המכון למחקרי ביטחון לאומי ומכון המחקר למתודולוגיה מודיעינית במרכז למורשת המודיעין ערכו מחקר משותף העוסק בדרכי התמודדות עם מתקפות סייבר התקפיות ודרכי טיפול בהן. המחקר מתמקד בשימוש של מדינות במתקפות סייבר התקפיות, ובפרט מתקפות כופר, כחלק מפעולות השפעה, תוך ניתוח שני מקרים מבחן שאירעו באלבניה ובישראל ויוחסו לאיראן. המאמר כולל ניתוח תיאורטי של המושגים המרכזיים בעולם הסייבר ההתקפי, כולל פעולות השפעה במרחב הסייבר.
המחקר :
האינטרנט, שפרץ כרשת עולמית עם חדירה בינלאומית רחבה, הפך במהירות להיות מרכיב יסוד בסביבת המידע המודרניתואִפשר את צמיחתו של מרחב הסייבר.בתוך זמן קצר זיהו שחקנים בינלאומיים את חשיבות מרחב הסייבר לסביבת המידע, את משמעותו הכלכלית, ואת חשיבותו ליצירה העוצמה הלאומית ולמימושה. בחתירה למימוש מטרותיהם הפוליטיות והאסטרטגיות, שחקנים אלה מבקשים לנצל את כל מקורות העוצמה הלאומית שלהם כדי להשפיע על המדיניות ועל קבלת ההחלטות של מדינות אחרות, ולכן מפתחים שיטות חדשות ומקוריות לשימוש במרחב הסייבר כמחולל השפעה.
המיקוד בתכונותיו של מרחב הסייבר אשר הופכות אותו לכר פורה עבור מבצעי השפעה (ובניצול תוצאות המבצע להרחבת ההשפעה), הביא לכך שצורות אחרות של הקרנת כוח במרחב הסייבר זכו לפחות תשומת לב. אחת מהן היא מה שמכונה מבצעי סייבר התקפיים (OCO). לאור השכיחות של מבצעי סייבר התקפיים, ובמיוחד מתקפות כופר, מאמר זה מבקש לתת מענה לפער הקיים בספרות, ולבחון כיצד מבצעי סייבר התקפיים משמשים ותומכים במבצעי השפעה.
כדי לדון בשימוש שנעשה במתקפות כופרה לצורך מבצעי השפעה, יציע מאמר זה מסגרת אנליטית לניתוח מבצעי השפעה, יציג את מתקפות הכופרה כמבצעי סייבר התקפיים בתוך המסגרת האנליטית המתוארת, ויביא שני מקרים שידגימו כיצד מרחב הסייבר מנוצל למבצעי השפעה באופן זה.
מבצעי השפעה הם פעולות המתרחשות בתוך סביבת המידע ובאמצעותו, במטרה להשפיע על עמדות, התנהגויות וקבלת ההחלטות של קהל מסוים, וכדי לקדם את מטרותיו של התוקף מבלי להזדקק להפעלת כוח קטלני. מבצעי השפעה מתרחשים בין המשפיע למושפע, ובנויים בדרך כלל מרצף שלבים הכולל הכנה, ביצוע ומינוף ההצלחה. שלב ההכנה מורכב מהגדרת היעד ובחירת נרטיב אסטרטגי מתאים. נרטיב זה הוא מבנה המתאר עתיד משותף ורצוי, שעימו המשפיע והמושפע יכולים להזדהות, ולאחר מכן מתורגם למסגור מתאים.מסגור זה נועד לנצל הִיוריסטיקות קוגניטיביות של קהל היעד, באופן שיגרום למושפע לקבל את ההחלטות הרצויות על ידי המשפיע.
בשלב הביצוע, המסר הממוסגר שהוכן מוחדר לתוך סביבת המידע באמצעות התקשרות ישירה עם קהל היעד או באמצעות גורמים מתווכים. פעולות שהצליחו מחייבות מינוף, כמו למשל, באמצעות כלים שיווקיים שיחזקו את הנרטיבים שהוחדרו או על ידי בחירת מטרות חדשות שיחזקו את הלגיטימיות הנתפסת של הנרטיב. "הצלחה" מושגת כאשר סביבת המידע של המושפע מתעצבת באופן שמוביל אותו לשנות את התנהגותו או כאשר יעדיו הפוליטיים משתנים באופן שעולה בקנה אחד עם כוונותיו של המשפיע.
