סגור
באנר דסקטופ כלכליסט טק
המנהיג העליון ב איראן עלי חמינאי
המנהיג העליון באיראן עלי חמינאי (צילום: KHAMENEI.IR / AFP)

מתקפות סייבר והפצת פייק ניוז: מיקרוסופט חושפת - כך התגייסה איראן לטובת חמאס אחרי הטבח

לפי דו"ח של חוקרי מיקרוספט, מאז תחילת המלחמה בעזה פועלת איראן נגד ישראל בשדה הסייבר, תוך שימוש בטכנולוגיות מתקדמות ובהן יכולות בינה מלאכותית. מטרות המבצע האיראני כללו את ערעור היציבות בישראל באמצעות קיטוב

מאז תחילת המלחמה ברצועת עזה, מובילה איראן קמפיין משולב ונרחב של מתקפות סייבר ומבצעי השפעה נגד ישראל וישראלים, שעושה שימוש חדשני בטכנולוגיות מתקדמות ובהן יכולות בינה מלאכותית (AI) – כך לפי דו"ח מיוחד של מיקרוסופט בנושא פעילות הסייבר האיראנית בעקבות מתקפת חמאס שמתפרסם הבוקר (ד'). באחד המקרים הבולטים ביותר, פרצו האקרים איראניים לשירות סטרימינג באיחוד האמירויות, והעלו משדר חדשות מזויף עם קריין שנוצר על ידי AI.
"מיד עם פרוץ המלחמה, איראן זינקה לתמיכה בחמאס באמצעות טכניקות משויפות היטב שמשלבות מתקפות סייבר ממוקדות וקמפייני השפעה שמוגברים באמצעות מדיה חברתית", נכתב בדו"ח. "בסוף אוקטובר, כמעט כל שחקני ההשפעה והסייבר האיראניים התקמדו בישראל ובביצוע מתקפות ממוקדות, מתואמות והרסניות, במה שנראה כמו 'גיוס כללי' נגד ישראל".
הדו"ח גובש על ידי מרכז המודיעין של מיקרוסופט, גוף מחקר בינלאומי שמורכב מיותר מ-8,000 מומחי סייבר, חוקרים ואנליסטים שמנתחים 65 טריליון אותות ביום במטרה לזהות איומים עדכניים.
לפי הדו"ח, המתקפה האיראנית נגד ישראל מאופיינת בשלושה שלבים כרונולוגיים: הראשון ריקאטיביות והטעיה, השני התגייסות כללית, והשלישי הרחבת ההיקף הגיאוגרפי. בכל שלבים אלו נותר אלמנט קבוע – השילוב של מתקפות סייבר ממוקדות עם קמפייני השפעה שלעתים יצרו הטעיה לגבי הדיוק או היקף המתקפה.
השלב הראשון, התאפיין במידה רבה בהטעיה. התקשורת באיראן פרסמה מידע מטעה לגבי מתקפות סייבר. למשל, טענה שהאקרים תקפו תחנות כוח בישראל במקביל למתקפת חמאס ב-7 באוקטובר. זאת, על סמך טענה לא מאומתת של קבוצת תקיפה מערב קודם שלפיו תקפה את חברת החשמל. במקביל, קבוצות תקיפה פרסמו מחדש מידע ישן שנגנב בתקיפות קודמות, או השתמשו בפרצות שזיהו קודם למתקפה. "כמעט ארבעה חודשים לתוך המלחמה, מיקרוסופט לא זיהתה ראיה ברורה לכך שקבוצות איראניות תיאמו את המתקפות שלהן עם חמאס", נכתב. בימים הראשונים אחרי המתקפה, זיהו חוקרי מיקרוסופט, כי פעילות ההשפעה האיראנית היתה היעילה ביותר, עם גידול של 42% בהיקף התעבורה למקורות התעמולה של המדינה בשבוע הראשון אחרי ה-7 באוקטובר.
מאמצע ועד סוף אוקטובר, שלב ה"גיוס הכללי", "מספר הולך וגדל של קבוצות איראניות שינו את המיקוד שלהן לישראל, וקמפייני השפעה בגיבוי איראני החלו לעשות שימוש במתקפות סייבר הרסניות", נכתב. מתקפות אלו כללו מחיקות מידע, מתקפות כופר ומתקפות נגד מכשירי האינטרנט של הדברים. כן אותר תיאום בין הקבוצות השונות, כאשר במקרים מסוימים זוהו כמה קבוצות שתקפו במקביל את אותן מטרות. בשיאו של שלב זה זיהו החוקרים 14 קבוצות תקיפה גדולות שפעלו נגד ישראל.
מתקפות אלו האדירו הצלחות נקודתיות באמצעות מידע שקרי. כך, לדוגמה, ב-18 באוקטובר הצליחה קבוצת תקיפה לפרוץ למצלמות אבטחה מקוונות בישראל. הקבוצה השתמשה באחד מחשבונות המדיה החברתית המזויפים שלה על מנת לטעון שפרצה בהצלחה למצלמה בבסיס של חיל האוויר בנבטים. זאת, אף שבפועל הצילום שפרסמה היה של מצלמה ברחוב נבטים בעיר מצפון לתל אביב.
במקרה אחר ב-21 באוקטובר הפיץ חשבון שמזוהה עם קבוצת תקיפה אחרת סרטון של השחתת תצוגה דיגיטלית בבית כנסת, באמצעות הצגת מסר שמאשים את ישראל בג'נוסייד. "הדבר סימן שיטה חדשה להטמעת מסרים ישירות באמצעוות מתקפות סייבר נגד מטרות רכות יחסית", נכתב בדו"ח. דוגמה עדכנית יותר ניתן היה לראות במתקפת הסייבר נגד מסכי פרסום באולמות המבואה של רשת בית הקולנוע לב בשבוע שעבר.
