במקביל לפרסום הודעת מערך הסייבר הלאומי בשני האחרון לפיה איראן וחיזבאללה עומדות מאחורי מתקפת הסייבר על בי"ח זיו בצפת, דווח באיראן כי רוב תחנות הדלק הושבתו בעקבות מתקפת סייבר. המתקפה שיבשה את תוכנת התדלוק בתחנות האיראנית ועל פי הטלוויזיה במדינה חלק מהתחנות עברו לתפעול ידני. "רוב העולם סבור שישראל עשתה את זה", אומר גיל מסינג, ראש המטה וראש מערך התקשורת הגלובלית בצ'ק פוינט. "התקיפה נראית מאוד מדינתית ומתאימה לישראל בהקשר הגאופוליטי - איראן פעילה באופן בוטה וישיר בתקיפות נגדה ופגיעה בתשתיות קריטיות באיראן מעבירה מסר לחמינאי".
כעת נראה שהמלחמה הוירטואלית בין ישראל ואיראן עולה מדרגה. נתוני צ'ק פוינט מהימים האחרונים מעידים כי ארגון או עסק ישראלי מותקפים בממוצע 1,350 פעמים בשבוע, עלייה של 21 אחוז ביחס לתחילת המלחמה. העלייה במספר תקיפות הסייבר כנגד גופים ממשלתיים משמעותית עוד יותר ועומדת על 52 אחוז מראשית הלחימה. ישנה גם עלייה של 19 אחוז בסוג החמור ביותר של התקיפות - תקיפות כופרה.
קבוצות איראניות מבצעות תקיפות נרחבות בישראל
"איראן אחראית לחלק מרכזי מהתקיפות אך לא לכולן", מסביר מסינג, "חד משמעית אנו מזהים רצון לתקוף את המדינה ואת מי שקשור למלחמה באופן ישיר. בחודש האחרון איתרנו עשר קבוצות תקיפה מדינתיות מבחינת יכולותיהן, כולן קבוצות תקיפה איראניות או של שלוחי איראן מארגון חיזבאללה, שמנסות ומצליחות לבצע תקיפות בישראל בהיקפים גדולים. מדובר בתקיפות נגד גופי אקדמיה וגופים ציבוריים, חברות של שירותים דיגיטליים ועסקים שונים".
"התקיפות כוללות תקיפות כופרה, מחיקת שרתים, גניבת מידע והדלפות בהיקפים עצומים", מתאר מסינג. "האיראנים אוהבים לתקוף 'וואן סטופ שופ' ולגרום נזק רב בתקיפה אחת. כך היה במקרה של חברת Signature-IT המארחת עשרות אתרים שהם ברובם אתרי אי-קומרס והותקפה במהלך המלחמה. מאז אותה תקיפה, כל יום מודלפות אלפי או עשרות אלפי רשומות של אזרחים ישראלים. האקרים יכולים להצליב את הפרטים במאגרים השונים כבסיס למתקפות הבאות. דליפת הנותנים על אדם מסוים מאפשרת לתכנן למשל מתקפת פישינג יעילה שתערים דווקא אותו".
איך תוקפים בית חולים בישראל?
השבוע איראן היא שספגה פגיעה בתשתיות החיוניות שלה, אך אל לנו לשכוח שגם לישראל נקודות תורפה. המתקפה על בית החולים זיו לפני כשלושה שבועות נועדה לשבש את פעילות בית החולים ולייצר פגיעה ממשית במטופלים, היא נבלמה אומנם אך רק לאחר שמידע רגיש של ממטופלים דלף. "בתי חולים הם יעד נחשק להאקרים", אומר ד"ר יניב לויתן, מומחה ללוחמת מידע מאוניברסיטת חיפה, "כיוון שלהגן על בתי חולים זו אחת המשימות המורכבות בסייבר".
"ישנם שלוש דרכי פעולה אפשריות לתקיפת בית חולים", הוא מסביר, "הראשונה היא יצירת גישה למחשב בבי"ח מרחוק, השנייה היא הגעה פיזית והחדרת תוכנה זדונית דרך דיסק און קי או כלי אחר והשלישית היא תקיפת עובד בית חולים שמתחבר מהבית. תקיפה מהסוג האחרון מהווה אתגר משמעותי מאז המעבר לעבודה היברידית בעקבות הקורונה. ברור שתקיפת ארגון כמו בית חולים לוקחת זמן ודורשת איסוף מודיעין על חולשות שניתן לנצל".
