Trace Id is missing
דלג לתוכן הראשי
Security Insider

איראן מקדמת פעולות השפעה תומכות סייבר לתמיכה בחמאס

הורד
שתף

מבוא

עם פרוץ המלחמה בין ישראל לחמאס ב- 7 באוקטובר 2023, איראן התייצבה מיד לצד חמאס עם הטכניקה המחודדת היטב שלה של פריצות ממוקדות משולבות עם פעולות השפעה שמופצות במדיה החברתית, מה שאנחנו מכנים פעולות השפעה בגיבוי סייבר.1בתחילה, הפעולות של איראן היו תגובתיות ואופורטוניסטיות. לקראת סוף אוקטובר, כמעט כל גורמי ההשפעה והסייבר הגדולים של איראן התמקדו בישראל באופן ממוקד, מתואם והרסני בקמפיין כולל שאינו מוגבל לכאורה כגד ישראל. בניגוד למתקפות הסייבר הקודמות של איראן, כל מתקפות הסייבר ההרסניות שלה נגד ישראל במלחמה זו – אמיתיות או מפוברקות – לוו בפעולות השפעה באינטרנט.

הגדרת מונחי מפתח

  • פעולות השפעה בגיבוי סייבר 
    פעולות המשלבות פעולות התקפיות ברשת מחשבים עם מסרים והעצמתה באופן מתואם ומניפולטיבי כדי לשנות תפיסות, התנהגויות או החלטות בקהלי יעד כדי לקדם אינטרסים ומטרות של קבוצה או לאום.
  • פרסונת סייבר 
    אדם או קבוצה מלאכותיים עם חזית לציבור שנוטלים אחריות למתקפת סייבר תוך הענקת יכולת הכחשה לקבוצה או ללאום העומדים מאחוריה.
  • בובת גרב 
    פרסונה מקוונת מזויפת שמשתמשת בזהויות בדויות או גנובות למטרת הונאה.

פעולות ההשפעה הלכו והפכו למתוחכמות ושקריות יותר, ופורסות רשתות של "בובות גרב" במדיה החברתית עם התקדמות המלחמה. במהלך המלחמה, פעולות השפעה אלה כיוונו להפחדת אזרחי ישראל תוך כדי ביקורת על הטיפול של ממשלת ישראל בבני הערובה ובפעולות הצבאיות שלה כדי ליצור קיטוב בישראל ולערער אותה.

לבסוף איראן כיוונה את מתקפות הסייבר ואת פעולות ההשפעה שלה נגד בני הברית הפוליטיים והשותפים הכלכליים של ישראל כדי לפגוע בתמיכה בפעולות הצבאיות של ישראל.

אנחנו צופים שהאיום הנשקף מפעולות הסייבר ופעולות ההשפעה של איראן יתרחב עם המשך העימות, בפרט לנוכח הפוטנציאל הגובר להרחבת המלחמה. הנועזות הגוברת של גורמים איראניים וגורמים המזוהים עם איראן בצירוף שיתוף הפעולה הגואה ביניהם מבשר איום גובר לקראת הבחירות בארצות הברית בנובמבר.

פעולות הסייבר ופעולות ההשפעה של איראן התקדמו במספר שלבים מאז מתקפת הטרור של חמאס ב- 7 באוקטובר. אחד מרכיבי הפעולות שלהם נותר עקבי לאורך כל הדרך: השילוב של מתקפות סייבר אופורטוניסטיות עם פעולות השפעה שלעתים קרובות מגזימות את הדיוק או את ההיקף של ההשפעה.

הדוח הזה מתמקד בפעולות ההשפעה ובפעולות ההשפעה בגיבוי סייבר שבוצעו על-ידי איראן מ- 7 באוקטובר ועד סוף 2023, תוך סקירת המגמות והפעולות מאז אביב 2023.

תרשים המתאר את השלבים של פעולות ההשפעה בגיבוי סייבר שבוצעו על-ידי איראן במלחמה בין ישראל לחמאס

שלב 1: תגובתיות ומטעות

בשלב הראשוני של מלחמת ישראל-חמאס, הקבוצות האיראניות פעלו באופן תגובתי. המדיה הרשמית של איראן פרסמה פרטים מטעים לגבי מתקפות סייבר שבוצעו לכאורה וקבוצות איראניות השתמשו בחומרים מיושנים מפעולות קודמות, ייעדו מחדש את הגישה שהייתה להם לפני המלחמה והגזימו את ההשפעה ואת ההיקף של מתקפות הסייבר שבוצעו לטענתן.

כמעט ארבעה חודשים מתחילת המלחמה, ל- Microsoft עדיין אין ראיות ברורות מהנתונים על כך שקבוצות איראניות תיאמו את מתקפות הסייבר או את מתקפות ההשפעה שלהן עם התוכניות של חמאס לתקוף את ישראל ב- 7 באוקטובר. במקום זאת, הנתונים והממצאים המצטברים מצביעים על כך שגורמי הסייבר האיראניים פעלו באופן תגובתי והוציאו לפועל את מתקפות הסייבר ואת פעולות ההשפעה שלהם במהירות לאחר מתקפות חמאס כדי להחליש את ישראל.

