גוגל פירסמה דו"ח שעוסק במלחמה של ישראל נגד החמאס בזירת הסייבר. הדו"ח סוקר פעילות סייבר לפני ואחרי ה-7 באוקטובר 2023.
על פי הדו"ח של גוגל, בשנים האחרונות איראן הפעילה מערכי סייבר התקפי בהיקפים משמעותיים על מנת לאסוף מידע ולגרום להפרעות שירותים שונות בישראל. המתקפות הללו היו ממוקדות בישראל, אבל גרמו להפרעות גם בתשתיות אמריקאיות קריטיות, וכנראה שהריגול האיראני התמקד גם במדינות נוספות מלבד ישראל וארה"ב.
על פי הדוח, הפעילות של קבוצות הקשורות לחמאס לא התגברה בצורה משמעותית עד ה-7 באוקטובר, ולא היhתה פעילות משמעותית מאז אותו תאריך. לפני המלחמה, הפעילות של החמאס בגזרת הסייבר כללה בעיקר קמפיינים של פישינג במאמץ להשתלט על ישויות ישראליות. המתקפות כללו שימוש בכלי סייבר קיימים המבוססים על קוד פתוח, אמצעי סייבר שפותחו ספציפית עבור החמאס וגם תוכנות זדוניות שמותאמות למערכת ההפעלה אנדרואיד.
במקביל, תשתיות קריטיות איראניות הותקפו על ידי פרסונה שהזדהתה כ-"Gonjeshke Darande" (הדרור הטורף) – מתקפות אלו מיוחסות לישראל.
בגוגל מציינים כי הם לא מצאו ראיות לכך שההתקפות של חמאס כללו רכיב סייבר מתוכנן מראש, אבל שחקנים נוספים באזור שעוסקים בפעילות סייבר הצטרפו למתקפות על ישראל ב-7 באוקטובר עצמו. המטרה הייתה לאסוף מודיעין ולהפגין מעורבות במלחמה.
הדו"ח מציין את איראן כשחקן מרכזי ואלים במתקפות הסייבר על ישראל וארה"ב. בחצי השנה שלפני ה-7 באוקטובר, איראן הייתה אחראית לכ-80% מפעילות הפישינג סביב אתרי ממשלה ישראליים. לאחר ה-7 באוקטובר, גוגל זיהתה מאמץ ממוקד של דמורליזציה שמטרגט את האוכלוסייה הישראלית, במטרה לערער את התמיכה במלחמה ולשחוק את האמון של האזרחים במוסדות השלטון, כמו גם להטיל אור שלילי על הפעולות הישראליות.
בגוגל מדגישים כי קבוצות הקשורות לחמאס אמנם הגבירו פעילות ב-7 באוקטובר, אבל לא נצפתה פעילות חריגה מאז שהחלה המלחמה.
על פי ההערכות בדו"ח, איראן צפויה להמשיך לנסות ולחבל בתשתיות ולייצר מתקפות סייבר, במיוחד אם העימות יתרחב ויחריף. בגוגל מציינים כי לדעתם התקפות שנועדו לגנוב מידע (ואז להדליף אותו) יהיו חלק מרכזי במאמצי הסייבר של איראן. כמו כן, מעריכים כי החמאס לא ביצע מתקפות סייבר אחרי ה-7 באוקטובר, מכיוון שבארגון הטרור מעריכים כי הנזק יעלה על התועלת, אולם ייתכן כי בסופו של דבר גם החמאס ינסה לחזור ולבצע מתקפות סייבר משלו.
מסקנות אלה, והעובדה שהחמאס ואיראן מיקדו חלק גדול מהמתקפות שלהם על אתרים וגורמים עסקיים וממשלתיים, מחזקות את הצורך בהגברת החוסן של המגזר העסקי ובאבטחת מידע לעסקים בישראל, באמצעים שונים כמו מבדקי חדירות, צוות תגובה, CISO as service ועוד.
Bibi Wiper ועלונים
בסוף אוקטובר 2023, קבוצת תוקפים הקשורה כנראה לממשל האיראני (הקבוצה נקראת DUNE), טירגטה ארגונים ישראלים תוך שימוש בתוכנה זדונית שנקרא BiBi Wiper, כרפרנס לשמו של ראש הממשלה, בנימין נתניהו. התוכנה פעלה על מערכות מבוססות לינוקס וגם על סביבות Windows, ומטרתה הייתה להשמיד מידע. התוכנה כתבה דאטה רנדומלי על קבצים קיימים, ויצרה שמות קבצים שונים עם המילה BiBi (עם אותיות גדולות וקטנות לסירוגין).
