כשאיראן כמעט הציפה את ניו יורק: הצצה לצבא הסייבר של טהראן

בחודש מרץ 2016 הגיש ממשל אובמה כתב אישום חמור נגד האקרים איראנים בעקבות סדרה מתוכננת של מתקפות סייבר שהתרחשו בשנים 2011-2013. לפי כתב האישום, תקפו ההאקרים 46 בנקים בארה"ב וגם סכר במדינת ניו-יורק. הנזק שנגרם במתקפות הללו מוערך בעשרות מיליוני דולרים, ואם פעילות הסכר הייתה נפגעת עלולה המתקפה הייתה גם לגבות חיי אדם. זה אחד מכתבי האישום הכבדים אי פעם בארה"ב נגד מדינה זרה באישום של מתקפת סייבר אבל הוא בעיקר עדות לכך שאיראן היא שחקנית שיש להתייחס אליה ברצינות בזירת הסייבר העולמית.

אחרי שצללנו לתוך תמנון הסייבר הסיני, והבנו מה מניע את מאמצי הסייבר של רוסיה, הגענו למדינה אותה ניתן להגדיר בתור "איום הסייבר הכי גדול היום על מדינת ישראל", אומר לנו ד"ר הראל מנשרי, ראש תחום הסייבר ב-HIT מכון טכנולוגי חולון ומומחה למחקר, אבטחה והגנה על תשתיות קריטיות ומערכות אזרחיות וביטחוניות מורכבות מפני תקיפות סייבר. לדבריו, "ישראל צריכה לחשוש כרגע בעיקר מאיראן והשלוחות שלה, בראשן חיזבאללה. זה האויב העיקרי של ישראל היום בתחום הסייבר במזרח התיכון".

"איראן מתייחסת למרחב הסייבר כאל זירת לחימה פעילה מול ארה"ב, ישראל ומדינות אחרות", מסביר ד"ר מנשרי. "המשטר האיראני משקיע מאמץ גדול מאוד בתחום הסייבר לצורך לוחמה פסיכולוגית, חבלה בתשתיות של מדינות אחרות וגם ככלי להפצת המהפכה האסלאמית בעולם". לדבריו, "בתחילת שנות האלפיים התעורר באיראן צורך עז להאיץ את חיזוק ופיתוח מערכות ההגנה, ולערוך תרגילים המדמים מתקפות קיברנטיות ברמה הלאומית".

כדי להבין איך הפכה איראן לכוח בזירת הסייבר העולמית צריך לחזור לקיץ 2010, אז הודיעו גורמי אבטחה פרטיים על גילויה של תולעת בשם סטוקסנט (STUXNET) במתקני הגרעין של איראן. בסוף נובמבר 2010 הצהיר נשיא איראן כי אויביה של הרפובליקה הצליחו באמצעות התולעת הזו לגרום נזק לצנטריפוגות במתקני העשרת האורניום במדינה. "גילויה של סטוקסנט היה למעשה תחילתו של עידן חדש בתחום הלוחמה הקיברנטית בעולם", מסביר ד"ר מנשרי. "לראשונה הייתה הוכחה פומבית שאפשר לייצר טיל סייבר מונחה, שמסתובב בכל מני מערכות מסביב לעולם ומצליח לפגוע במטרה ספציפית בצורה מאוד ממוקדת. היה ברור מיד שזה לא וירוס שכל אחד יכול לייצר - סטוקסנט נוצר על ידי מדינה או בשיתוף פעולה של כמה מדינות".

שנה לאחר מכן, בשלהי 2011, פורסם כי תולעת נוספת, בשם DUQU, פעלה גם במחשבים האיראניים, בעיקר נגד תשתית הגרעין. לפי הפרסומים תפקידה העיקרי היה לאסוף מודיעין ולפי גורמי האבטחה שחקרו את התוכנה גם סטוקסנט וגם דוקו הגיעו מאותו בית יוצר; אבל הם היו רק ההכנה לווירוס שהתגלה בחודש מאי 2012. "מומחי חברת האבטחה הרוסית קספרסקי הודיעו שהם זיהו תולעת, אותה הם כינו FLAME (להבה)", מספר ד"ר מנשרי. "התולעת פגעה קשות במערכות מחשבים של תשתיות אירניות וגם במערכות בלבנון ובסוריה. לפי מומחי קספרסקי, התולעת הזו הגיעה אף היא מאותו בית יוצר של סטוקסנט ודוקו ואחרי סדרת התקיפות הזו האיראנים הבינו חד-משמעית שהמלחמה הבאה תכלול גם לוחמה קיברנטית. אבל יותר מכל האיראנים הבינו עד כמה חשופות המערכות שלהם ועד כמה הם חסרי יכולת לספק מענה לאיומים מסוג זה".

