הרמת מסך: מי פרץ לטלוויזיה האיראנית וכיצד?

הפריצה לרשות השידור האיראנית, IRIB, שאירעה ב-27 בינואר, ושהועברו בה מסר של תמיכה במנהיגי האופוזיציה וקריאה להתנקשות במנהיג העליון של איראן, עלי חמינאי, בוצעה עם נוזקות מחיקה מסוג שלא זוהה בעבר – כך לפי חוקרי צ'ק פוינט הישראלית. החברה מצאה שהתקרית הזו הייתה הרסנית יותר ממה שהניחו בתחילה.

החוקרים כתבו כי "לא הצלחנו למצוא כל ראייה לכך שהכלים האלה שימשו בעבר, או שניתן לייחס אותם לשחקן איום ספציפי". הקבצים שנמצאו ונותחו על ידם כוללים את תוכנת המחיקה, תוכנה שמשמשת להפעלת הסרטון, נוזקה שמצלמת צילומי מסך של הקורבן, עדות לדלתות אחוריות בהתאמה אישית, וקבצים להתקנה ולהגדרה של קובצי הפעלה זדוניים. חוקרי צ'ק פוינט לא העלו השערות לגבי ל-מה עוד שימשו הכלים הללו ולא ציינו כיצד השיגו ההאקרים גישה ראשונית לרשתות שנפרצו.

"פריצה 'מורכבת'"

גורמים איראניים לא הכחישו שמתקפת הסייבר בוצעה, ואמרו כי שיבושים קרו גם בערוץ טלוויזיה אחר ובשתי תחנות רדיו. הם כינו את הפריצה "מורכבת". המתקפה התרחשה יום לפני שהחלה באיראן חגיגה רבת ימים לציון המהפכה האסלאמית.

הפריצה האמורה הייתה אחת מסדרת אירועים שנועדו להביך את ממשלת איראן, ושנמשכו החל מיולי האחרון, אז הופסקו שירותי הרכבת הלאומיים, או לפני כן, ועד לפחות 7 בפברואר השנה. הן כללו פרסום של צילומים מבית סוהר בטהרן, וכן שיבושים במערכת התשלומים האלקטרונית במדינה, המשמשת את הציבור הרחב לתשלום על דלק מסובסד ממשלתי.

מומחים: מקור המתקפה – בישראל

כמה מומחים העריכו שהמתקפה היא חלק מהעימות המתמשך בממד הסייבר בין ישראל לאיראן. קבוצה שכינתה את עצמה בשם Predatory Sparrow (דרור טורף) לקחה אחריות על המקרה, אולם לא ציינה בשליחות מי היא פועלת. פקידים איראניים האשימו בביצוע הפריצה את MEK – תנועת האופוזיציה החמושה מוג'הידין חאלק, אולם זו הכחישה את מעורבותה בה.

יש לציין שימים ספורים לאחר ההפרעה בשידור ב-27 בינואר, רשות השידור האיראנית נפרצה שוב. היה זה באמצע שידור חי של משחק כדורגל בין נבחרות איראן ואיחוד האמירויות. בתקיפה זו נכלל מסר שקורא לאזרחים להתקומם נגד הממשלה. במקרה זה נטלה אחריות למעשה קבוצה בשם Edalat-e Ali.

חוקרי צ'ק פוינט ציינו שדרור טורף נטלה, בלי שהיא מספקת הוכחה, אחריות לשורת פריצות אחרות בסייבר – לשירותי הרכבת, למשרד התחבורה ולפגיעה בתחנות דלק איראניות. הקבוצה פרסמה הודעה בערוץ הטלגרם שלה לאחר הפריצה הראשונה ואמרה לעוקבים: "חכו לחדשות הטובות מהצוות שלנו". מאוחר יותר באותו היום היא פרסמה סרטון שהוקרן באחד מערוצי הטלוויזיה שנפרצו.

החוקרים סיימו את מחקרם בהסתייגות שלפיה "אין הוכחה טכנית למעורבות הקבוצה. הסרטון שהיא הכניסה לערוץ הטלגרם שלה פורסם על ידי חשבון טלגרם אחר". במקרה שאותו הם חקרו, כמו גם בכמה אירועי סייבר אחרים, שבהם החוקרים השוו שורות קוד לשם מציאת דמיון, "היו לתוקפים יכולות שאולי לא ידועות במלואן. ההאקרים הצליחו לבצע פעולות מסובכות. מהצד השני, הכלים של התוקפים הם באיכות ותחכום נמוכות יחסית. ייתכן שהדבר מעיד על סיוע מבפנים לתוקפים של מי מעובדי רשות השידור האיראנית או על שיתוף פעולה לא ידוע בין קבוצות האקרים שונות, שלכל אחת מהן יש כישורי פריצה שונים".