נהוג לתאר את מרחב הסייבר כמורכב משלוש שכבות: שכבת הרשת הפיזית, השכבה הלוגית והפרסונה הווירטואלית. שכבת הרשת הפיזית של מרחב הסייבר כוללת מרכיבים גאוגרפיים לצד מרכיבים רשתיים ואת הקשרים הפיזיים ביניהם. התוצאה היא רשת עתירת חיבוריות של רשתות, חופפות לעיתים, המשמשת כתווך הנתונים במרחב הסייבר. השכבה הלוגית כוללת אלמנטים לא מוחשיים, כמו נתונים או קוד ("אפס ואחד"), שהם הפשטה של שכבת הרשת הפיזית, כלומר הצורה שלהם והיחסים ביניהם אינם קשורים לנתיבים או לצמתים ספציפיים הקיימים בשכבת הרשת הפיזית.
לדוגמה, מערכות הפעלה, פרוטוקולים, יישומים, רכיבי תוכנה ונתונים נוספים. שכבת הפרסונה הווירטואלית מייצגת רמה גבוהה עוד יותר של הפשטה מהשכבה הלוגית. היא עושה שימוש בכללים החלים בשכבה הלוגית כדי ליצור ייצוג זהות דיגיטלי לאדם או לישות במרחב הסייבר. כך, אנשים וארגונים אמיתיים יכולים לגשת לרמה הלוגית של מרחב הסייבר באמצעות מזהים כגון כתובות דואר אלקטרוני או חשבונות בפלטפורמות מדיה חברתית. הזהויות בשכבת הפרסונה הווירטואלית עשויות להיות שונות מאוד מאלה שבתחום הפיזי, שכן יחידים ומדינות יכולים לשנות את התכונות שלהם באמצעות מניפולציה של השכבה הלוגית והפיזית ברשת. אפשר לעשות זאת דרך טכנולוגיות של "אנונימיזציה", כגון רשת TOR. השכבה הלוגית ושכבת הפרסונה הווירטואלית מרכיבות ביחד את הממד הווירטואלי של מרחב הסייבר, אשר גם חופף לממד הווירטואלי של סביבת המידע.
כאשר דנים במבצעי השפעה מבוססי סייבר או בפעולות סייבר התומכות במבצעי השפעה, מפתה להתמקד רק בממד הווירטואלי של סביבת המידע. חשיבות השכבה הלוגית של מרחב הסייבר למבצעי השפעה ברורה. שכבה זו מייצגת את המידע המאוחסן במרחב הסייבר שמבצעי ההשפעה מבקשים לנצל באמצעות פגיעה בסודיות או בשלמות המידע של אדם, ארגון או ממשלה.[14] פעולות אלו נועדו לזרוע בלבול ולשחוק את אמון האזרחים על ידי חשיפת מידע שלא נועד לצריכה ציבורית והפניית תשומת לב לא פרופורציונלית אליו.
הניצול של שכבת הפרסונה הווירטואלית מציע הזדמנות נוספת למבצעי השפעה. הוא מאפשר מיקוד בקהל יעד ספציפי ותקשורת ישירה עימו, וכך יכול התוקף להחדיר את מסרי ההשפעה ללא תלות בגורמי התיווך או פילטרים של המדיה המסורתית. זו דרך נפוצה לנצל רשתות חברתיות שכן הן מאפשרות הפצה חופשית ובלתי מוגבלת על ידי המשאבים הזמינים למשפיע של הודעות, ויכולת להבליט מסרים שבאופן טבעי לא היו מובלטים. התוצאה היא הוספת נופך של אמינות למסר, בתוך מינוף ההטיות הקוגניטיביות של תאימות ואישוש חברתי,[15] והכפלת יעילותן פי כמה. המסרים המוגברים יכולים להשפיע בזכות עצמם, וכך הם יכולים לשמש דוגמה למבצעי השפעה שאפשר להוציא לפועל בשכבת הפרסונה הווירטואלית בלבד. לחלופין, אפשר לנצל את שכבת הפרסונה הווירטואלית כדי למנף פעולות סייבר מוצלחות שהתרחשו בשכבה הלוגית.
