ההפצצות פסקו אבל הסכנה לא חלפה: בישראל וארה"ב חוששים מתקיפות סייבר איראניות

האקרים הקשורים לאיראן איימו לפרסם עוד מיילים שנגנבו ממקורביו של נשיא ארה"ב דונלד טראמפ, לאחר שכבר הפיצו סדרת מיילים קודמת לתקשורת לקראת הבחירות לנשיאות ב-2024.

סוכנות הידיעות רויטרס פרסמה אתמול (ג') כי בשיחות שנערכו בתחילת השבוע עם ההאקרים, שפועלים תחת שם הכיסוי "רוברט", הם טענו כי ברשותם כ-100 גיגה-בייט של מיילים מחשבונותיהם של ראש הסגל בבית הלבן סוזי וויילס, עורכת הדין של טראמפ לינדסי האליגן, היועץ רוג'ר סטון וכוכבת הפורנו לשעבר שהתנגדה לטראמפ, סטורמי דניאלס.

"רוברט" רמזו על אפשרות של מכירת החומרים, אך לא מסרו פרטים נוספים על תוכניותיהם. הם גם לא פירטו מה תוכן המיילים. התובעת הכללית פאם בונדי כינתה את הפריצה "מתקפת סייבר חסרת מצפון". הבית הלבן וה-FBI פרסמו תגובה מפי ראש ה-FBI, קאשי פאטל: "כל מי שמעורב בפריצה לביטחון הלאומי ייחקר ויועמד לדין במלוא חומרת החוק". סוכנות הסייבר האמריקאית CISA פרסמה פוסט ברשת X (טוויטר לשעבר) שבו נכתב: "מה שמכונה 'מתקפת הסייבר' הזו אינה אלא תעמולה דיגיטלית, והבחירה במטרות איננה מקרית. מדובר בקמפיין השמצה מחושב שמטרתו לפגוע בנשיא טראמפ ולהכפיש אנשי ציבור ישרים שמשרתים את ארצנו בכבוד".

https://t.co/jiackPcrDh pic.twitter.com/stPEFAlF75

— Cybersecurity and Infrastructure Security Agency (@CISAgov) July 1, 2025

האליגן, סטון ונציג מטעם דניאלס לא הגיבו לבקשות לתגובה. גם המשלחת האיראנית לאו"ם לא השיבה לפניית רויטרס. בעבר, איראן הכחישה מעורבות בריגול סייבר.

"רוברט" הופיעו בחודשים האחרונים של קמפיין הבחירות של 2024, כשלטענתם פרצו לחשבונות מייל של מקורבים של טראמפ, כולל סוזי וויילס. בהמשך, ההאקרים שלחו את המיילים לעיתונאים.

רויטרס אימתה בעבר חלק מהחומרים שדלפו, כולל מייל שנראה כמתאר הסדר כספי בין טראמפ לעורכי דינו של מועמד הנשיאות לשעבר רוברט פ. קנדי ג'וניור - שכיום מכהן כשר הבריאות של טראמפ. חומרים נוספים כללו תקשורת פנימית של קמפיין טראמפ בנוגע למועמדים רפובליקנים ודיונים על מו"מ להסדר משפטי עם סטורמי דניאלס.

כתב אישום של משרד המשפטים האמריקאי בספטמבר 2024 טען כי משמרות המהפכה של איראן הן שהפעילו את מבצע הפריצה של "רוברט". בשיחות עם רויטרס, ההאקרים סירבו להגיב להאשמות. לאחר ניצחונו של טראמפ, "רוברט" אמרו לרויטרס כי אין תוכניות להדלפות נוספות, אך הם חזרו לפעול לאחר סבב הלחימה של מבצע "עם כלביא", שבסיומו הפציצה ארה"ב את מתקני הגרעין של איראן.

בהודעות שנשלחו השבוע, אמרו "רוברט" כי הם מארגנים מכירה של המיילים הגנובים ורוצים שרויטרס "תשדר את העניין". החוקר פרדריק קייגן מהמכון האמריקאי לתאגידים, שכתב על ריגול סייבר איראני, אמר כי איראן ספגה נזק משמעותי בעימות, והמרגלים שלה ככל הנראה מנסים לנקום בדרכים שלא יובילו לתגובה נוספת מצד ארה"ב או ישראל. "ההסבר הבסיסי הוא שכולם קיבלו הוראה להשתמש בכל הכלים הא-סימטריים שלא סביר שיגרמו לחידוש התקיפות הצבאיות הישראליות או האמריקאיות", אמר. "הדלפת עוד מיילים כנראה לא תעשה את זה".

למרות החששות שאיראן תשחרר מתקפות סייבר הרסניות, האקרים איראנים שמרו על פרופיל נמוך במהלך הלחימה. גורמי סייבר בארה"ב הזהירו השבוע כי חברות אמריקאיות ותשתיות קריטיות עדיין עשויות להיות במוקד התקיפה של טהרן.

