דו”ח חדש של Recorded Future שפורסם לאחר הצהרת הנשיא טראמפ על הפרישה מהסכם הגרעין: איראן מגייסת בדחיפות האקרים בפורומי אבטחה מקוונים במטרה ליצור קמפיינים מיידיים של האקינג

קודם לפרסום הידיעות על מתקפת הטילים האיראנית בגולן, מומחי אבטחה מערביים העריכו בעקבות הכרזת דונלד טראמפ נשיא ארצות הברית על פרישתה מהסכם הגרעין, כי איראן עשוייה להגיב באמצעות התקפות סייבר על עסקים אמריקניים, ישראליים, סעודיים ואחרים.

Iran’s Hacker Hierarchy Exposed; How the Islamic Republic of Iran Uses Contractors and Universities to Conduct Cyber Operations, דו”ח Cyber Threat Analysis של חברת אבטחת המידע Recorded Future שפורסם ב- 9 במאי 2018 אומר כי איראן מגייסת בדחיפות האקרים בפורומי אבטחה מקוונים במטרה ליצור קמפיינים מיידיים של האקינג וכי התקפות הסייבר האיראניות עשויות להגיע “בתוך מספר חודשים, אם לא מוקדם יותר”.

במספר אתרים צוטטה Priscilla Moriuchi מהחברה, שבעברה שימשה כאנליסטית בסוכנות הביון האמריקנית NSA.

לדברי עורכי הדו”ח, “מאז שנת 2009 לפחות, הרפובליקה האיסלמית של איראן מגיבה באופן קבוע על סנקצית או מה שנתפס אצלה כפרובוקציות – באמצעות ניהול קמפייני של התקפות סייבר. היסטורית, הרפובליקה האיסלמית של איראן העדיפה להשתמש ב’שליחים’ (proxies) או ארגונים הניצבים בחזית, הן בעימותים פיזיים – חיזבאללה נגד ישראל והמורדים החות’ים בתימן נגד ערב הסעודית – והן בהתקפות סייבר, כדי להשיג את יעדי המדיניות שלה.

“עתה, איראן ניצבת בפני אפשרות של השפעה כלכלית שלילית בעקבות חידוש הסנקציות.

“אנו מעריכים, בהתבסס על התגובות הקודמות של איראן ללחצים כלכליים עליה, שבעקבות צעדו של הנשיא טראמפ סביר שהיא תגיב בהתקפות סייבר על עסקים במערב, בתוך מספר חודשים, אם לא קודם לכן.

“על-פי דפוסי ההתנהגות ההיסטוריים, העסקים שיהיו נתונים לסיכון הרב ביותר הם עסקים מאותם מגזרים שנפגעו ע”י התקפות סייבר איראניות בשנים 2012 ו- 2014 וכוללים בנקים ומוסדות שירותים פיננסיים, מוסדות ממשלתיים, ספקי תשתיות קריטיות וגורמים בתחומי הנפט והאנרגיה”.

עוד כותבים מחברי הדו”ח כי כשאיראן תחליט להגיב בהתקפות סייבר על פרישת ארה”ב מההסכם היא תעשה זאת באמצעות ‘קבלני-משנה’ בעלי יכולת אבל שהיא יכולה פחות לבטוח בהם.

מצב זה עלול ליצור תרחיש בו איראן תתקשה לשלוט על היקף ואופי התקפות הסייבר ההרסניות מרגע שהן יתחילו.

פעילויות הסייבר האיראניות מנוהלות ע”י גישה בה קבוצה של מנהלי ביניים, שניתן לסמוך עליהם מבחינה אידיאולוגית ופוליטית, אשר מתרגמים את עדיפויות הביון למשימות סייבר ממוקדות ולאחר מכן מועברות לביצוע בידי ‘קבלני-המשנה’ הרבים.

לדברי מחברי הדו”ח, הרפובליקה האיסלמית של איראן פועלת עם פאראנויה מוטמעת שבה, בסופו של דבר, לא ניתן לבטוח באיש.

משיחות שקיימו עורכי הדו”ח עם האקרים איראניים נטען כי יש יותר מ- 50 ‘קבלני-משנה’ [לרבות גופים אקדמאיים דוגמת Imam Hossein University שמשרד האוצר האמריקני הטיל עליה עיצומים בעקבות קשריה עם משמרות המהפכה (Islamic Revolutionary Guard Corps, IRGC)] המתחרים ביניהם על פרוייקטי סייבר התקפיים בתמיכה ממשלתית. רק היחידים/הצוותים הטובים ביותר מצליחים בכך, מקבלים תשלום עבור עבודתם ונשארים בתחום זה.

עוד מצביעים מחברי הדו”ח על כך שטהראן חיזקה את יכולות הסייבר שלה בעקבות פעילותה של התנועה הירוקה שקמה לאחר הבחירות לנשיאות איראן בשנת 2009 במטרה להפיל את שלטונו של אחמדינג’אד. התנועה יזמה והוציאה לפועל שורה של מחאות ועימותים חריפים עם המימשל האיראני בתקופה של האביב הערבי בשנת 2009.

כיוון שמארגני המחאות השתמשו ברשתות החברתיות, החליטו השלטונות להגביר את יכולות הסייבר שלהם.

יצויין כי אין מדובר בחברה היחידה המתריעה בפני סכנה של הקפות סייבר איראניות עתה, בעקבות החלטת נשיא ארה”ב. חברת האבטחה FireEye הזהירה כי האקרים איראניים בדקו תשתיות קריטיות מערביות במגוון תעשיות לצורך התקפות עתידיות. המאמצים הללו, לדברי חברת האבטחה, לא הפסיקו לחלוטין גם כשנחתם הסכם הגרעין אולם הן התמקדו אז יותר בשכנותיה של איראן במזרח התיכון. לאור הכרזת הנשיא טראמפ, חברת האבטחה FireEye צופה כי התקפות סייבר איראניות יאיימו שוב על תשתיות קריטיות מערביות.