אפשר להסביר את הנטייה להשתמש במרחב הסייבר לצורך מימוש מבצעי השפעה בעובדה שרובם של המבצעים הללו הם יחסית לא מתוחכמים, ולכן גם בעלי עלות מימוש נמוכה מאוד. נוסף על כך בשל האנונימיות האופיינית במרחב הסייבר מחד גיסא, והיעדרן של מסגרות משפטיות מתקדמות מספיק מאידך גיסא, קיים סיכוי נמוך לזיהוי טכני של מבצע הפעולה, ופירוש הדבר שהסיכון להסלמה או לתגובת נגד – נמוך. מעניין לציין כי אף שרבים ממקרי הבוחן שנהוג לצטט (כגון מתקפות מניעת שירות/DDoS) הם של מתקפות נגד שכבת הרשת הפיזית בסייבר, הספרות על מבצעי השפעה מעדיפה להתמקד באופן השימוש במתקפות הללו לניצול הממד הווירטואלי. העדפה זו נובעת ממנגנוני ההשפעה שמקרים כאלה מנצלים דרך הממד הווירטואלי, וספציפית דרך השכבה הלוגית של מרחב הסייבר. הסבר אפשרי נוסף הוא ההנחה שמתקפות המנצלות את שכבת הרשת הפיזית נעדרות יכולת להחדיר מסרים ונרטיבים, ולכן אינן מועילות למבצעי השפעה.
חריגה מעניינת ממגמה זו היא עבודה עדכנית של דולב וסימן-טוב, שבדקה שורה של מתקפות כופר בישראל שיוחסו לגורמי איום המקושרים לאיראן. החוקרים ציינו כי ההתנהגות שהוצגה במהלך אותן תקריות אינה תואמת את המוטיבציה הכספית האופיינית למתקפות כופר אלא את זו של מבצעי השפעה.[20] המאמר הנוכחי מתבסס על הנחת יסוד זו, ומרחיב אותה לחקר ישימות ההשפעות דרך שכבת הרשת הפיזית, לצורך מבצעי השפעה וכתמיכה בהם.
מתקפת כופר כאמצעי השפעה
תוכנת כופר היא תת־קבוצה של נוזקות, שנועדה לפגוע בזמינות הנתונים על ידי הגבלת הגישה אליהם כל עוד לא מועבר סכום הכופר המבוקש.[21] בחלוף הזמן, גורמי האיום שאימצו שיטה זו לא הסתפקו בהחדרת תוכנות זדוניות ובתקווה שהקורבן ייענה לדרישת הכופר,[22] אלא הוסיפו שני אלמנטים משמעותיים. האחד היה המעבר ל"כופרות נעילה", תוכנה שמשביתה את תפקוד המערכת ומציגה "הודעת כופר" עד לתשלום הכופר. בצורה זו משובשת זמינות המערכת המותקפת וגם מוצג מסר שקשה להתעלם ממנו. האלמנט השני הוא מעבר לטקטיקת "סחיטה כפולה", שבה גורם האיום פוגע בחיסיון הנתונים של הקורבן באמצעות גנבת המידע קודם להגבלת הגישה, ובכך יוצר תמריץ נוסף לקורבן לשלם את הכופר, אחרת המידע יודלף לציבור.
ההתפתחות הזו הפכה את תוכנת הכופר לכלי פוטנציאלי לשימוש במבצעי השפעה, שכן "כופרות נעילה" מציעה הזדמנות לתקוף את השכבה הלוגית של מרחב הסייבר ולהחדיר מסגרת השפעה לסביבת המידע המותקפת, ובו בזמן מונעת מהיעד את היכולת להימנע מהמסגרת שהוחדרה, הודות לשיבוש שכבת הרשת הפיזית. לבסוף, באמצעות השפעות משבשות פעילות במרחב הסייבר, מתקפות כופר מתוכננות היטב יכולות לגרום לשיבוש גם בעולם הפיזי, ובאופן שעדיין יאפשר מרחב הכחשה.
לאור השיבוש שנגרם בשכבת הרשת הלוגית ושכבת הרשת הפיזית בשל הפגיעה בזמינות המערכת והנתונים, ובזכות אפקט ההכחשה שמרחב הסייבר מאפשר, אפשר לראות במתקפות כופר סוג של מבצע סייבר התקפי. השילוב בין טקטיקות של "כופרת נעילה" עם "סחיטה כפולה" יכול להשיג אפילו יותר: נוצרת הזדמנות לערוץ מסרים נוסף ולכיסוי המאפשרים יכולת לניצול יעיל יותר, במקום להסתפק בפעולת 'פריצה והדלפה' קלסית. מתקפת כופר מציעה גם אפשרות מעניינת ולפיה שחקנים לא מתואמים או כמעט לא מתואמים, יהיו מסוגלים להשיג השפעות שיכולות להגיע לרמה דומה למבצע השפעה בכל הקשור לשינוי סדרי עדיפויות של מדיניות, בזכות אפקט מצטבר של השפעות מסדר שני ומעלה, כגון ערעור אמון האזרחים בשירותים ממשלתיים או הסטת משאבים.
