הדלפות חדשות חושפות: איראן תוקפת בסייבר באופן מתוחכם וחמקן

שירותי המודיעין של איראן והצבא של הרפובליקה האיסלאמית קשורים באופן הדוק לפעילות סייבר התקפית נגד מדינות מערביות, וזו מבוצעת באמצעות רשת של חברות קבלניות, המחליפות שמות וזהויות – כך עולה מדו"ח חדש של ספקית מודיעין האיומים רקורד פיוצ'ר (Recorded Future).

הדו"ח מתבסס על שורה של הדלפות רב-שנתיות ומאמצי חשיפה וריגול שעשו האקטיביסטים ומתנגדים של הממשל האיראני. כך, נחשפת רשת מורכבת של ישויות, הקשורות למשמרות המהפכה האסלאמית, המעורבות במתקפות סייבר ובמסעות של חדשות כזב ומניפולציות מידע.

מהדו"ח עולה, כי לפחות ארבעה ארגוני מודיעין וצבא הקשורים למשמרות המהפכה נמצאים בקשר רציף עם מרבית שחקני האיום בתחום הסייבר. אלה כוללים את ארגון הלוחמה האלקטרונית והגנת הסייבר של משמרות המהפכה; ארגון הביון של המשמרות; ארגון הגנת המודיעין של משמרות המהפכה; כוח קודס, יחידת העלית של משמרות המהפכה, המכונה בדו"ח קבוצת המבצעים הזרים.

לפי החוקרים, "לכל אחד מהגופים היו קבוצות ספציפיות של איום מתמשך ועקבי, APT, הקשורות אליו באופן הדוק".

המידע שהודלף ונותח על ידי החוקרים העלה, כי סוכנויות אלו מקיימות מערכות יחסים ארוכת שנים עם קבלני סייבר מאיראן. אלה, הסבירו, הן חברות סייבר הפועלות כקבלניות משנה של גופי משמרות המהפכה, הממותגות כחברות היי-טק ופועלות באופן עקבי להחלפת זהותן העסקית. החוקרים הצליחו למצוא קשרים בין אותן חברות לפקידים ובכירים בסניפים שונים של משמרות המהפכה.

חלק מחברות הסייבר הללו, נכתב, "מעורבות בפעילויות סייבר התקפיות". ונמנות עמן: Ayandeh Sazan Sepehr Aria Company, Sabrin Kish, Soroush Saman Company. לצידן פועלות חברות שכבר הושתו עליהן עיצומים מהמערב, בהן Najee Technology Hooshmand Fater ו-Emen Net Pasargad.

החוקרים הבחינו בתנועה מתמדת בתוך הרשת של קבלני סייבר מאיראן, כאשר רבות מהן פורקו והוקמו תחת מיתוג חדש לעתים קרובות. זאת, בניסיון לטשטש את פעילותן. לדבריהם, "ראינו חפיפות בין שמות ובעלי תפקידים באותן חברות. הם מכונים בקביעות 'חברי דירקטוריון', וחולקים תפקידים בחברות קבלניות שונות. חלק מהנתונים חושפים שמות של בכירי משמרות המהפכה האחראים להובלה ולתיאום של מערך הסייבר ההתקפי של איראן".

לפי החוקרים, "באמצעות הקשרים שלהן עם קבלני סייבר אלה, סוכנויות הממשל האיראניות הללו קשורות – אם לא שותפות ישירות – למתקפות סייבר המתמקדות במוסדות פיננסיים גדולים בארה"ב, במערכות בקרה תעשייתיות (ICS) בארה"ב וברחבי העולם, ולמתקפות כופרה נגד מגזרי תעשייה שונים, כולל ספקיות שירותי בריאות, כמו בתי חולים לילדים".

עוד ציינו החוקרים, כי "שחקני האיום בסייבר גם משלבים פעולות מידע (כזב, או תודעה, או גם וגם, י.ה.) – עם פריצות סייבר, כדי לעורר ולעודד מצבים של חוסר יציבות במדינות היעד. כך, הם גם פועלים נגד גופי תקשורת מערביים. חלק מהקבלנים האלה היו מעורבים בפעילות סייבר לפני הבחירות לנשיאות ארה"ב ב-2020".

החוקרים ציינו עוד, כי "הוכח שחלק מהקבלנים הללו מייצאים את הטכנולוגיות שלהם לחו"ל, הן למטרות מעקב והן למטרות פוגעניות, משמע סייבר התקפי. הדרגים הגבוהים ביותר של הממשלה עוסקים ברווחים מהייצוא הטכנולוגי הזה (משמע – "גוזרים" קופון או נוטלים שוחד, י.ה.) , הכולל מכירת שירותים וטכנולוגיה למדינות כמו עיראק, סוריה ולבנון".

הם הוסיפו, כי "לעתים, תשתית מתקפות הסייבר הקשורה למשמרות המהפכה שימשה לביצוע מתקפות ממניעים פיננסיים". עוד ציינו החוקרים, כי "כמה קבלני מודיעין וצבא איראניים נקשרו לפיתוח טכנולוגיות ריגול בסייבר, המאפשרות מעקבים באופן המפר זכויות אדם".

"בהתבסס על ההדלפות הללו", סיכמו החוקרים, "סביר להניח שהסנקציות של ממשלת ארה"ב מתבררות ככלי משפטי ודיפלומטי יעיל. העיצומים מקשים על חברות הסייבר הפועלות בחסות משמרות המהפכה להתחמק מגילוי. סביר להניח, שהמאמצים של המערב משפיעים לרעה גם על יכולות הקבלנים לגייס בגלוי כוח אדם חדש ומיומן. הדו"ח מאיר את ההיבט, שלפיו פעילות הקבלנים האלה מייצגת מאמצים של גורמים בצבא ובמודיעין האיראניים, במיוחד של משמרות המהפכה האסלאמית, להשתמש ולנצל מגוון של יכולות סייבר התקפי נגד יריבים גיאופוליטיים של איראן. מדובר במערכות יחסים ארוכות שנים".