מטרות ישראליות על הכוונת
כמובן שלא רק בתי החולים בסכנה. בשנת 2020 דווח על מתקפה המיוחסת לאיראן נגד מתקני מים בישראל, במסגרתה אף נעשה ניסיון להעלות את רמות הכלור במים. בכל זאת, הנזק האמיתי לאזרחי ישראל עשוי להגיע מכיוון צפוי פחות. "המדינה יודעת להגן על גופים ממשלתיים ומתקנים ביטחוניים ומשקיעה בזה", סבור לויתן. "מי שנמצאים בסכנה מוגברת הם עסקים קטנים ובינוניים שמחזיקים מידע יקר ערך על ישראלים ולא לוקחים בחשבון שהם עשויים להיות יעד למתקפה. הם חייבים לשפר את הגנות הסייבר שלהם".
מתקפות סייבר לא נוטות להיענות בשקט ולאחר ניסיון הפגיעה במתקני המים בישראל דווח ב"וושינגטון פוסט" כי ישראל ביצעה מתקפת סייבר בנמל בדרום איראן שגרמה לשיבושים קשים. המענה למתקפה לא חייב להיות רק בסייבר ומדינה שחוצה את הסף עלולה למצוא את עצמה במלחמה בעולם האמיתי. "אם תהיה פגיעה משמעותית בסייבר התגובה יכולה להיות פיזית", אומר לויתן, "להוציא מתקפת סייבר זה מורכב, מאתגר ולוקח זמן. מתקפה פיזית יכולה להיות יעילה יותר".
כמובן שגם האזרח בקצה הגולש ברשתות החברתיות ובאתרי אינטרנט הוא יעד לתקיפה. "במקרה של ארגוני טרור לא מדינתיים הפעולות בסייבר הן בעיקר פעולות תודעתיות", מתאר לויתן. "מתקפות כאלו כוללות השחטת אתרים וכן הפצה של דיסאינפורמציה ופייק ניוז ברשתות החברתיות".
אופוזיציה איראנית או קבוצה ישראלית?
עם כן, יתכן שישראל תשלם מחיר משמעותי על מתקפת הסייבר שפגעה באיראן. אך חייבים להודות שכלל לא ברור האם היא באמת עומדת מאחורי התקיפה. בשדה הקרב הוירטואלי קשה במיוחד להתחקות אחר התוקף האמיתי. "הכלים בהם נעשה שימוש בתקיפות והעומק שלהן, הם כאלו שלא נמצאים בידי קבוצות פשיעה רגילות", סבור מסינג. "התקיפות שלה מתמקדות בתשתיות קריטיות באיראן והיא לקחה כבר אחריות בעבר על תקיפת תחנות דלק. אולם, צריך לזכור שבעולם הסייבר יש הרבה דיסאינפורמציה. לו קבוצה אחרת, למשל קבוצת אופוזיציה איראנית, הייתה רוצה שתקיפה שלה תראה כתקיפה ישראלית, זה מה שהיא הייתה עושה".
גם אם מדובר בתקיפה מדינתית, השימוש בשלוחים (proxies) משמש ממשלות על מנת לטשטש את אחריותן למתקפות סייבר. השימוש בשלוחים בשדה הקרב הפיזי, מאפיין את פעילותם של משטרים המעוניינים לערער את היציבות, כמו איראן המממנת ומכווינה עשרות ארגוני טרור במזרח התיכון ורוסיה שמשתמשת בכוח וגנר. "בסייבר מדינות מערביות בוודאי עושות זאת גם", מתאר מסינג. "הקבוצה שלקחה אחריות הפעם השתמשה בעבר בז'רגון וטיעונים שיכולים להישמע כמו אופוזיציה אירנית וכעת מבצעת תקיפה שנראית ישראלית. כל אחת מהזהויות האלו עשויה להיות כיסוי לאחרת".