הפרטים המטעים לגבי מתקפות שבוצעו לכאורה במדיה רשמית: 
ביום שבו פרצה המלחמה, Tasnim News Agency, גוף תקשורת איראני המזוהה עם משמרות המהפכה (IRGC) פרסם טענה שקרית שקבוצה בשם Cyber Avengers ביצעה מתקפות סייבר נגד תחנת כוח ישראלית "בו-זמנית" עם המתקפות של חמאס. 2 Cyber Avengers, פרסונה המופעלת על-ידי IRGC, טענה למעשה שביצעה מתקפת סייבר נגד חברת חשמל ישראלית בערב שלפני הפלישה של חמאס.3הראיה שלהם: דיווח בן מספר שבועות בתקשורת לגבי הפסקות חשמל 'בשנים קודמות' וצילום מסך של שיבוש בשירות באתר החברה, ללא תאריך. 4
שימוש חוזר בחומרים ישנים: 
לאחר מתקפת חמאס על ישראל, Cyber Avengers טענו שביצעו סדרת מתקפות סייבר נגד ישראל, ידיעה שהתגלתה כשקרית בחקירה המוקדמת שלנו. ב- 8 באוקטובר, הם טענו שהדליפו מסמכים של תחנת כוח ישראלית, למרות שהמסמכים פורסמו בעבר ביוני 2022 על-ידי Moses Staff, פרסונת סייבר נוספת המופעלת על-ידי משמרות המהפכה.5
שימוש חוזר בגישה: 
Malek Team, פרסונת סייבר נוספת המופעלת, להערכתנו, על-ידי משרד המודיעין והביטחון (MOIS) של איראן, הדליפה נתונים אישיים מאוניברסיטה ישראלית ב- 8 באוקטובר, בלי הקשר ברור בין התקיפה לעימות המתפתח שם, מה שמצביע על כך שהמתקפה הייתה אופורטוניסטית וייתכן שנבחרה על סמך גישה שהייתה קיימת לפני פרוץ המלחמה. במקום לציין את הקשרים בין הנתונים שהודלפו לתמיכה בפעולות חמאס, Malek Team השתמשה תחילה בהאשטאגים ב- X (לשעבר Twitter) כדי לתמוך בחמאס, ורק כעבור ימים שינתה את המסר לסוג המסרים המשחירים את ראש ממשלת ישראל, בנימין נתניהו, כפי שנצפה בפעולות השפעה איראניות אחרות.
צריכת התעמולה האיראנית ברחבי העולם, באיור עם ציר זמן וחלק מגרף התעבורה
איור 2: בינת האיומים של Microsoft – צריכת תעמולה איראנית לפי מדינה, מתקפות חמאס על ישראל. גרף המציג פעילות מאפריל עד דצמבר 2023.
פעולות ההשפעה של איראן היו יעילות ביותר בימים המוקדמים של המלחמה 
התפוצה של המדיה הרשמית של איראן התרחבה לאחר שפרצה מלחמת ישראל-חמאס. בשבוע הראשון לעימות, זיהינו עלייה של 42% במדד התעמולה האיראנית של Microsoft AI for Good Lab, העוקב אחר צריכת החדשות מגופי חדשות איראניים רשמיים וגופי חדשות המזוהים עם איראן (ראה איור 1). האינדקס מודד את חלק התעבורה שעוברת באתרים אלה בהשוואה לתעבורה הכוללת באינטרנט. עלייה זו הייתה ניכרת במיוחד במדינות דוברות אנגלית המזוהות במיוחד עם אצות הברית (איור 2), מה שמדגיש את היכולת של איראן להגיע לקהלים מערביים בדיווחים שלה על עימותים במזרח התיכון. חודש מתחילת המלחמה, תפוצת מקורות איראניים אלה נותרה בשיעור של 28-29% מעל הרמות שלפני המלחמה ברחבי העולם.
ההשפעה של איראן ללא מתקפות סייבר מצביעה על זריזות 
פעולות ההשפעה של איראן הופיעו כזריזות ויעילות יותר בימים המוקדמים של המלחמה בהשוואה לפעולות השפעה וסייבר המשולבות שלה בשלבים מאוחרים יותר בעימות. תוך ימים מאז מתקפת חמאס על ישראל, גורם שהוא ככל הנראה שחקן מדינת לאום שרשום אצלנו כ- Storm-1364, הוציא לפועל פעולת השפעה באמצעות פרסונה מקוונת בשם Tears of War (דמעות מלחמה), שהתחזתה לפעילים ישראליים כדי להפיץ מסרים נגד נתניהו לקהלים בישראל ברשתות חברתיות ובפלטפורמות רבות לשליחת הודעות. המהירות שבה Storm-1364 הפעילה את הקמפיין שלה לאחר המתקפות של 7 באוקטובר מדגישה את הזריזות של הקבוצה ומצביעה על היתרונות של קמפייני השפעה בלבד – ייתכן שקל יותר ליצור אותם מכיוון שהם לא חייבים להמתין לפעילות סייבר של פעולת השפעה בגיבוי סייבר.