בשנת 2009 התקיימו בחירות באיראן. עם היוודע התוצאות עלו טענות לזיופים וסטודנטים רבים יצאו להפגין ברחובות. חלק מהתיאום בין הסטודנטים נעשה ברשתות החברתיות ובתגובה המשטר האיראני כיבה את האינטרנט כדי למנוע הפצת מידע. אחרי פחות משמונה שעות נאלץ הממשל להחזיר את הרשת מהסיבה הפשוטה שכל תשתית המסחר העולמית מבוססת על האינטרנט; ברגע שהם כיבו את התשתית הם הביאו לקריסה של המערכת הפיננסית של איראן עם העולם ובתוך איראן. למרות הגול העצמי, האיראנים למדו מה משמעות של כיבוי תשתית האינטרנט, מסביר ד"ר מנשרי.

בנובמבר 2010 הצהיר מפקד כוחות משמרות המהפכה בטהראן, חוסיין המדאני, כי "מועצת הסייבר הכשירה 1,500 לוחמי סייבר שיבצעו בעתיד פעולות רבות". מפקד משמרות המהפכה, מוחמד עלי ג'עפרי, הסביר בפברואר 2011 שארגונו נעזר ביכולות הסייבר באופן נרחב: "צבא הסייבר פועל בזירה הווירטואלית, שבה משתמשות היום מדינות רבות לצרכים הגנתיים, ביטחוניים, מדיניים ותרבותיים. אין לנו שום מגבלה בנושא סדרי הגודל של הכוחות המתמחים במלחמת סייבר, ואנו משתמשים בכוחות האלה באופן נרחב". בהזדמנות אחרת סיפר ג'עפרי שהאקרים זרים מסייעים אף הם לאיראן לצורך מלחמות סייבר. הוא התייחס להאקרים שכירי חרב שאיראן שוכרת (אליהם עוד נגיד בהמשך).

הגוף האחראי על ניהול מערך הסייבר האזרחי, המרכז את פעילות המשטר האיראני בתחום הסייבר ואת ההגנה על התשתיות במדינה נקרא "ארגון ההגנה הפסיבית". בראשו עומד ע'ולאם-רזא ג'לאלי; במרץ 2011 הוא קרא להאקרים נאמני המשטר להתגייס לשירות המשטר וגם שבועון משמרות המהפכה הפיץ את המסר. "לא הוסתרה העובדה שהשלטונות מעוניינים להפעיל האקרים בצורה ממוסדת", אומר ד"ר מנשרי.

ג'לאלי הצהיר באוגוסט 2012 כי "העולם מתקדם לקראת מלחמת סייבר"; באותו החודש יצאה לפועל תקיפה מורכבת שכל העקבות ממנה הובילו חזרה לאיראן. המתקפה בוצעה נגד חברת הנפט "עראמקו" (חברת בת של סטנדרט אויל האמריקנית) הפועלת במפרץ הפרסי. התקיפה תוזמנה בדיוק ליום בו כל 55 אלף עובדי החברה קיבלו חופש, בשל חגיגות לילת אל-קאדר, אחד הלילות האחרונים בחודש הרמדן. הפגיעה בוצעה באמצעות סוס טרויאני שזרע הרס ברשתות המנהלתיות של החברה: 75 אחוזים מהמידע במחשבים נמחק; מסמכים, גליונות נתונים, תכתובות אי-מייל ואלפי קבצים אחרים הוחלפו כולם בתמונה של דגל ארה"ב עולה בלהבות. קבוצת האקרים בשם "חרב הצדק המשוננת" לקחה אחריות על המתקפה בשל מה שהיא הגדירה כהתערבות בלתי רצויה של סעודיה במדינות במזרח התיכון.

"לא באמת מוכר ארגון כזה", אומר ד"ר מנשרי. "זה שם מומצא; לפי הערכות המודיעין בעולם העקבות מובילות לאיראן. הסוס הטרויאני שביצע את התקיפה נקרא SHAMOON. בקוד שלו התגלה מנגנון מחיקת זיכרון עם טיימר. יוצרי הקוד העניקו למנגנון המחיקה שם שהעלה את חשדם של מומחי האבטחה שחקרו אותו - וייפר. השם הזה ניתן גם למנגנון מחיקה בווירוס FLAME, שתקף את חברות הנפט האיראניות ונחשף, כאמור, שלושה חודשים לפני כן. השימוש באותו השם לאותו סוג של מנגנון בקוד הווירוס העלה חשד כי מדובר בנקמה של האיראנים, שעד כה הייתה ידם על התחתונה במלחמת הסייבר מול ארה"ב וישראל. כשקספרסקי פרסמו את הדוח על FLAME הם טענו שאיראן העתיקה את וייפר לווירוס שלהם". כלומר, האיראנים הצליחו לפענח מספיק שורות קוד מהתולעת שפגעה בהם וגנבו ממנה רכיב שלם, אותו הם מחזרו בווירוס שלהם.

