מתקיפת בתי חולים ועד מעקב גלובלי: כך פועל מערך הסייבר של משמרות המהפכה בסיוע סין ורוסיה שמאיים על ישראל
מידע בלעדי שהגיע חושף רשת ריגול והאקינג בניהול משמרות המהפכה האיראני, המשתמשת במומחיות וביועצים מרוסיה ומסין כדי לשגר מתקפות סייבר ולעקוב אחר מתנגדי משטר ברחבי העולם.
רשת הסייבר והריגול הטרנס-לאומית בהובלת משמרות המהפכה האיראניות (IRGC) פועלת כחלק מציר סייבר משולב הכולל מומחיות, חומרה וכלים מרוסיה ומסין. מטרתה המרכזית היא ביצוע מתקפות הרס וריגול לצד מעקב ודיכוי מתנגדי משטר, עיתונאים וארגוני אופוזיציה איראנים ברחבי העולם.
הסיפור מאחורי הקלעים ודפוסי הפעולה
הפעילות מנוהלת על ידי פיקוד הסייבר והאלקטרוניקה של משמרות המהפכה (IRGC-CEC) ומשלבת שיטות מתוחכמות:
- ריגול ממוקד והנדסה חברתית: יצירת "פרסונות סייבר" פיקטיביות, פנייה ישירה ליעדים בוואטסאפ ובטלגרם, ושליחת קישורים זדוניים (כגון הזמנות מדומות לכנסים) כדי לעקוף אימות דו-שלבי ולשאוב מידע, מיקום והקלטות מהמכשיר.
- שיתוף פעולה עם רוסיה וסין: סין מספקת לאיראן טכנולוגיות מעקב מתקדמות וחומרה המשמשת לדיכוי פנימי וחיצוני (למשל דרך חברות כמו Tiandy). בנוסף, חברות אבטחת מידע ודוחות מודיעין מערביים חושפים כי רוסיה, סין ואיראן משתפות ביניהן ערכות פריצה (Exploit kits), כלי תקיפה, ואף עושות שימוש מוגבר ברשתות פשיעה ו"האקרים להשכרה" (Cyber Criminals) לצורך מיקור חוץ של מבצעי ריגול והשפעה.
- מעקב אחר מתנגדי משטר: הרשת עוקבת אחר גולים איראנים, פעילי זכויות אדם ועיתונאים (כמו עובדי ערוץ Iran International בלונדון), ובמקרים מסוימים משלבת את זרוע הסייבר עם יחידות המבצעים החשאיות (כמו יחידה 840) כדי לתכנן התנקשויות פיזיות.
היקף וכמות האנשים המעורבים ברובד המקצועי
- הליבה המבצעית: מדובר במערך הכולל אלפי עובדים, קצינים ומומחים הפועלים תחת מספר קבוצות תקיפה מרכזיות (כמו Emennet Pasargad / Cotton Sandstorm, ו-MuddyWater המשויכת למשרד המודיעין).
- הקבלנים החיצוניים: הרשת נשענת על עשרות חברות קש אזרחיות באיראן (כגון חברות לפיתוח תוכנה בטהראן) המשמשות כיסוי עבור פצחנים הפועלים בשירות המדינה.
- השותפים הזרים: המערך נעזר במומחים מרוסיה ומסין, הן ברמת הדרכות והחלפת ידע רשמית והן ברמת רכישת חולשות אבטחה (Zero-Days) וכלים ייעודיים ברשת האפלה.
כיצד המערב מתגונן ומגיב?
המערב פועל בשלושה צירים מרכזיים נגד מתקפות אלו:
| ציר הפעולה | דרכי ביצוע מרכזיות |
|---|---|
| סנקציות וכתבי אישום | הטלת סנקציות כלכליות על ראשי יחידות הסייבר, חברות קש איראניות וחברות טכנולוגיה סיניות ורוסיות המסייעות להן. הגשת כתבי אישום פליליים נגד האקרים איראנים ופרסום פרסים כספיים של מיליוני דולרים על ראשם. |
| חשיפה ומודיעין משותף | סוכנויות הביון של ארה"ב (CISA, FBI), בריטניה (MI5) ומדינות נאט"ו מפרסמות דוחות טכניים משותפים החושפים את שיטות העבודה (TTPs) של משמרות המהפכה כדי לאפשר לארגונים להתגונן. |
| סייבר התקפי (Defend Forward) | ביצוע מבצעי סייבר התקפיים מצד ארה"ב (פיקוד הסייבר האמריקאי) לשיבוש תשתיות השרתים, הבוטנטים ומערכות הפיקוד והשליטה של התוקפים האיראנים לפני שיגור המתקפה. |
הצד הישראלי בסיפור
ישראל נמצאת בחזית המאבק מול רשת הסייבר הזו ומהווה את אחד היעדים המרכזיים שלה:
- מטרות התקיפה בארץ: קבוצות הסייבר של משמרות המהפכה (כגון Agrius או קבוצת Handala) מכוונות את מתקפותיהן נגד תשתיות קריטיות בישראל, בתי חולים (כמו הניסיונות נגד בתי החולים 'זיו' ו'שמיר-אסף הרופא'), חברות שירותי מחשוב ושרשראות אספקה, ומכוני מחקר ביטחוניים (כמו המכון למחקרי ביטחון לאומי INSS).
- לוחמת השפעה: לצד ניסיונות הפריצה, האיראנים מנהלים בישראל מבצעי תודעה והשפעה חשאים באמצעות הדלפת חומרים רפואיים או אישיים שנגנבו, פתיחת קבוצות פיקטיביות ברשתות החברתיות וניסיונות להעמקת השסעים בחברה הישראלית.
- התגוננות וסיכול: מערך הסייבר הלאומי, בשיתוף עם צה"ל והשב"כ, מנהלים מעקב הדוק אחר קבוצות אלו. ישראל פועלת באופן אקטיבי לחסימת תשתיות התקיפה, משתפת מודיעין טכנולוגי קריטי עם שותפותיה במערב, ומבצעת לפי פרסומים זרים פעולות סייבר התקפיות ישירות נגד מטרות ותשתיות אסטרטגיות בתוך איראן.