שלב 2: מאמץ כולל

מאמצע עד סוף אוקטובר, מספר הולך וגדל של קבוצות איראניות עברו להתמקד בישראל, ופעולות ההשפעה בגיבוי סייבר של איראן עברו מאופן פעולה תגובתי, מפוברק או שניהם, לשילוב של מתקפות סייבר הרסניות וקביעת מטרות ספציפיות לפעולה. מתקפות אלה כללו מחיקת נתונים, תוכנת כופר וככל הנראה שינויים במכשיר האינטרנט של הדברים (IoT).6ראינו גם ראיות לתיאום הולך וגובר בין הקבוצות האיראניות.

בשבוע הראשון למלחמה, בינת האיומים של Microsoft עקבה אחר תשע קבוצות איראניות שפעלו לתקיפת ישראל. המספר הזה עלה ל-14 קבוצות ביום ה- 15. בחלק מהמקרים הבחנו בקבוצות IRGC או MOIS רבות שתוקפות את אותו ארגון או בסיס צבאי באמצעות פעילות סייבר או פעולת השפעה, מה שמצביע על תיאום, מטרות משותפות שנקבעו בטהרן, או על שניהם.

זינק גם מספר פעולות ההשפעה בגיבוי סייבר. ראינו ארבע פעולות השפעה בגיבוי סייבר שבוצעו בחופזה וכוונו אל ישראל בשבוע הראשון של המלחמה. עד סוף אוקטובר, מספר הפעולות האלה יותר מאשר הוכפל, נתון שמציין האצה משמעותית בפעולות אלה, בקצב המהיר ביותר עד כה (עיין באיור 4).

איור: הקשר בין פעולות הסייבר לפעולות ההשפעה של איראן, כולל סמלים, בינת איומים ומשמרות המהפכה
ציר הזמן של פעולות השפעת הסייבר של איראן: הזינוק במהלך המלחמה עם חמאס, 2021-2023

ב- 18 באוקטובר, קבוצת Shahid Kaveh של ה- IRGC, ש- Microsoft מכנה Storm-0784, השתמשה בתוכנת כופר מותאמת אישית כדי לבצע מתקפות סייבר נגד מצלמות אבטחה בישראל. לאחר מכן היא השתמשה באחת מפרסונות סייבר שלה, Soldiers of Solomon, כדי לטעון טענה שקרית על כך שהיא מחזיקה בנתונים ומצלמות אבטחה בבסיס חיל האוויר נבטים בדרישה לכופר. בבחינת קטע הווידאו שהדליפה קבוצת Soldiers of Solomon עלה שהוא צולם ברחוב בעיר צפונית לתל אביב, ברחוב בשם 'נבטים', לא בבסיס חיל האוויר בשם זהה. למעשה, ניתוח המיקומים של הקורבנות חשף שאף אחד מהם לא היה ליד הבסיס הצבאי (עיין באיור 5). בעוד שהקבוצות האיראניות התחילו להוציא לפועל מתקפות הרסניות, הפעולות שלהן נותרו אופורטוניסטיות למדו והמשיכו למנף את פעילות ההשפעה כדי להגזים את הדיוק ואת ההשפעה של המתקפות שבוצעו.

ב- 21 באוקטובר, פרסונה נוספת המופעלת באמצעות קבוצת Cotton Sandstorm של ה- IRGC (הידועה בכינוי Emennet Pasargad) שיתפה סרטון של התוקפים משחיטים צגים דיגיטליים בבתי כנסת עם מסרים שהתייחסו לפעולות ישראל בעזרה כאל 'רצח עם'. 7זה סימן שיטה להטמעת מסרים ישירות במתקפות סייבר נגד מטרה רכה יחסית.

בשלב זה, פעילות ההשפעה של איראן השתמשה באופנים נרחבים ומתוחכמים יותר של העצמה שקרית. בשבועיים הראשונים למלחמה, זיהינו צורות מתקדמות מינימליות של העצמה שקרית – נתון ששוב מצביע על כך שהפעולות היו תגובתיות. לקראת השבוע השלישי למלחמה, גורם ההשפעה הפורה ביותר של איראן, Cotton Sandstorm, נכנס לתמונה והפעיל שלושה מבצעי השפעה בגיבוי סייבר ב- 21 באוקטובר. כפי שאנחנו רואים לעתים קרובות מהקבוצה, עם השתמשו ברשת של 'בובות גרב' ברשתות החברתיות כדי להעצים את הפעולות, למרות שנראה היה שרבות מהם יועדו בחופזה ליעדים אחרים ללא כיסויים אותנטיים שיסוו אותם כישראלים. במקרים רבים Cotton Sandstorm שלחה הודעות טקסט או דוא"ל בכמות רבה כדי להעצים את הפעולות שלהם או להתרברב לגביהן, ומינפה חשבונות שנפגעו כדי לחזק את האותנטיות.8

