איראן תקפה בסייבר חשודים בשיתוף פעולה עם ישראל

נחשפה פעילות סייבר של איראן, שנועדה לאסוף מידע על אזרחים איראנים, סורים ולבנונים – בפרט יוצאי שירותי מודיעין – שחשודים בשיתוף פעולה עם ישראל, ואף שעשויים לעשות זאת.

הפעילות נחשפה במסגרת מחקר שביצעה מנדיאנט מבית גוגל קלאוד. החוקרים מעריכים שהיא נועדה לשרת את המודיעין האיראני במסגרת פעולות סיכול, ריגול, מודיעין מסכל או ריגול נגדי.

חוקרי מנדיאנט זיהו קישור שהם הגדירו כ-"חלש" בין הקבוצה לבין APT42 – שחקן איום איראני שפועל מטעם המודיעין של משמרות המהפכה.

כך האיראנים מנסים ללכוד את "משתפי הפעולה"

הקמפיין, שהיה פעיל מ-2017 לפחות עד מרץ 2024, וייתכן שעדיין פעיל, מטרגט דוברי פרסית וערבית שהאיראנים יודעים שיש להם ניסיון ואף מומחיות, או עניין, בעבודה עם שירותי ביון, ומשתמש בסמלים ישראליים ובהצעות עבודה מזויפות. זאת, במטרה לפתות את הקורבנות וללכוד אותם. בפניות ליעדים בישראל נעשה שימוש בדגל המדינה, בתמונות חיילי צה"ל ובצילומים של מיקומים מרכזיים בארץ.

לפי המחקר, חברי הקבוצה אוספים מידע על אותם קורבנות, שעשוי לחשוף פעילויות מודיעין אנושי (יומינט) נגד איראן, ורודפים אחר אותם אנשים החשודים במעורבות בפעילויות אלה – מתנגדי משטר, אקטיביסטים, פעילי זכויות אדם ובכלל דוברי פרסית וערבית, באיראן ומחוצה לה.

במסגרת הקמפיינים מפיצים ההאקרים האיראנים הצעות עבודה מזויפות באמצעות פרופילים ועמודים ברשתות חברתיות – טוויטר/X, פייסבוק ועוד, ואוספים מידע אישי, שכולל שם מלא של הקורבן שלהם, כתובת, מייל, השכלה וניסיון תעסוקתי, שנשלח לקבוצה. "במסגרת הקמפיין זיהינו יותר מ-35 אתרים מזויפים, שמתחזים לחברות השמה ומשאבי אנוש, וכן עמודי טלגרם, פרופילי טוויטר/X, פייסבוק ויוטיוב, ומספרי טלפון ישראליים – בשימוש הקבוצה האיראנית", כתבו חוקרי מנדיאנט אופיר רוזמן, אסלי קוקסל ושרה בוק.

הצעות עבודה מזויפות של האיראנים בפרסית במסגרת הקמפיין – בפוסט ב-X שמתחזה ל-"מרכז גיוס של עובדים בשירותי הביטחון והמודיעין של איראן". צילום: לכידת מסך

הצעות עבודה מזויפות של האיראנים בערבית, במסגרת הקמפיין. הכותרת: "גיוס VIP – מרכז לגיוס אנשי צבא מכובדים ל(תפקידי) צבא, שירותי ביון ומודיעין מסוריה ומחיזבאללה לבנון". צילום: לכידת מסך

מנגד: האיראנים מנסים לגייס ישראלים בסייבר

בדצמבר האחרון דיווחנו שהשב"כ חשף רשת גיוס והפעלה של אזרחים ישראלים על ידי גורמי ביטחון איראנים – לטובת ביצוע משימות בישראל. השירות הוסיף פרטים על ניסיונות הריגול: מדובר במשימות לצילום כתובות מגורים של אנשי מערכת הביטחון ושל גורמים שמופיעים בתקשורת בקביעות, ואשר מתבטאים נגד איראן בפרסומים גלויים. הפעילות בוצעה באמצעות קבוצות בפייסבוק, באינטסגרם ובטלגרם.

"כידוע", נמסר אז, "גופי הביטחון האיראנים עושים בתקופה האחרונה שימוש ציני ומניפולטיבי בפלטפורמות ברשת ומקדמים פעילות מול משפחות חטופים. הם יוזמים התקהלויות ליד בתי המשפחות, ושולחים זרי פרחים וכן מסרים לבתיהם. הפעילויות הללו נעשות בסיוע פלטפורמות פיקטיביות ברשת". אותן פלטפורמות פיקטיביות נחשפו במסגרת יכולות של השב"כ לניטור המרחב הרשתי, כמו גם הודות לערנות המוגברת של אזרחים במדינה לאתרי פייק ולפלטפורמות עוינות.