מי מרכיב את צבא הסייבר האיראני? "הסנקציות העולמיות במסגרת האמברגו אילצו את איראן לפנות לפתרונות יצירתיים על מנת להקל על המצוקה התקציבית ולהשתמש הרבה בשירותי מיקור חוץ, להביא יועצים וגורמים נוספים", מסביר ד"ר מנשרי. "המשטר מעסיק קבוצות האקרים, חלקם עובדי מנגנוני הביטחון וחלקם בחוזי ייעוץ. בשנים האחרונות פורסם כי קיימות כמה קבוצות האקרים הפועלות בשירות המשטר האיראני. העיקריות הן: צבא הסייבר של איראן, אשיאנה, Virtual Anonymous Jihad, צבא הסייבר של חיזבאללה, שבגארד ו-סימורג".

מנהיג קבוצת ההאקרים אשיאנה, בהרוז כמאליאן, אמר בינואר 2009, כי כבר בשנת 2005 הוא וחבריו החלו לפרוץ לאתרי אינטרנט מחוץ לאיראן, בהם לטענתו גם האתר של נאס"א, סוכנות החלל האמריקנית. אשיאנה תקפה מאות אתרים ישראליים, בעיקר סביב אירועים ביטחוניים, כמו מלחמת לבנון השנייה וסבבי הלחימה בעזה: עופרת יצוקה, עמוד ענן וצוק איתן. "קצין בכיר בחיל התקשוב, האחראי על ההגנה של צה"ל, ציין, כי במהלך המבצע הוציאו גורמים איראניים אל הפועל מתקפת סייבר רחבת היקף כנגד מטרות ישראליות ובכללן גם ניסיונות לפגיעה ברשתות של המערכת הביטחונית והפיננסית", מספר ד"ר מנשרי. "ניסיונות אלו נוטרלו במהירות ובקלות יחסית על-ידי גורמי הגנת הסייבר של ישראל".

בנובמבר 2015 פורסמה מתקפת סייבר שבוצעה ע"י קבוצת האקרים Rocket Kitten השייכת למשמרות המהפכה של איראן, במסגרתה הותקפו מאות רבות של מדענים, אנשי אקדמיה, קצינים ואנשי ממשל בישראל, במדינות המפרץ, במדינות החברות בנאט"ו ואף בקרב גורמי אופוזיציה איראניים.

ביוני 2015 פורסמה מתקפה נרחבת שבוצעה על ידי גורמים הקשורים ככל הנראה לחיזבאללה. במסגרת הפעילות, שזכתה לכינוי Volatile Cedar הותקפו ארגונים ואנשים פרטיים שונים. בין המטרות שהותקפו בישראל היו חברות אחסון אתרים, חברות תקשורת וחברות המספקות תוכנות לצה"ל. "איראן מספקת אמצעי לחימה קיברנטיים מתקדמים לבעלי בריתה כמו חיזבאללה, אך בניגוד לטילים את הנשק הקיברנטי קל יותר לתת וקשה יותר לתפוס", אומר ד"ר מנשרי. "לדעת האיראנים אמל"ח קיברנטי לא אמור לגרום לקשיים בזירה הבינלאומית כמו העברת טילים".

אז למה לתקוף מחשבים אישיים של קצינים בכירים בדימוס או עיתונאים בכירים? לדברי ד"ר מנשרי "כל קצין בכיר שפורש מצה"ל רוצה לכתוב ספר. לכל אחד מהם יש חומרי גלם של כל הזיכרונות על המחשב בבית. בסוף הספר יעבור צנזורה אבל כל המידע יקר הערך נמצא בבית על המחשב הפרטי".