הפרכת הטענות של איראן לגבי מתקפות סייבר: תוכן מזויף של CCTV ותוכנת כופר, פעולות השפעה מטעות שנחשפו

שלב 3: הרחבת הטווח הגיאוגרפי

החל מסוף אוקטובר, קבוצות איראניות הרחיבו את ההשפעה המגובה בסייבר מעבר לישראל וכללו מדינות שלתפיסת איראן מסייעות לישראל, קרוב לוודאי על מנת לפגוע בתמיכה הפוליטית, הצבאית והכלכלית בעולם בפעילות הצבאית של ישראל. הרחבת ההתמקדות בשילוב עם תחילת המתקפות על הספינות הבינלאומיות שמקושרות לישראל על-ידי החות'ים, ארגון שיעי קיצוני בתימן המגובה על-ידי איראן (עיין באיור 8).9

  • ב- 20 בנובמבר, פרסונת הסייבר Homeland Justice המופעלת על-ידי איראן הזהירה מפני מתקפות עתידיות משמעותיות על אלבניה לפני שהפעילה מתקפות סייבר הרסניות על-ידי קבוצות MOIS על הפרלמנט, חברת התעופה וספקי הטלקומוניקציה של אלבניה בשלהי דצמבר.10
  • ב- 21 בנובמבר, פרסונת הסייבר Al-Toufan המופעלת על-ידי Cotton Sandstorm, תקפה את ממשלת בחריין וארגונים פיננסיים שלה על הנורמליזציה של הקשרים עם ישראל.
  • עד 22 בנובמבר, קבוצות המזוהות עם ה- IRGC התחילו להתמקד בבקרים לוגיים הניתנים לתכנות (PLC) בארצות הברית שנוצרו בישראל, כולל השבתה של אחד מהם ברשות מים בפנסילבניה ב- 25 בנובמבר (איור 6).11בקרי PLC הם מחשבים תעשייתיים שמותאמים לבקרה על תהליכי ייצור, כגון פסי ייצור, מכונות ומכשירים רובוטיים.
  • בחלק הראשון של דצמבר, הפרסונה Cyber Toufan Al-Aksa שלהערכת ה- MTAC ממומנת על-ידי איראן, טענה שהדליפה נתונים מזוג חברות אמריקניות בשל תמיכתן הפיננסית בישראל והספקת ציוד לצבא שלה.12בעבר הן טענו על מתקפות מחיקת נתונים שבוצעו נגד החברות ב- 16 בנובמבר.13עקב היעדר של ראיות פליליות חזקות שמקשרות את הקבוצה לאיראן, ייתכן שהפרסונה מופעלת על-ידי שותפה של איראן מחוץ למדינה, עם מעורבות איראנית.
השחתת PLC ברשות המים בפנסילבניה עם לוגו של Cyber Avengers, נובמבר 25

גם התחכום של פעולות ההשפעה בגיבוי סייבר של איראן המשיך להתחזק בשלב האחרון הזה. הן הסוו טוב יותר את 'בובות הגרב' שלהן באמצעות שינוי השם של חלקן ושינוי תמונות הפרופיל שלהן לחזות ישראלית אותנטית יותר. בינתיים, הן נעזרו בטכניקות חדשות שלא ראינו בעבר אצל גורמים איראניים, כולל שימוש ב- AI כרכיב מפתח ליצירת מסרים. אנחנו מעריכים ש- Cotton Sandstorm שיבשה את שירותי הזרמת הטלוויזיה באיחוד האמירויות ובמקומות אחרים בדצמבר בהסוואת פרסונה בשם For Humanity. ‏For Humanity פרסמה בטלגרם סרטונים המציגים את הקבוצה פורצת לשלושה שירותי הזרמה מקוונים ומשבשת מספר ערוצי חדשות באמצעות שידור חדשות מזויף שכולל מגיש שככל הנראה נוצר על-ידי AI והציג לכאורה תמונות של פלסטינים שנפצעו ונהרגו עקב הפעילות הצבאית של ישראל (איור 7).14גופי חדשות וצופים באיחוד האמירויות, בקנדה ובבריטניה דיווחו על שיבושים בהזרמת תוכניות הטלוויזיה, כולל BBC – באופן שתואם לטענות של For Humanity.15

HUMANITY 2023: 8 באוקטובר, 180 נהרגו, 347 נפצעו. איור 7: שיבוש של הזרמת טלוויזיה באמצעות מגיש שנוצר על-ידי AI
איראן מרחיבה את התקיפות שלה לתומכי ישראל במתקפות סייבר, אזהרות ופעילויות השחתה.