לאחר שהכרנו מתקפות כופר כצורה של מבצע סייבר התקפי, והצגנו מסגרת אנליטית להערכת מבצעי השפעה, מאמר זה ימשיך כעת ליישום המסגרת האנליטית על שני מקרי בוחן: מתקפת הכופר נגד אלבניה ביולי 2022, וקמפיין "BlackShadow" נגד ישראל בשנים 2023-2022.
מקרה בוחן 1: מתקפת הכופר על פורטל e-Albania של ממשלת אלבניה
ב־15 ביולי 2022, רגע לפני הפסגה העולמית למען איראן חופשית – אירוע המזוהה עם ארגון מוג'אהדין ח'לק[26] שתוכנן להתקיים בסוף יולי ליד העיר דורס שבאלבניה – הותקפה הסוכנות הלאומית לחברת מידע של אלבניה (AKSHI) על ידי גורם איום שכינה את עצמו "HomeLand Justice", והציג את עצמו כארגון אלבני המתנגד לתמיכת הממשלה במוג'אהדין ח'לק. התקרית כללה החדרת תוכנות כופר ששיבשו את פעילות הפורטל של ממשלת אלבניה, e-Albania , וגם פגעו באתרי אינטרנט ובשירותים רבים נוספים של ממשלת אלבניה. בהצהרה שנשא ראש ממשלת אלבניה נאמר שמטרת מתקפת הסייבר הייתה לשתק את השירותים הציבוריים, למחוק מערכות דיגיטליות, לפרוץ לרשומות מדינה, לגנוב תקשורת אלקטרונית ממשלתית פנימית, ולעורר כאוס וחוסר ביטחון במדינה. [27]
כדי לסייע לצמצום הנזק מהמתקפה, גייסה ממשלת אלבניה את תמיכת ארה"ב, בעלת בריתה בנאט"ו. אנשי ה־FBI ואנשי פיקוד הסייבר של ארה"ב הובאו כדי לסייע בחקירת האירוע, ולבצע מבצע ציד (forward hunt) ברשתות של ממשלת אלבניה. נוסף על כך פנתה הממשלה למגזר הפרטי, ובמיוחד לצוותי התגובה לאירועי סייבר של Microsoft - DART - ו־Mandiant.[28] במרכז האירוע עמדה נוזקת כופר חדשה, אשר, בין השאר, הציגה מסר פוליטי על מסכי המערכות שהוצפנו: "מדוע שהמיסים שלנו ישמשו כדי לממן את הטרוריסטים של דורס?". למסר הצטרף קמפיין נרחב ברשתות החברתיות על בסיס חומרים שנגנבו מפורטל AKSHI עוד קודם לשלב המשבש של המתקפה. Microsoft DART הצליח לייחס את שחקן האיום "HomeLand Justice" למשרד המודיעין והביטחון האיראני, על בסיס ממצאים פורנזיים וייחוס פומבי קודם. הייחוס צוטט על ידי ראש ממשלת אלבניה, אדי רמה, שהצהיר כי "מתקפת הסייבר ביולי בוצעה על ידי קבוצות האקרים מרובות הקשורות לרפובליקה האסלאמית. זוהו ארבע קבוצות, אחת מהן היא ארגון טרור סייבר בין־לאומי ידוע לשמצה עם היסטוריה של תקיפה במדינות כמו ישראל או סעודיה".
בעקבות מתקפת הסייבר הזו, ב־7 בספטמבר 2022, פרסמה ממשלת אלבניה תגובה דיפלומטית חסרת תקדים בחריפותה שכללה ייחוס רשמי של המתקפה לאיראן. אלבניה הודיעה על ניתוק כל הקשרים הדיפלומטיים שלה עם איראן, והורתה לצוות הדיפלומטי האיראני באלבניה לעזוב את המדינה בתוך 24 שעות.] התגובה האלבנית זכתה להצהרות תמיכה מבריטניה, נאט"ו, האיחוד האירופי וארה"ב. יתרה מזאת: הלשכה לבקרת נכסים זרים של משרד האוצר האמריקני (OFAC) הטילה סנקציות על משרד המודיעין והביטחון האיראני ועל שר המודיעין האיראני איסמעיל חטיב, והקפיאה את נכסיהם.