"מי שחושב שזה נגמר - טועה בגדול"

האזהרות לא מגיעות רק מארה"ב, לפי נתוני ארמיס (יוניקורן אבטחת סייבר ישראלי), מאז התקיפות האמריקאיות על מתקני הגרעין באיראן, זוהתה עלייה משמעותית בפעילות של למעלה מ-120 קבוצות האקרים אקטיביסטיות, רובן מזוהות כפרו-איראניות וחלקן אף מקושרות לגורמים מדינתיים ברוסיה.

לדברי נדיר יזרעאל, מייסד-שותף וה-CTO של ארמיס, מדובר במלחמת סייבר של ממש - כזו שלא פסקה גם לאחר הסכם הפסקת האש. "מי שחושב שזה נגמר, טועה בגדול", הוא אומר. לדבריו, מאבקי כוח פנימיים והשבתות האינטרנט בתוך איראן אמנם משפיעות על הפעילות שלהן - אך אותן קבוצות ממשיכות לפעול ולתקוף, בייחוד עם מתקפות מניעת שירות (מתקפות DDoS), לצד פריצות והדלפות מידע רגיש, וכן פגיעה מכוונת בתשתיות קריטיות בתחומי האנרגיה והתחבורה. ההתקפות מכוונות לישראל ולארה"ב וממשלות עוינות מפנות משאבים לתמיכה בקבוצות ההאקינג הללו.

המיפוי העדכני כולל כיום 95 קבוצות סייבר פרו-איראניות, מתוכן 9 המקושרות ישירות לגורמי תקיפה מדינתיים רוסיים, 15 קבוצות אנטי-איראניות (אך לא פרו-ישראליות), ו-10 קבוצות פרו-ישראליות שפועלות מישראל. לפחות 7 קבוצות פרו-איראניות הצהירו לאחרונה שהן מכוונות את מתקפותיהן כעת לעבר ארה"ב. מבין הקבוצות הרוסיות, בולטת (Noname057(16 שהצטרפה לאחרונה למתקפות הסייבר על תשתיות בישראל.

גם בחברת אבטחת המידע פאלו אלטו נטוורקס מזהירים בנושא. יחידת המחקר UNIT 42 של החברה, פרסמה התרעה חריגה לסיכון גבוה מאוד למתקפת תגמול איראנית במרחב הדיגיטלי.

למרות שלא נצפתה קפיצה דרמטית במספר התקיפות בינתיים, ב-UNIT 42 מסבירים כי בשנתיים האחרונות נרשמה עלייה חדה במעורבות של קבוצות האקרים הקשורות לאיראן בזירה הבינלאומית, בין השאר תוך שימוש בשיטות מתקדמות של הנדסה חברתית מבוססת בינה מלאכותית, קמפיינים להשפעה על דעת קהל ומבצעי ריגול במסווה.

בין השאר נחשפה באחרונה קבוצה איראנית הפועלת בשם הקוד “Agent Serpens” או “חתלתול מקסים”, שניסתה להפיץ קבצי PDF מזויפים שהוסוו כמסמכים של מכון המחקר RAND. התוקפים הפיצו קובץ מזיק בצורה זו לעובדים בארגון כדי להדביק מחשבים ולהשיג גישה למידע רגיש. בנוסף, נחשפה תשתית סייבר איראנית שהתחזתה לסוכנות דוגמנות גרמנית במטרה לפתות גולשים תמימים, לאסוף עליהם מידע ולמקד תקיפות נקודתיות.

בפאלו אלטו נטוורקס מזהירים כי המטרות של שחקני הסייבר האיראניים מגוונות - מריגול תעשייתי וגניבת קניין רוחני, ועד מתקפות השחתה, מחיקות מסיביות ("Wiper attacks") ופעולות השבתה של אתרי אינטרנט ומערכות חיוניות (DDoS). החוקרים מוסיפים כי איראן נחשבת לאחת מארבע מעצמות הסייבר המרכזיות בעולם, לצד סין, רוסיה וצפון קוריאה. 

"התוקפים משתמשים ביותר ויותר שיטות, והאיום כל הזמן משתנה, לכן חשוב שכל ארגון יהיה מוכן מראש" נכתב בדו"ח. "כדאי לשים דגש על הנכסים הדיגיטליים הכי רגישים: אתרי אינטרנט, פורטלים, שירותי ענן ו-VPN. ולזכור כי אנשים הם קו ההגנה הראשון, חשוב להכשיר את כולם לזהות פישינג, הודעות חשודות וכל ניסיון להוציא מהם מידע. רק שילוב של כל שכבות ההגנה יחד עם מודעות יומיומית באמת נותן סיכוי להקדים את ההאקרים".