נוסף על כך, הצליחו התוקפים לשנות שמות של מחשבים ל-NO2BIBI ושלחו הוראות למדפסות להדפיס פלאיירים עם סיסמאות נגד נתניהו. בין המטרות של התוקפים היו חברות IT ואחסון מידע ישראליות, חברות אבטחה וארגונים ממשלתיים.
בגוגל מציינים כי חלק ניכר מההצהרות על מתקפות של תשתיות ישראליות היו מוגזמות, אולם בהחלט היה דלף של מאגרי מידע מאתרים מסחריים וממשלתיים שונים.
מתקפות הדרור הטורף על איראן
הפרסונה "הדרור הטורף" הופיעה ב-10 באוקטובר 2023, ושלחה הודעות מאיימות בפרסית בערוצי טלגרם.
בדצמבר, הפרסונה טענה כי ביצעה מתקפה מסיבית על תחנות דלק באיראן, אותן השביתה, לטענתה. באיראן האשימו את ישראל וארה"ב במתקפה, ואף אישרו כי תחנות הדלק אכן הושבתו. ה"דרור" טען כי מטרת המתקפה היא להראות יכולות, ולא לגרום לנזק מתמשך. לגוגל אין מספיק נתונים כדי לאשר שאכן ישראל עמדה מאחורי המתקפה.
מתקפות הפישינג והרוגלות של חמאס
בשבועות שלפני ה-7 באוקטובר, החמאס ביצע מספר מתקפות פישינג והתקנת רוגלות במטרה לגנוב נתוני דואר אלקטרוני. במתקפה נשלחו מיילים רבים, עם לינקים לאתר שמתחזה לאל ג'אזירה, שמטרתו הייתה להתקין דלת אחורית בקרב המשתמשים שנכנסו לאתר. ה-backdoor בה השתמשו הייתה MAGNIFI, תוכנה פשוטה שנכתבה ב-C++, ומאפשרת הורדה והפעלת קבצים נוספים.
על פי רוב מתקפות הסייבר של חמאס אינן מתוחכמות במיוחד, אך לאחרונה הייתה מתקפה שהראתה יכולות קצת יותר מרשימות מהרגיל. ה-payload היה דלת אחורית בשם SYSJOKER, שעובדת על פלטפורמות מרובות, כולל לינוקס, חלונות ומק, שמטרתה להשיג את כתובת ה-C2 של גוגל דרייב ו-OneDrive של מיקרוסופט.
החמאס נשען בעיקר על Toolkit (סט כלים) של תוכנות ריגול סלולריות על מנת לאסוף מידע על משתמשים – אנשי קשר, מיקום ופעילות אחרת המתבצעת במכשיר. לפני ה-7 באוקטובר, על פי הדו"ח של גוגל, קבוצות האקרים הקשורות לחמאס ולאיראן, פעלו נגד ישראלים באמצעות תוכנת ריגול מבוססת אנדרואיד. בין השאר, השתמשו האיראנים בהנדסה חברתית כדי לשכנע אנשים להוריד אפליקציות שמתחזות לאפליקציות מדיה חברתית ואפליקציות דייטינג. חלק מהאפליקציות אף הופצו באמצעות הפליי סטור של גוגל, שניטרלה אותן לאחר שזיהתה את המתקפה. לפי הדו"ח, איראן צפויה להמשיך במאמצי הריגול בטלפונים הסלולריים.
סיכום
בגוגל מסכמים את הדו"ח עם האבחנה שיכולות סייבר הן כלי נשק זול ומהיר עבור גורמים שאולי רוצים להימנע מעימות צבאי. מתקפות הסייבר הן כלי של "מוצא ראשון", ומאפשרות לגורמים שונים לאסוף מידע ולהפריע לחיי השגרה תוך הישארות מתחת לרף של פעולה צבאית ישירה. מתקפות הסייבר משמשות גם כדי לאותת על כוונות מבלי להחריף את המצב לעימות פיזי.
כותבי הדו"ח מציינים שהלקחים שנלמדו מהמתקפות והעימות הנוכחי יהיו בעלי ערך בהמשך, בייחוד בתקופות של חוסר ודאות, והם מקווים לשיתוף פעולה כדי ליצור עתיד בטוח יותר עבור כולם.