בצוק איתן חשף קצין בכיר באמ"ן ניסיון תקיפה המיוחס לאיראן; באירוע הזה ניסו לגרום לקריסת האינטרנט בישראל באמצעות מתקפת מניעת שירות (DDoS). אם ניזכר במהומות של 2009, ובלקח שלמדו האיראנים, אפשר להבין למה הם ניסו לפגוע בתשתית האינטרנט בישראל; פגיעה כזו הייתה עלולה להפיל מערכות ביטחוניות ופיננסיות ולגרום לנזק רב. "מדינת ישראל עדיין מובילה על האיראנים בתחום בצורה דרמטית אבל הם מתקדמים מהר ויש להם יכולות ומשאבים רבים להשקיע", מסביר ד"ר מנשרי.

"המשטר האיראני פועל להכשרת כוח אדם מיומן בתחום לוחמת הסייבר גם במסגרת האקדמית", מסביר ד"ר מנשרי. "במרץ 2012, החלו אוניברסיטאות שונות באיראן לפתוח חוגים ללימוד הגנת סייבר, ביוזמת 'ארגון ההגנה הפסיבית'. באיראן יש פי עשרה יותר אזרחים מבישראל. יש שם מערכת חינוך טובה והם משקיעים בטכנולוגיה וביכולות שמקדמות אותם בתחום הסייבר. צריך להבין שהם מתקדמים ונעשים טובים מאוד". לדבריו של ד"ר מנשרי, "לפי דוחות אמריקניים, שבחנו את יכולת הסייבר האיראנית משנת 2002 ועד היום, חלו קפיצות מדרגה מאוד מהירות בתחום". טהראן הפגינה בשנים האחרונות יכולת לוחמת סייבר התקפית שהתבטאה בפריצה לאתרי אופוזיציה באיראן ומחוצה לה, ופריצה לכלי תקשורת זרים, עוינים מבחינתה, ואף לאתרים ממשלתיים במפרץ הפרסי, באנגליה, בארה"ב ובצרפת.

כאמור, איראן משתמשת בתקיפות סייבר כדי לפגוע באויביה, אבל גם כדי להפיץ את האידיאולוגיה של המשטר. פקידי ממשל תפקידים מגוונים באיראן מעודדים פריצה לאתרי אינטרנט במסגרת המאמץ להפצת האידיאולוגיה של המהפכה האסלאמית: במאי 2011 קרא שר המודיעין, חידר מוצלחי, לאזרחי איראן לבצע את "הפעולות הדרושות מול דף הפייסבוק שפתח משרד החוץ הישראלי בפרסית ולהפגין בכך את רוחם המהפכנית". אחראי התרבות באוניברסיטת לורסתאן, מחמד-רזא ח'ודאיי , הציע פרס בשווי 10 מיליון ריאל לסטודנטים שיצליחו לפרוץ ולהשבית אתרים "בלתי ערכיים" - ואלו רק כמה דוגמאות בתחום הזה.

קבוצת ההאקרים אשיאנה, למשל, תקפה בשנים האחרונות אתרי אינטרנט של מתנגדי משטר הפועלים מחוץ לאיראן. במאי 2008 התרברב מנהיג הקבוצה כמאליאן שהוא וחבריו פרצו לאתרי האינטרנט של העיתון אל-ח'ליג היוצא לאור באיחוד האמירויות הערביות, אתר "ליגת המפרץ הערבי" - ליגת הכדורגל של איחוד האמירויות הערביות, אתר משרד החינוך הגבוה בעירק, אתר משטרת אבו-דבי, אתר אוניברסיטת מיאדין בסעודיה, ואתר חברת הגז בעומן. הפריצה התקיימה במחאה על כך שהם כינו את המפרץ ערבי במקום פרסי וההאקרים שתלו באתרים מפה של איראן עם הכיתוב "המפרץ הפרסי". אשיאנה ניסתה בשנים האחרונות להשחית מאות אתרי אינטרנט, בהם אתרים בדנמרק, בתגובה לפרסום קריקטורות נגד הנביא מוחמד, אתרים בערבית בתגובה לכינוי המפרץ הפרסי "ערבי" ולא "פרסי", ואתרים ווהאבים כנקמה על פריצה לאתרים של האייתאללות הבכירים, עלי סיסתאני בעירק ומכארם שיראזי באיראן.

בפברואר 2011 הודה עלי סעידי, נציגו של חמינאי במשמרות המהפכה, שקבוצת ההאקרים "צבא הסייבר של איראן" פועלת בפקודת משמרות המהפכה. בדצמבר 2009 פרץ "צבא הסייבר של איראן" לשרתים המרכזיים של טוויטר והשבית את הרשת החברתית לשעתיים, ככל הנראה כתגובה על התפקיד שהיא מילאה, לטענת האיראנים, בסיוע לארגון המחאה לאחר הבחירות ביוני 2009. בכרזה ששתלה הקבוצה בטוויטר נכתב: "אם המנהיג [חמינאי] ייתן פקודה - נתקוף, אם הוא יבקש מאיתנו - אנו מוכנים להקריב את נפשנו, אם יבקש מאיתנו לנהוג באיפוק - נציית".

