מאמר שפורסם במגזין "האקונומיסט" מציג כמה מהמאפיינים של הסכסוך הסייברני בין הרפובליקה האסלאמית של איראן לבין הישות הזמנית, שתואר כסכסוך אלקטרוני אינטנסיבי, תוך שהוא טוען כי ישראל עדיין מקדימה בו.
אך המעניין במאמר זה הוא הגילוי של ראש המערך הסייברני הישראלי (INCD), גבי פורטנוי, כי לאיראן יכולה להיות יכולת סייבר של מעצמה בלחיצת כפתור אחת, ושהיא יודעת על ישראל לפעמים יותר ממה שהישראלים עצמם יודעים.
הטקסט:
בית החולים זיו ממוקם בתחתית צפת, העיר הגבוהה ביותר בישראל, לא רחוק מהגבול עם סוריה ולבנון. בנובמבר, בית החולים הודה שהאקרים חדרו למערכות המחשוב שלו. קבוצה של האקרים בתמיכת איראן טענה מאוחר יותר כי השיגה גישה ל-500 ג'יגה-בייט של נתוני מטופלים, כולל 100,000 רשומות רפואיות הקשורות לחיילים ישראלים. זה אינו חריג. האקרים תוקפים דרך קבע את בתי החולים ובדרך כלל עושים זאת כדי לדרוש כופר.
המתקפה הדיגיטלית על בית החולים זיו, לעומת זאת, ביטאה את מלחמת הסייבר המתחוללת בין ישראל לאויביה לאחר טבח הישראלים על ידי חמאס ב-7 באוקטובר. התקיפה הייתה חדשנית בכמה מובנים, כך אומר גבי פורטנוי, ראש מערך הסייבר הלאומי של ישראל, בראיון עם ה"אקונומיסט". ראשית, מדובר במבצע משותף של איראן ובת בריתה חיזבאללה, המיליציה והמפלגה השלטת בלבנון. "הם לא עבדו יחד טוב עד ה-7 באוקטובר", הוא אומר. "עכשיו אנחנו רואים אותם מחליפים מטרות, מחליפים יכולות. הם כמעט זהים."
הבחירה במטרה גם היא הייתה יוצאת דופן. איראן וחיזבאללה לא תקפו בעבר בתי חולים ישראליים, אומר פורטנוי, תת-אלוף במילואים. לאחר ה-7 באוקטובר, המנהיג העליון של איראן, עלי ח'אמנאי, הורה להרחיב את הפעולות הסייבריות נגד ישראל, והוא מציין מודיעין ישראלי התומך בכך. התוצאה הייתה מתקפה אינטנסיבית יותר ומדויקת יותר.
קצב מתקפות הסייבר נגד ישראל עלה פי שלושה לאחר ה-7 באוקטובר. המתקפות האיראניות הפכו למתוחכמות יותר, עם פחות פגיעה מעבר למטרה המיועדת. "הם מדויקים יותר, אוספים מידע מודיעיני טוב יותר ומכוונים למקומות הנכונים", אומר פורטנוי. "הם יודעים על ישראל לפעמים יותר מאיתנו." בעבר נדרשו לאיראן שבועות לנצל פגיעות תוכנה שהפכו ציבוריות, הוא מוסיף. כעת זה מתקצר לימים.
אף אחת מהמתקפות לא הצליחה לשבש את התשתיות הקריטיות של ישראל, כמו מערכות חשמל או מים, בזכות חיישנים דיגיטליים שהוצבו בתוך רשתות המתקנים החיוניים לאחר ה-7 באוקטובר. רוב החדירות הן למעשה סוג של הטרדה ולא דומות למתקפה חמושה. חלקן נועדו לריגול ולא לשיבוש, אך רבות מהן מהוות גם צורת מלחמת מידע.
דע את האויב שלך
חלק מההאקרים הקשורים לאיראן התחזו לבני משפחות החטופים שנחטפו על ידי חמאס, במטרה להעמיק את הקרעים בחברה הישראלית. להאקרים האיראניים יש הבנה מתוחכמת של הקרעים החברתיים והפוליטיים בישראל, מציין מחקר של המכון למחקרי ביטחון לאומי בתל אביב, עם מסרים נפרדים המיועדים לתומכי ומתנגדי המלחמה.