הפעולות של איראן כיוונו לארבעה יעדים רחבים: ערעור, פעולת נקם, הפחדה ופגיעה בתמיכה הבינלאומית בישראל. ארבעת יעדים אלה מכוונים גם לפגוע בסביבות המידע של ישראל ותומכיה כדי ליצור בלבול כללי וחוסר אמון.

ערעור באמצעות קיטוב 
המתקפות של איראן על ישראל במהלך מלחמת ישראל-חמאס התמקדו באופן הדרגתי בליבוי של עימות פנימי לגבי הגישה של ממשלת ישראל למלחמה. פעולות השפעה איראניות רבות התחזו לקבוצות פעילים ישראליים כדי לשתול מסרים מסיתים שמבקרים את הגישה של הממשלה לחטופי 7 באוקטובר.17המטרה העיקרית של מסרים אלה היה נתניהו וקריאות לסילוקו היו נושא נפוץ בפעולות ההשפעה של איראן.18
AVENGERS – אין חשמל, מזון, מים, דלק. Cyber Avengers מפרסמים מחדש סרטון על המצור של ישראל
פעולת נקם 
חלק רב מההודעות של איראן ובחירת המטרות שלה מדגיש את האופי הנקמני של פעולותיה. לדוגמה, הפרסונה עם השם ההולם Cyber Avengers הפיצה סרטון שמציג את שר ההגנה הישראלי בהצהרה שישראל תנתק את אספקת החשמל, המזון, המים והדלק לעיר עזה (עיין באיור 9), ולאחריו סדרת מתקפות שבוצעו לכאורה על-ידי Cyber Avengers על תשתיות החשמל, המים והדלק של ישראל.19הטענות הקודמות שלהם לגבי מתקפות על מערכות המים הלאומיות של ישראל שנעשו מספר ימים קודם לכן כללו את המסר 'עין תחת עין' וסוכנות החדשות Tasnim News Agency המשויכת ל- IRGC דיווחה שהקבוצה אמרה שהמתקפות על מערכות המים בוצעו כנקמה על המצור על עזה.20קבוצה המשויכת ל- MOIS שאנחנו מכנים Pink Sandstorm (המכונה גם Agrius) ביצעה בסוף נובמבר מתקפת 'פריצה ודליפה' נגד בית חולים ישראלי שנראה שבוצעה כנקמה על המצור הישראלי הארוך על בית החולים אל-שיפא בעזה שבועיים קודם לכן.21
הפחדה 
הפעולות של איראן משמשות גם לפגיעה בביטחון הישראלי ולהפחדת אזרחי ישראל ותומכיה באמצעות מסרים מאיימים ושכנוע של קהלי יעד שהתשתיות ומערכות הממשלה של מדינתן אינן בטוחות. נראה שחלק מההפחדה של איראן מכוון לפגיעה ברצון של ישראל להמשיך את המלחמה, כמו מסרים המנסים לשכנע את חיילי צהל שעליהם 'לעזוב את המלחמה ולחזור הביתה' (איור 10).22פרסומת סייבר איראנית, שעשויה להציג את עצמה כחמאס, טענה ששלחה הודעות טקסט מאיימות למשפחות של חיילי צהל, בתוספת משפט 'חיילי צה"ל צריכים לדעת שעד שהמשפחות שלנו לא יהיו בטוחות, גם בני המשפחה שלהם לא יהיו בטוחים'.23'בובות גרב' שמחזקות את פרסומת חמאס הפיצו ב- X מסרים על כך שלצה"ל 'אין כוח להגן על החיילים שלה' וכיוונו את הצופים לסדרת הודעות שנשלחו לכאורה על-ידי חיילי צה"ל בבקשה מהחמאס לחוס על המשפחות שלהם.24
מסר מאיים מ'בובת גרב' שככל הנראה מופעלת על-ידי Cotton Sandstorm, המפנה לגישה לנתונים אישיים ומעודד לעזוב את המלחמה.
פגיעה בתמיכה הבינלאומית בישראל 
פעולות ההשפעה של איראן שמתמקדות בקהלים הבינלאומיים כוללות לעתים קרובות מסרים שמכוונים להחלשת התמיכה הבינלאומית בישראל באמצעות הדגשת הנזק שנגרם על-ידי התקיפות של ישראל בעזה. פרסונה שמציגה את עצמה כקבוצה פרו-פלסטינית כינתה את פעולות ישראל בעזה 'רצח עם'.25בדצמבר, הפעילה Cotton Sandstorm מספר פעולות השפעה – תחת השמות For Palestinians ו- For Humanity – שקראו לקהילה הבינלאומית לגנות את מתקפות ישראל בעזה.26

כדי להשיג את יעדיה במרחב המידע, איראן מסתמכת במיוחד על ארבע טקטיקות, טכניקות והליכים (TTP) בתחום ההשפעה בתשע החודשים האחרונים. אלה כוללים, בין היתר שימוש בהתחזות וביכולות משופרות להפעלת קהלי יעד, בשילוב עם שימוש גובר בקמפיינים של הודעות טקסט ושימוש במדיה הקשורה ל- IRGC כדי להעצים את פעולות ההשפעה.