בינואר 2010 דווח שהקבוצה פרצה לאתר Baidu (מנוע החיפוש בגדול בסין) ולאתר רדיו זמאנה, הפועל מהולנד. בפברואר 2010, תקפה הקבוצה את האתר של מוחסין סאזגרה, ממקימי משמרות המהפכה שערק לארה"ב, את האתר ג'רס, המזוהה עם תומכי "התנועה הירוקה" הפועל מווירג'יניה והאתר כלמה המזוהה עם תומכי מיר חוסין מוסוי, ממנהיגי תנועת המחאה. בנובמבר 2010 תקף "צבא הסייבר של איראן" את אתר האינטרנט של ערוץ הטלוויזיה הגולה פרסי1. בפברואר 2012 דווח שצבא הסייבר של איראן פרץ לאתר רשות השידור באזרביג'אן ולאתר חברת התעופה של אזרביג'אן, Azerbaijan Airlines, בשל המתיחות בין שתי המדינות. ערב הבחירות לנשיאות, ביוני 2013, פרץ "צבא הסייבר של איראן" ל-13 אתרי אינטרנט של מתנגדי משטר מחוץ לאיראן.

ביוני 2013 חשפה פעילת זכויות האדם האיראנית, וזוכת פרס הנובל, שירין עבאדי שקבוצת ההאקרים Virtual Anonymous Jihad "מנוהלת על ידי אנשי המשטר האיראני". בפברואר 2013 השביתה הקבוצה את אתרי האינטרנט המזוהים עם אבו אל-חסן בני צדר, מתנגד המשטר ונשיאה לשעבר של איראן הגולה בצרפת. במרץ 2013 הם פרצו לאתר השייך למשרד להשכלה גבוהה בסעודיה במחאה על המעורבות הסעודית בדיכוי המחאה בבחריין, במאי של אותה שנה הם פרצו לאתר ערוץ טלוויזיה אירני של האופוזיציה, הפועל בארה"ב, ובאותו החודש הם פרצו לדף הפייסבוק של עיתונאי ערוץ BBC בפרסית, סיאווש ארדאלאן.

"אחת המסקנות של האיראנים מהאביב הערבי, לדוגמה, היא כיצד להפעיל את הרשתות החברתיות כדי לעודד פעילות אנטי-משטרית וכך לפעול נגד משטרים אחרים", מסביר ד"ר מנשרי. "אבל עוד טרם האביב הערבי, כבר באוקטובר 2009 הוקמה באיראן משטרת סייבר שתפקידה להתחקות אחר מתנגדי משטר ברשת, לנטר ולהשבית את הרשת (אם צריך), לצנזר תכנים ולשתול תכנים אחרים".

איך הם עושים את זה? "גם איראן, כמו סין ורוסיה, צריכה להגן על המשטר הדיקטטורי", אומר ד"ר מנשרי. "האיראנים הבינו שהם לא יכולים לייצר הכול לבד אז הם הלכו לטובים ביותר בתחום הזה - בעיקר הסינים וגם הרוסים. כשהעולם כולו הטיל אמברגו על איראן, הסינים נכנסו מיד בזמן שהרוסים עוד איכשהו התחשבו בהגבלות הבינלאומיות. הסינים קוראים למערך הניטור המתוחכם שלהם 'חומת האש הגדולה' והם מכרו רכיבים של המערכת הזו לאיראן כדי לנטר ולסנן את התקשורת במדינה, ובעיקר כדי ליירט מתנגדי משטר. האיראנים פחות סובלניים מהסינים; אם הסינים מאפשרים לפרסם פוסטים נגד המשטר אבל פוסלים קריאה לפעולה נגד השלטונות, אם תכתוב משהו נגד המשטר האיראני באיראן סביר להניח שלא ייראו אותך עוד".

"האיראנים משקיעים משאבים רבים מאוד בפיתוח יכולות קיברנטיות הגנתיות והתקפיות והם עשויים להציב אתגר משמעותי בפני מערך ההגנה הישראלי בעתיד", מסכם ד"ר מנשרי. "הם מסתמכים על אוכלוסייה פטריוטית ועל תשתית חינוך מצוינת בתחומי הטכנולוגיה והמדעים וגם נעזרים לא מעט בהאקרים זרים".