כאשר מנתחים את רצף מתקפות הסייבר נגד אלבניה כמבצע השפעה, מתבררים הדברים האלה: אף שאי־אפשר לדעת את הכוונה האסטרטגית המלאה של מבצע ההשפעה, המסגור שנבחר למסר שהציגה תוכנת הכופר וקמפיין ההמשך ברשתות החברתיות, טענו שמדובר במחאה נגד "שחיתות שלטונית" ו"תמיכה בטרור". המסרים שהופיעו ברשתות החברתיות בהמשך טענו שהמתקפה כוונה נגד הממשלה ולא נגד אזרחים אלבנים. לכאורה, מתבקש להניח שהמטרה האסטרטגית מאחורי המתקפה הייתה למנוע מארגון מוג'אהדין ח'לק את התמיכה הפוליטית של ממשלת אלבניה. השערה נוספת היא שמכיוון שהמתקפה התחוללה לאחר סדרה של אירועי סייבר שהתרחשו באיראן וחלקם יוחסו למוג'אהדין ח'לק, המטרה האסטרטגית הייתה נקמה וביסוס הרתעה באופן שיאלץ את ממשלת אלבניה לנקוט פעולה ולהגביל את יכולתו של הארגון לבצע מתקפות סייבר נגד איראן.מתגובת הממשלה האלבנית – ובפרט הרכיב הדיפלומטי בה – אפשר להסיק כי מבחינתה נתפס מבצע ההשפעה כבלתי רצוי ואף זדוני.
תגובת ממשלת אלבניה למתקפה כללה שורה של ניסיונות ליטול יוזמה ולהרתיע מפני מתקפות נוספות. תגובתה הראשונית הייתה הגנתית, מתוך מטרה לעצור כל פעילות תקיפה נוספת ברשת AKSHI, וכדי לשחזר את זמינות השירות. השלב הבא היה ניסיון ענישה. אלבניה שקלה לזמן קצר להפעיל את סעיף 5 באמנת נאט"ו, אך לבסוף חזרה בה, ככל הנראה בעקבות הייחוס הטכני המובהק לתוקפים,והסכימה לתגובה דיפלומטית חזקה במיוחד בשילוב סנקציות כלכליות שיטיל משרד האוצר האמריקני נגד החשודים במתקפה. מתקפה נוספת של קבוצת "HomeLand Justice" שהתרחשה בספטמבר 2022 נגד מערכת TIMS של משמר הגבול האלבני, הראתה כי התגובה החריפה ככל הנראה לא הייתה מספיקה כדי להרתיע מפני מתקפות נוספות.
מבחינה מבצעית, מתקפת e-Albania השתמשה בתוכנה (וליתר דיוק נוזקת כופר) כדי לשבש ישויות ושירותים ברמה הפיזית, הלוגית, וברמת הפרסונה הווירטואלית של מרחב הסייבר, מה שהופך את האירוע למבצע סייבר התקפי. אם מנתחים זאת כמבצע השפעה, במהלך מתקפת e-Albania ניצלו התוקפים את השכבה הלוגית להחדרת הנרטיב והמסרים שלהם, ובד בבד ניסו לנצל גם את שכבת הפרסונה הווירטואלית, אם כי לא נמצאו ראיות שהצליחו. נוסף על החדרת המסרים, ניצלו התוקפים את הפגיעה בשכבה הלוגית לטובת גנבת מידע רגיש, שהודלף בשלב הבא של מבצע ההשפעה, אם כי שוב, לפחות ככל שהראיות הגלויות מראות, הוא אינו מונף לפגיעה נוספת.
מקרה בוחן 2: קמפיין "BlackShadow" נגד ישראל 2020–2023
במוקד המקרה השני עומדת סדרת המתקפות של קבוצת פושעי הסייבר המכנה את עצמה בשם "BlackShadow" ("צל שחור"), שהחלה בדצמבר 2020 ונמשכה עד דצמבר 2023. המתקפה הראשונה שהקבוצה ביצעה הייתה נגד חברת הביטוח הישראלית שירביט. זו לא הייתה מתקפת כופר אלא מתקפת פריצה והדלפה.במהלכה לא נעשה שימוש במסרים משפיעים ספציפיים, ואפשר לראות בה מבצע השפעה רק במובן הבסיסי ביותר, של ניסיון לערער את אמון הציבור במדינה ולזרוע כאוס. כאשר נחשפה המתקפה לציבור, טענו נציגי שירביט כי מדובר במתקפת טרור בסייבר נגד ישראל ולא במתקפה ממניעים כלכליים. טענה זו קיבלה חיזוק נוסף בדוח של חברת אבטחת הסייבר הישראלית ClearSky, שהודלף לעיתון כלכלי ישראלי.