כן כלל השלב השני שימוש ברשת של חשבונות מדיה חברתית על מנת להגביר את תוצאות מתקפות הסייבר, וכן שימוש באימייל והודעות טקסט על מנת להפיץ מידע על הצלחת המתקפות.
השלב השלישי, שהחל בסוף נובמבר, התאפיין בהרחבת הפעילות אל מחוץ לישראל, דוגמת מדינות שזוהו על ידי איראן כתומכות ישראל. זאת, במטרה לערער את התמיכה הפוליטית, הכלכלית או הצבאית שהן סיפקו לישראל. התרחבות זו מקבילה לתחילת המתקפות של המורדים החות'ים נגד ספינות משא בינלאומיות בים האדום. כך, לדוגמה, ב-21 בנובמבר הותקפו אתרים של גופי ממשל ומוסדות פיננסיים בבחריין, בתגובה לנורמליזציה עם ישראל. ב-22 בנובמבר, קבוצה איראנית תקפה בקר לוגיים שיוצרו על ידי חברה ישראלית בארה"ב ואולי גם באירלנד.
שלב זה התאפיין גם בעלייה בתחכום של קמפיין ההשפעה. "הם הסוו טוב יותר את חשבונות המדיה החברתית הפיקטיביים שלהם באמצעות שינוי השם ותמונות הפרופיל כך שיראו יותר ישראליים", נכתב בדו"ח. "במקביל, נעשה שימוש בטכניקות חדשות שלא ראינו קודם לכן משחקנים איראניים, כולל שימוש ב-AI. בדצמבר קבוצת תקיפה בשם Cotton Sandstorm שיבשה שירות טלוויזיה בסטרימינג באיחוד האמירויות ובמדינות אחרות תחת מסווה של גוף בשם For Humanity. גוף זה פרסם סרטונים בטלגרם שהראו את הקבוצה פורצת לשלושה שירותי סטרימינג ומשבשת שידורים של כמה ערוצי חדשות עם משדר חדשות מזויף בהגשת קריין שנוצר כנראה על ידי AI".
לדברי מיקרוסופט, מטרות המבצע האיראני כללו את ערעור היציבות בישראל באמצעות קיטוב. "מספר קמפייני השפעה התחזו לקבוצות אקטיביזם ישראליות במטרה לשתול מסרים מלהיטים שביקרו את גישת הממשלה לשחרור החטופים. נתניהו היה מטרה מרכזית, וקריאות להדחתו היו תמה נפוצה בקמפייני ההשפעה של איראן", נכתב.
מטרה אחרת היתה נקמה, כמו מתקפת הסייבר נגד בית החולים זיו בצפת, שנעשה בתגובה לדיווחים על הפצצה הישראלית (שלא קרתה) של בית החולים שיפא בעזה. כן פעלו התוקפים האיראניים על מנת לייצר אימה ופחד בקרב האוכלוסייה בישראל ("חשבונות פיקטיביים הגבירו מסרים של חמאס שלפיהם לצה"ל 'לא אין את הכוח להגן על חייליו שלו'"), וערעור התמיכה הבינלאומית בישראל.
על מנת להשיג מטרות אלו, התבססו הקבוצות האיראניות על ארבע טקטיקות מרכזיות. הראשונה, התחזות לקבוצות ואקטיביסטים ישראלים ("איראן יצרה ארגונים פיקטיביים משכנעים שמתחזים לגופים מהימין ומהשמאל בישראל"). או לגורמי חמאס, כאשר במקרה האחרון שימשה התחזות זו על מנת להפיץ מידע שקרי על החטופים בעזה. השנייה, הנעה של ישראלים לפעילות בשטח: "איראן הדגימה הצלחה חוזרת ונשנת בגיוס ישראלים תמימים למבצעים בשטח. במבצע אחד, סוכנים איראנים שכנעו ישראלים לתלות שלטים בשכונות ישראליות שבהם תמונת AI של נתניהו וקריאה להדחתו".
שיטה נוספת היתה העצמת מסרים באמצעות הודעות טקסט ואימיילים, שנשלחו בתדירות ובתחכום גדלים. "להפצת מסרים באמצעות חשבונות פיקטיביים במדיה חברתית אין את אותה השפעה כמו מסר שמופיע באינבוקס או בטלפון", נכתב בדו"ח. "בסוף אוקטובר, נשלחו שלושה מקבצים של הודעות ואימיילים בהיקפים מאסיביים, כדי להעצים מסרים על מתקפות סייבר והתרעות שווא של חמאס מפני מתקפה על הכור הגרעיני בדימונה". השיטה הרביעית היתה שימוש בתקשורת המדינה האיראנית להעצמת המסרים.
"אנחנו צופים שהאיום ממתקפות הסייבר וקמפייני ההשפעה האיראניים יגדל ככל שהעימות בין ישראל לחמאס ממשיך", מסכמים החוקרים. "לאחרונה, קבוצות איראניות האטו את קצב המתקפות שלהן, מה שמאפשר להן יותר זמן לקבל גישה למטרות או לפתח מבצעי השפעה מתוחכמים יותר. מבצעי הסייבר וההשפעה האיראניים התקדמו באטיות, והפכו לממוקדים יותר, שיתופיים יותר והרסניים יותר".