התחזות לקבוצות פעילים ישראליים ולשותפים איראניים 
קבוצות איראניות התבססו על טכניקה ותיקה של התחזות באמצעות פיתוח פרסונות ספציפיות ומשכנעות שמתחזות גם לידידים של איראן וגם לאויביה. פרסונות ופעולות קודמות רבות של איראן הציגו את עצמן כפעילים בשם המטרה הפלסטינית.27פעולות קודמות שבוצעו על-ידי פרסונה שלפי הערכתנו מופעלת על-ידי Cotton Sandstorm הרחיקו לכת והשתמשו בשם ובסמל של הזרוע הצבאית של חמאס, גדודי עז א-דין אל-קסאם, כדי להפיץ מסרים כוזבים לגבי החטופים שמוחזקים בעזה ולשלוח מסרים מאיימים לישראלים. ערוץ טלגרם נוסף שאיים על חיילי צה"ל והדליף את הדליף את הנתונים האישיים שלהם, שלהערכתנו מופעל על-ידי קבוצה של MOIS, השתמש גם הוא בסמל של גדודי עז א-דין אל-קסאם. לא ברור אם איראן פועלת בהסכמה של החמאס.

באופן דומה, איראן יוצרת ארגוני פעילים ישראליים בדויים שהולכים ונעשים משכנעים יותר בצד השמאלי וגם הימני של הספקטרום הפוליטי בישראל. בעזרת פעילים מזויפים אלה, איראן מבקשת לחדור לקהילות ישראליות כדי לרכוש את אמונן ולזרוע מחלוקת.

הנעת ישראלים לפעולה 
באפריל ובנובמבר, איראן הפגינה הצלחה חוזרת ונשנית בגיוס ישראלים ללא ידיעתם למשימות בשטח שמקדמות את הפעילות הכוזבת שלה. באחת הפעולות האחרונות, Tears of War, פעילים איראניים הצליחו לכאורה לשכנע ישראל לתלות כרזות עם הסימון של Tears of War בשכונות בישראל עם תמונה של נתניהו שככל הנראה נוצרה על-ידי AI וקריאה לסילוקו מתפקידו (עיין באיור 11).28
העצמה דרך טקסט ודוא"ל בתדירות ותחכום שהולכים וגוברים 
בעוד שפעולות ההשפעה האיראניות ממשיכות להסתמך במידה רבה על העצמה שקרית מתואמת ברשתות החברתיות כדי להגיע לקהלי יעד, איראן נעזרת באופן הולך וגובר בהודעות טקסט ודוא"ל בכמות גדולה כדי לחזק את ההשפעות הפסיכולוגיות של פעולות ההשפעה בגיבוי סייבר שהיא מבצעת. להעצמה ברשתות חברתיות באמצעות 'בובות גרב' אין השפעה דומה להודעה שמוצגת בתיבת ההודעות הנכנסות של אדם, שלא לדבר על הטלפון שלו. Cotton Sandstorm התבססה על הצלחות העבר בשימוש בטכניקה זו החל מ- 2022,29ושלחה הודעת טקסט, הודעות דוא"ל או שתיהן בשש פעולות לפחות החל מאוגוסט. השימוש הגובר שלה בטכניקה זו מציע שהקבוצה חידדה את היכולת הזו ורואה שהיא יעילה. פעולת Cyber Flood של Cotton Sandstorm בסוף אוקטובר כללה עד שלוש קבוצות של הודעות טקסט ודוא"ל שנשלחו לישראלים לחיזוק מתקפות הסייבר שבוצעו לכאורה או להפצת הזהרות שקריות של מתקפות חמאס על הכור הגרעין הישראלי ליד דימונה.30במקרה אחד לפחות, הם מינפו חשבון שנפגע כדי לחזק את האותנטיות של הודעות הדוא"ל שלהם.
איור 11: כרזה של 'דמעות מלחמה' בישראל עם תמונה של נתניהו שנוצרה על-ידי AI, עם הכיתוב 'הדחה עכשיו'.
מינוף של המדיה הלאומית 
איראן השתמשה בגופי מדיה גלויים וסמויים המקושרים ל- IRGC כדי לחזק מתקפות סייבר שבוצעו לכאורה ולעתים כדי להגזים את ההשפעות שלהן. בספטמבר, אחרי ש- Cyber Avengers טענו שביצעו תקיפות סייבר על מערכת הרכבות של ישראל, המדיה המשויכת ל- IRGC חיזקה והגזימה את הטענות שלהם באופן כמעט מיידי. סוכנות החדשות Tasnim המשויכת ל- IRGC צוטטה באופן מטעה כיסוי של אירוע אחר בחדשות בישראל כהוכחה לכם שמתקפת הסייבר התרחשה.31הדיווח הזה הועצם לאחר מכן על-ידי גופים אחרים, איראניים והמזוהים עם איראן, באופן שהמשיך לטשטש את היעדר הראיות שתומכות בטענות למתקפת הסייבר.32
אימוץ של הבינה המלאכותית המתפתחת לפעולות השפעה 
MTAC הבחינה בגורמים איראניים המשתמשים בתמונות וסרטונים שנוצרו על-ידי בינה מלאכותית מפרוץ מלחמת ישראל-חמאס. Cotton Sandstorm ו- Storm-1364 וכן גופי חדשות המזוהים עם חיזבאללה וחמאס משתמשים בבינה מלאכותית כדי להעצים את ההפחדה ולפתח תמונות שמשחירות את נתניהו ואת ההנהגה הישראלית.
איור 12: פעולות ההשפעה של Cotton Sandstorm בחודשים אוגוסט-דצמבר 2023, עם הדגמה של שיטות ופעילויות שונות.
1. שיתוף פעולה פורה 
שבועות מתחילת מלחמת ישראל-חמאס, התחלנו לראות דוגמאות לשיתוף פעולה בין קבוצות המזוהות עם איראן – שאיפשר לגורמי האיום להשיג יותר. שיתוף הפעולה מוריד את סף הכניסה, מאפשר לכל קבוצה לתרום את היכולות הקיימות שלה ומונע את הצורך של קבוצה אחת לפתח מערך מלא של כלים או שיטות עבודה.