הדוח של ClearSky הציע קשר אפשרי לאיראן או ל־OpIsrael, על סמך השימוש בהאשטאג המתאים במסרים הראשונים ש"BlackShadow" עשו בהם שימוש ברשתות החברתיות, והצליח לשים את ידיו על הנוזקה ששימשה, להערכתם – ברמת סמך בינונית, במהלך המתקפה. חברות אבטחת סייבר נוספות ייחסו מאוחר יותר את הנוזקה הזו לפעילות הקשורה לאיראן, בשל קווי דמיון טכניים ומבצעיים. גורמי האיום טענו למתקפה ממניעים כלכליים, אולם הטקטיקה שלהם חרגה מהטכניקות הרגילות שמשמשות קבוצות כופר כדי ללחוץ על קורבנותיהם לשלם. כך למשל, הקבוצה פנתה ישירות לכלי תקשורת ופרסמה חלקים מתכתובת המשא ומתן. התנהלות יוצאת דופן זו הובילה את שירביט לטעון שהמתקפה היא "טרור סייבר". למרות זאת, מעורבות סוכנויות הביטחון והסייבר הישראליות נותרה מינימלית, והוגבלה לדיווח על אודות האירוע ולפרסום הנחיות מעודכנות לאור לקחיו להיגיינת סייבר עבור חברות ישראליות, מטעם מערך הסייבר הלאומי של ישראל.
לאחר המתקפה על שירביט המשיך גורם האיום "BlackShadow" לבצע פעולות 'פריצה והדלפה' נוספות נגד מטרות ישראליות, אולם הן לא הצליחו לייצר תשומת לב תקשורתית משמעותית. באוגוסט 2021 אימצה הקבוצה טקטיקה חדשה, כאשר לראשונה השתמשה בתוכנת כופר נגד יעד ישראלי בעת מתקפה נגד אוניברסיטת בר־אילן.[46] מתקפה זו לא זכתה לתשומת לב תקשורתית רבה, אך דווח כי בתגובה לאירוע הייתה מעורבות של מערך הסייבר הלאומי ושירותי הביטחון הישראליים. בדומה לקורבנות קודמים של "BlackShadow", גם אוניברסיטת בר־אילן טענה כי התקרית היא אירוע טרור סייבר, והפנתה אצבע מאשימה לאיראן. מעניין לציין כי אף ששירותי הביטחון הישראליים שמרו על שתיקה לגבי ייחוס הקבוצה, דולב וסימן-טוב[47] חיזקו טענה זו על בסיס היכרותם עם מאמצי התגובה למתקפות "BlackShadow". החוקרים ציינו כי התנהלותו של שחקן האיום אינה אופיינית למתקפת כופר, שכן היא כללה הטחת עלבונות וגידופים במנהלי המשא ומתן, ומסרים פוליטיים פשטניים באנגלית עילגת, המעידים על מניע שונה מסחיטת כסף.
לאחר המתקפה על אוניברסיטת בר־אילן, המשיכו "BlackShadow" לתקוף גופים ישראליים, כמו תעשיית היהלומים במרץ 2022,[48] ומוסדות טכנולוגיה וחינוך במהלך שנת 2023.[49] המתקפות כללו פעולות השמדת נתונים (wiper) ושימוש בתוכנות כופר, אך לא הצליחו למשוך תשומת לב ציבורית רבה. בסופו של דבר, באוקטובר 2023, נראה היה ששחקן איום נוסף (שכינה את עצמו "צוות מאלק") ביצע מתקפת 'פריצה והדלפה' מוצלחת נגד המכללה האקדמית אונו, הדליף כמות רבה של פרטים אישיים ומידע רגיש, וגרם לשיבוש מסוים בשירותי המכללה.[50]. מאוחר יותר, בדצמבר 2023, ביצע אותו שחקן מתקפת 'פריצה והדלפה' נגד המרכז הרפואי זיו, כאשר שוב הודלפו אינספור פריטי מידע פרטי ורגיש, אם כי ללא עדות לשיבוש תפקודו של המרכז הרפואי.[51] בעקבות התקרית הזו מיהר מערך הסייבר הלאומי לייחס אותה ואת שחקן האיום "צוות מאלק" לממשלת איראן, וספציפית לאותו גורם שהזדהה בעבר בתור "BlackShadow". נוסף על כך הבהירה לראשונה הצהרת הייחוס כי שיטת הפעולה הרגילה של "BlackShadow" (הכוללת את שיבוש פעילות קורבן המתקפה באמצעות תוכנות כופר או נוזקות השמדת מידע) לא יושמה במקרה של המתקפה על המרכז הרפואי זיו, הודות לפעילות של כוחות השב"כ וצה"ל, שהשתתפו אף הם בהכלת התקיפה וזיהוי מקורה. [52]
מניתוח קמפיין "BlackShadow" כמבצע השפעה עולה, כי בניגוד לקמפיין "HomeLand Justice" נגד אלבניה, קשה יותר להבחין בנרטיב או בכוונה אסטרטגית ספציפיים, שכן הנרטיבים הנבחרים משתנים לעיתים קרובות, לפעמים אפילו בתוך כדי אירוע תקיפה. התנהגות כזו עשויה להתאים למטרה אסטרטגית של "זריעת כאוס" או החלשת הלכידות החברתית דרך פגיעה באמון האזרחי במוסדות הלאומיים. מבחינה טקטית, קמפיין "BlackShadow" התפתח ממבצע השפעה קלסי לסדרה של מתקפות 'פריצה והדלפה' למימוש שיטות סייבר התקפי.