במקרים מסוימים, האקרים שמנסים להפחיד את הישראלים לא חייבים לפרוץ למערכות כלשהן, מציין ג'יימס שיירס מהמכון למחקרי סייבר קונפליקט באירופה. לדוגמה, קבוצה איראנית פרסמה סרטון שמציג לכאורה אתר מחוץ לבסיס חיל האוויר נבטים. בפועל, זה היה אתר לא קשור על כביש בעל שם דומה בצפון ישראל. "אתה מקבל את האפקט על ידי משיכת תשומת הלב לכך," הוא אומר.
חמאס עצמו, למעט פריצה מוקדמת של מצלמות מעקב בישראל, כמעט ולא היה רלוונטי ככוח סייבר מאז דצמבר, אומר פורטנוי. הוא מייחס זאת למלחמה של ישראל בעזה, ששיבשה את האקרים של הקבוצה כמו גם את לוחמיה. באופן רחב יותר, פורטנוי, ותיק יחידת 8200, יחידת מודיעין עילית העוסקת במבצעי סייבר התקפיים, מודה כי הגנת הרשתות של ישראל דורשת חדירה לרשתות האויב: "אתה לא יכול להגן בלי פעולות התקפיות."
זה חלקית כדי לזהות את מקורות המתקפות. אבל זה גם כדי להכות בחזרה. קחו לדוגמה את "דרור טורף", קבוצה של האקרים החשודה שהיא כיסוי לממשלה הישראלית. בשנת 2021 היא שיבשה את רשת הרכבות ותחנות הדלק ברחבי איראן, ופרצה לשלטי חוצות דיגיטליים כדי להציג מסרים לועגים לח'אמנאי. בהמשך, בשנת 2022, היא פגעה בשלושה מפעלי פלדה באיראן, והובילה לשפיכת פלדה מותכת על רצפת אחד המפעלים. בדצמבר היא הכתה שוב, ושיתקה 70% מתחנות הדלק באיראן, והכריזה: "המתקפה הסייברית הזו באה בתגובה לתוקפנות הרפובליקה האיסלאמית ושלוחותיה."
הפקידים הישראלים אינם מכירים בפומבי בתפקידם במתקפות הללו. אך פורטנוי מתעקש שישראל פועלת לפי אותם "נורמות וערכים" כמו סוכנויות סייבר התקפיות במערב. "אנחנו לא נעשה דברים שהאויבים שלנו עושים לנו," הוא אומר. "אנחנו מאוד מקפידים שלא לפגוע באנשים, לא להשפיע יותר מדי על חיי האזרחים." המתקפות של "דרור טורף" - בניגוד למתקפות רוסיות או צפון קוריאניות על תשתיות קריטיות בעבר - מראות סימנים של איפוק ותכנון מדוקדק, מציין ג'יי.די. וורק מאוניברסיטת ההגנה הלאומית בוושינגטון. הוא מציין מאפיינים שמונעים מהתוכנות הזדוניות להתפשט לרשתות לא קשורות והחלטה להשתמש בכלים "ידועים ומתועדים היטב" במקום כלים חדשניים, שעלולים להוביל להתפשטות יכולות סייבר מתקדמות.
התוצאה היא מלחמת סייבר מוטה של "שחקנים מאוד לא שווים", אומר שיירס. ישראל הראתה שוב ושוב שהיא יכולה לגרום נזק כבד לרשתות המחשוב שמפעילות חלק מהתשתיות המרכזיות של איראן. למרות התקדמותה, היכולות של איראן "לא הרבה יותר טובות מאשר כנופיות פשע מאורגן ברמה בינונית", אומר מקור. הפקידים הישראלים חוששים שזה עשוי להשתנות פתאום. איראן סיפקה מזל"טים, פגזים ונשק אחר לרוסיה לשימוש באוקראינה; חשש הוא שרוסיה עשויה לגמול בכלי סייבר או בידע טכני.
זה יהיה מפתיע. רוסיה משתמשת בכלים אלה כדי לרגל אחרי איראן עצמה, ולעיתים כיסחה בצורה מחוכמת את המודיעין שנאסף על ידי מרגלים איראניים. עם זאת, העדר תקדים אינו מרגיע את הפקידים הישראלים. "איראן," אומר פורטנוי, "בלחיצת כפתור יכולה להחזיק ביכולות של מעצמה."