להערכתנו, שתי קבוצות המשויכות ל- MOIS, ‏Storm-0861 ו- Storm-0842, שיתפו פעולה במתקפת סייבר הרסנית שבוצעה בישראל בסוף אוקטובר ושוב באלבניה בסוף דצמבר. בשני המקרים, Storm-0861 ככל הנראה העניקה גישה לרשת לפני ש- Storm-0842 יישמה תוכנה זדונית של מחיקה. באופן דומה, Storm-0861 יישמה תוכנה זדונית של מחיקה כנגד ישויות ממשלתיות אלבניות ביולי 2022 לאחר ש- Storm-0842 קיבלה גישה.

באוקטובר, קבוצה נוספת המשויכת ל- MOIS, ‏Storm-1084, השיגה גם היא לכאורה גישה לארגון בישראל, שבו Storm-0842 פרסה את תוכנת המחיקה BiBi, שקיבלה את שמה מהמחרוזת 'BiBi' שבה התוכנה הזדונית מחליפה את הקבצים שנמחקים. לא ברור איזה תפקיד מילאה Storm-1084, אם בכלל, במתקפה הרסנית זו. Storm-1084 ביצעה מתקפות סייבר הרסניות כנגד ארגון ישראלי נוסף בתחילת 2023 – מתקפה שהתאפשרה בגלל קבוצה נוספת המקושרת ל- MOIS, ‏Mango Sandstorm (המכונה גם MuddyWater).33

מפרוץ המלחמה, בינת האיומים של Microsoft זיהתה גם שיתוף פעולה בין Pink Sandstorm, קבוצה המזוהה עם MOIS, ליחידות הסייבר של חיזבאללה. Microsoft הבחינה בחפיפה בתשתית ובכלים משותפים. שיתוף הפעולה האיראני עם חיזבאללה בפעולות סייבר, למרות שאינו חסר תקדים, מציג התפתחות מדאיגה – שהמלחמה עלולה לחבר עוד יותר את הקבוצות האלה בין גבולות הלאום מבחינה מבצעית.34מכיוון שכל מתקפות הסייבר של איראן במלחמה זו שולבו עם פעולות השפעה, יש סבירות נוספת לכך שאיראן משפרת את פעולות ההשפעה שלה ואת תפוצתן על-ידי מינוף של דוברי שפת אם ערבית כדי לחזק את מידת האותנטיות של הפרסונות השקריות שלה.

2. היפר-התמקדות בישראל 
ההתמקדות של גורמי סייבר איראניים בישראל התחזקה. איראן מתמקדת כבר שנים בישראל, שאותה טהרן רואה כיריבה העיקרית שלה, יחד עם ארצות הברית. בהתאם לכך, על סמך נתוני בינת האיומים של Microsoft, בשנים האחרונות ארגונים בישראל ובארצות הברית היו כמעט תמיד המטרות הנפוצות ביותר של איראן. עד המלחמה, הגורמים האיראניים התמקדו בעיקר בישראל ואחריה איחוד האמירויות וארצות הברית. לאחר פרוץ המלחמה, ההתמקדות בישראל זינקה. 43% מפעילות הסייבר הלאומית של איראן שזוהתה על-ידי Microsoft מתמקדת בישראל, יותר מכל 14 המדינות שאחריה יחד.
התפלגות האחוזים של נתוני בינת האיומים של Mogult לפי מדינה, וההתמקדות של איראן לפני המלחמה, ו- 75 מפרוץ המלחמה.