משך הזמן של קמפיין "BlackShadow" מאפשר לבחון גם את התפתחות מאמצי התגובה של ישראל ושל מערך הסייבר הלאומי. יצוין כי במתקפות שהתרחשו בין דצמבר 2020 למרץ 2023, בחר מערך הסייבר להסתפק בעדכון על התרחשות אירועים ולתמוך במאמצי התגובה לאירועים השונים בתוך שימת דגש על תפקידו של המגזר הפרטי בחקירה ובתגובה,[54] ובפרט בחר להותיר את מאמצי הייחוס באופן בלעדי בידי המגזר הפרטי. אולם הדבר השתנה משמעותית במתקפות של אוקטובר 2023. בשלב זה נטל מערך הסייבר תפקיד מוביל בחקירה ובתגובה לאירועי הסייבר שהיו חלק מקמפיין "BlackShadow", עם ארגוני ביטחון לאומי ישראליים נוספים. יתרה מזאת: מערך הסייבר בחר לייחס את התקריות הללו באופן פומבי ורשמי לאיראן, ואף קישר את הפרסונה של "צוות מאלק" לקמפיין "BlackShadow".[55]
אפשר לשער שהסבר חלקי ואולי אף מלא לשינוי הזה הוא תהליך ה"ביטחון" שעברו המתקפות בעקבות המלחמה נגד חמאס ברצועת עזה, הן בעיני הציבור הישראלי הן לשיטתו של גורם האיום. מעניין גם לציין כי בעת הדיווח על האירוע במרכז הרפואי זיו, בחרה העיתונות הישראלית לתאר אותו כ"המתקפה הרביעית נגד בית חולים ישראלי",[56] אף שהייתה זו התקרית הראשונה שיוחסה ל"BlackShadow" (התקריות הקודמות יוחסו לשחקנים אחרים). בכך המחישה העיתונות הישראלית את אפקט ההשפעה המצטברת שיש למתקפות סייבר, אף שבפועל ביצעו אותן ארגונים שאינם בהכרח מתואמים.
כל אלה מעלים סיבה אפשרית נוספת להיגיון שמאחורי החלטת מערך הסייבר לקחת תפקיד מוביל, ולייחס רשמית את התקריות הללו לאיראן. סביר להניח שמערך הסייבר ביקש לשבור את האפקט המצטבר של המתקפות באמצעות ייחוס רשמי וגלוי של המתקפה האחרונה ליריב ידוע, וכך לייצר הבחנה בין מתקפות הכופר הקודמות שהיו על רקע פלילי, לבין האירוע האחרון. נוסף על כך ייתכן שמערך הסייבר ביקש לעורר "התכנסות סביב הדגל"[57] דרך התנהגות המאותתת שהממשלה יודעת לטפל במקרים כאלה ולהגן על האזרחים כאשר התוקף הוא מדינה יריבה. אזהרת הציבור הישראלי מפני מסרים שמגיעים ממדינת אויב תרמה גם לטשטוש אפקט מבצע ההשפעה.
בחירה בולטת נוספת שעשו הרשויות הישראליות בתגובתן לקמפיין "BlackShadow" הייתה ניסיון לעשות שימוש בחוק הגנת הפרטיות והרשות להגנת הפרטיות להגבלת התפשטות החומרים שדלפו,[58] כדי להגביל את היכולת לנצל את שכבת הפרסונה הווירטואלית להעצמת ההדלפות, ולבנות חוסן למול מבצעי השפעה נוספים.
דיון ומסקנות
מאמר זה ביקש לבחון האם מבצעי סייבר התקפיים, ומתקפות כופר בפרט, יכולים למלא תפקיד במבצעי השפעה, והתשובה היא "ככל הנראה כן". מבצעי סייבר התקפיים אינם מאפשרים לקורבן לפטור את עצמו בקלות מתוצאות התקיפה כמו באירועי 'פריצה והדלפה' כדי למנוע מהתוקפים לנצל את המתקפה למשיכת תשומת לב. תשומת הלב יכולה להיות מנוצלת (וזה מה שאכן קורה) להפצת מסרים ממוסגרים שישרתו את הכוונה הנרטיבית והאסטרטגית של יוזמי מבצע הסייבר ההתקפי. הדוגמאות שהובאו במאמר ממחישות את הוורסטיליות של מבצעי סייבר התקפיים, ואת היותם מרכיב בסל רחב יותר של מבצעי השפעה, החל מקידום כוונות אסטרטגיות ספציפיות ועד למטרות רחבות יותר דוגמת "זריעת כאוס". בשני המקרים שנבחנו ראו הקורבנות בניסיון ההשפעה התערבות לא רצויה, ואין זה מפתיע בהתחשב באופיו הכוחני של מבצע סייבר התקפי.
