאלה של החמאס?
"לא, זו 'לא אותה ליגה'. יכולות החמאס בסייבר הן ברובד הפשוט, של הנדסה במדיה החברתית, לטובת איסוף מידע גלוי והפחדה. בינתיים, החיזבאללה ממשיך במלחמה הנוכחית בעסקיו ה-'רגילים' בסייבר, ולא הרחיב משמעותית את היקף פעילותו, אולם ברור לגמרי שהוא הצליח לחדור במהלך השנים לארגוני SMB, והיו לו הצלחות מינוריות. בעבר הוא התמקד בחברות תקשורת ישראליות. עד כה, ככל הידוע, הוא לא הצליח לחדור לארגוני אנטרפרייז ישראלים, או לרשתות ממשל וארגונים ביטחוניים".
תגובות
(0)