אנחנו צופים שהאיום הנשקף מפעולות הסייבר ופעולות ההשפעה של איראן יתרחב עם המשך העימות בין ישראל לחמאס, בפרט לנוכח הפוטנציאל הגובר להסלמה בחזיות נוספות. בימים המוקדמים של המלחמה, הקבוצות האיראניות מיהרו לבצע, או פשוט לפברק מבצעים, הן האטו לאחרונה את הפעולות כדי שיהיה להן יותר זמן לקבל את הגישה הרצויה או לפתח פעולות השפעה מורכבות יותר. מה שמתברר משלבי המלחמה המפורטים בדוח זה, הוא שפעולות הסייבר ופעולות ההשפעה של איראן התקדמו לאט-לאט והפכו לממוקדות, משותפות והרסניות יותר.

התקיפות של הגורמים האיראניים גם הפכו לנועזות יותר, בפרט במתקפת סייבר על בית חולים – ובבדיקת הקווים האדומים של וושינגטון בלי לדאוג לכאורה לגבי ההשלכות. למרות היותן אופורטוניסטיות, המתקפות של ה- IRGC על מערכות בקרת המים בארצות הברית היו ככל הנראה תכסיס חכם כדי לנסות את וושינגטון בטענה שתקיפת ציוד שיוצר בישראל היא לגיטימית.

לקראת הבחירות בארצות הברית בנובמבר 2024, שיתוף הפעולה הגובר בין קבוצות איראניות וקבוצות המזוהות עם איראן מנבא אתגר גדול יותר לגופים הפועלים להגנת הבחירות. צוותי ההגנה לא יכולים עוד לעקוב בשלווה אחר מספר קבוצות. במקום זאת, סביבת האיומים נעשתה מורכבת ומסובכת יותר עקב מספר הולך וגדל של סוכני גישה, קבוצות השפעה וגורמי סייבר.

תובנות נוספות של מומחים לגבי פעולות ההשפעה של איראן

האזן לתובנות נוספות ממומחים לגבי פעולות ההשפעה בגיבוי סייבר של איראן, בדגש על הפעולות של איראן הקשורות לבחירות לנשיאות בארצות הברית ב- 2020 ובמלחמת ישראל-חמאס ב פודקאסט בנושא בינת האיומים של Microsoft. הדיון סוקר את הטקטיקות שבהן משתמשים הגורמים האיראניים, כגון התחזות, גיוס של תושבים מקומיים ומינוף של הודעות טקסט ודוא"ל לצורך העצמת הפעולות. הוא גם מביא הקשר למורכבות של פעולות הסייבר האיראניות, למאמצים השיתופיים, לצריכת התעמולה, לטקטיקה היצירתית ולאתגרים בייחוס של פעולות השפעה.

  1. [1]
  2. [2]
  3. [3]
  4. [4]
  5. [5]
  6. [6]
  7. [7]
  8. [8]
  9. [9]
  10. [10]
  11. [11]
  12. [12]
  13. [13]
  14. [14]
  15. [15]
  16. [16]
  17. [17]
  18. [18]
  19. [19]
  20. [20]
  21. [21]
  22. [22]
  23. [23]
  24. [24]
  25. [25]
  26. [26]
  27. [27]
  28. [28]
  29. [29]
  30. [30]
  31. [31]
  32. [32]
  33. [33]
  34. [34]
פעולות המשפיעות על תחום הסייבר מדינת לאום דוחות מדינת לאום גורמי איום

מאמרים קשורים

גורמי האיום הרוסים מתבצרים ומתכוננים להשתלט על התשישות מהלחמה 

פעולות הסייבר והשפעה הרוסיות נמשכות בשעה שהמלחמה באוקראינה נמשכת. בינת האיומים של Microsoft מפרטת את איום הסייבר האחרון ופעולות ההשפעה האחרונות במהלך 6 החודשים האחרונים.
למידע נוסף

איראן פונה לפעולות השפעה תומכות סייבר לקבלת אפקט גדול יותר

בינת האיומים של Microsoft חושפת עלייה בפעולות השפעה תומכות סייבר שיוצאות מאיראן. קבל תובנות לגבי איומים עם פרטים לגבי טכניקות חדשות והיכן קיים הפוטנציאל לאיומים עתידיים.
למידע נוסף

פעולות הסייבר וההשפעה של המלחמה בשדה הקרב הדיגיטלי של אוקראינה

בינת האיומים של Microsoft בוחנת שנה של סייבר ופעולות השפעה באוקראינה, חושפת מגמות חדשות באיומי סייבר ולמה לצפות בשעה שהמלחמה נכנסת לשנתה השנייה.
למידע נוסף