על תפיסת הכוונה שעמדה מאחורי מבצעי ההשפעה במקרי הבוחן שנותחו כאן כזדונית, אפשר להסיק גם מהחשיבות ששתי המדינות שהיו יעד השפעה נתנו לייחוס הפעולה, ומהתגובה הדיפלומטית החריפה במקרה האלבני, שכללה גינוי חריף של איראן. אומנם אמצעי התגובה שיושמו בתגובה לשיבוש ולאפקט ההשפעה היו שונים בשני המקרים, אולם שתי המדינות הדגישו את החשיבות של שיתוף פעולה ציבורי-פרטי לצמצום הנזק ולהחזרת זמינות השירות. שתי המדינות גם ייחסו את המתקפות לתוקף, וכל אחת מהן נתנה משקל שונה לאחריות לאומית על בסיס ההקשר האסטרטגי והיכולות הלאומיות, בתוך כדי שהיא נעזרת בשיתוף פעולה בין־לאומי להשלמת פערים ביכולת הלאומית.
כל אלה עשויים להציע רציונל חלופי לקריאה לשיפור חוסן הלאומי למול מתקפות סייבר, במיוחד לנוכח השימוש במתקפות כופר, אם כי נדרשות בדיקות נוספות בנושא. המאפיינים הייחודיים של מרחב הסייבר (היכולת לנצל חולשות כדי לשנות את מרחב הסייבר עצמו, החולשות הרבות במרחב הסייבר והרגישות שלו לאפקטים מצטברים) פירושם שהגבלת היריב מהצלחה באירוע בודד או גביית מחיר גבוה ממנו, אינן אסטרטגיות בנות קיימא לטווח הארוך. ההנחה היא שאי־אפשר להגן באופן מלא על מדינה מפני מתקפות סייבר כל עוד היריב מתמיד במאמציו לנצל נקודות תורפה. אם יש מספיק זמן, היריב בהכרח יצליח להשיג רווחים משמעותיים שיקנו לו אפקט ברמה אסטרטגית ו"הצלחה" במבצע ההשפעה. המקרים שהוצגו מציעים גישה אחרת. המקרה האלבני מציע אסטרטגיה מקיפה, הכוללת מדיניות חזקה, פעולות הגנת סייבר וצעדים דיפלומטיים כדי ליטול את היוזמה ולהרתיע את היריב בפעילות נוספת, ואילו המקרה הישראלי מעביר את מאמצי החוסן לרמת הפרסונה הווירטואלית, במטרה לצמצם את האפשרות להעצמה ולהכפלה של האפקט האופייני לרמה זו, וכדי לפגוע באטרקטיביות השימוש במבצעי סייבר התקפיים לתמיכה במבצעי השפעה.
למחקר הנוכחי כמה תרומות. ראשית, הוא מרחיב את ההבנה שלנו על אופן השימוש במרחב הסייבר למבצעי השפעה, דרך הצגת מבצעי סייבר התקפיים, ובפרט עם תוכנות כופר, כשיטה לניצול הרשת הפיזית והשכבות הלוגיות של המרחב הסייבר למימוש מבצעי השפעה. שנית, הוא מזהה חולשה נוספת במרחב הסייבר, על בסיס הרגישות שלו להשפעות מצטברות ועל הקושי הטבוע בו לפענח ייחוס, וכך נוצרת שיטה נוספת להעצמת נרטיבים של מבצעי השפעה בעלות נמוכה יותר ממה שסברו מלכתחילה. ולבסוף, הוא בוחן מדיניות תגובה אפשרית כלפי מבצעי סייבר התקפיים המשמשים כמבצעי השפעה, ומציע שתגובות אלו יפיקו תועלת מאפקט מצטבר, בדומה לפעילויות אחרות במרחב הסייבר. יידרש מחקר נוסף כדי לקבוע כיצד לבנות תגובה שתדע למקסם את התועלת כנגד מבצעי סייבר התקפיים המשמשים כמבצעי השפעה.
מקור: inss
סופר: חדר העריכה