הסכסוך בין ישראל לאיראן גולש לזירה הדיגיטלית, ומלבה מערכה שנמשכת זה עשרות שנים של פריצות וריגול בין שתי מדינות הידועות במומחיותן בתחום הסייבר. אתמול (שלישי) לקחה קבוצת האקרים פרו-ישראלית אחריות על מתקפת סייבר משבשת נגד בנק מרכזי באיראן לאחר שערוץ החדשות הממלכתי IRIB דיווח שישראל פתחה במתקפת סייבר רחבת היקף על תשתיות חיוניות במדינה. היום הכריזו ההאקרים על פריצה נוספת – הפעם נגד בורסת הקריפטו האיראנית Nobitex.
סוכנות הידיעות פארס, המזוהה עם משמרות המהפכה האסלאמית, דיווחה שאיראן ספגה יותר מ־6,700 מתקפות מניעת שירות מבוזרות (DDoS) בשלושת הימים האחרונים. לפי הדיווח, הוטלו הגבלות אינטרנט זמניות בניסיון לצמצם את השפעתן של המתקפות, שמציפות שרתים בתעבורה מלאכותית ומשבשות את הגישה לשירותים מקוונים.
משתמשים איראנים דיווחו על שיבושים נרחבים באינטרנט כבר בלילה שבין שלישי לרביעי, כאשר רשתות VPN רבות הפכו לבלתי שמישות. לקוחות בנקים התלוננו על בעיות בגישה לשירותים, כולל כספומטים ופלטפורמות אונליין. לא ברור אם התקלה נבעה מהמתקפות עצמן או מהניסיון של הרשויות למזער את נזקיהן.
הכי מעניין
חזית חדשה, יריבות ותיקה
המתקפות האחרונות מצביעות על חזית חדשה במאבק הגלוי בין ישראל לאיראן – אך היריבות המקוונת בין המדינות נמשכת כבר מעל לשני עשורים.
איראן ושלוחותיה האזוריות, כמו חמאס, ניסו בעשור האחרון לשגר מתקפות סייבר מגוונות נגד ישראל – כולל ניסיונות להשמיד נתונים, מסעות השפעה תודעתית ודיוג – בתוצאות מעורבות. כך עולה מנתונים של צוות ניתוח האיומים של גוגל.
ישראל נחשבת לאחת המובילות בעולם בתחום התקיפה הדיגיטלית. מבצע "סטוקסנט" שיוחס לישראל ולארצות הברית ונחשף ב־2010, פגע בשרשרת ייצור גרעינית באיראן ונחשב לאחת הפעולות המתוחכמות ביותר בתולדות לוחמת הסייבר. המבצע סימן את מקומה המרכזי של הזירה הדיגיטלית בסכסוך המתמשך בין טהראן לירושלים.
לטענת קבוצת ההאקרים "דרור טורף", היא עומדת מאחורי הפריצה לבנק האיראני ספה ולבורסת Nobitex. מדובר בארגון שזכה לפרסום בעשור האחרון בזכות מתקפות סייבר בולטות על מוסדות איראניים, תוך שהוא מציג עצמו כקבוצת "האקטיביסטים". עם זאת, מומחי סייבר מעריכים כי יש לו קשרים הדוקים לממסד הביטחוני בישראל.
משרד החוץ לא התייחס לפנייה בנושא, ולא ניתן היה להשיג את ההאקרים לצורך בקשת תגובה.
"מרבית מתקפות הסייבר ההרסניות נועדו להשפעה פסיכולוגית, לא רק מבצעית", אמר ג'ון הולטקוויסט, אנליסט בכיר בצוות המודיעין של גוגל. "לכן לעיתים קרובות הן כוללות פרסום מתוזמר של האירוע, שלעתים מציג את עצמו כמחאת האקטיביסטים".
הקבוצה דיווחה בטלגרם וברשת X ביום שלישי בשעה 11:00 בבוקר שעון ישראל כי הצליחה "להשמיד את הנתונים" של בנק ספה, בטענה שהבנק שימש לעקיפת עיצומים מערביים על איראן. יום לאחר מכן טענה כי תקפה גם את Nobitex. חוקר הקריפטו זאק XBT דיווח על "זרימות חשודות" מהבורסה והעריך כי נגנבו ממנה כ־81 מיליון דולר במטבעות קריפטוגרפיים.
בנק ספה לא הגיב לבקשה להתייחסות. בורסת הקריפטו האיראנית הודיעה כי איתרה גישה בלתי מורשית למערכות התקשורת הפנימיות ולחלקים מה"ארנק החם". בהודעתה נכתב כי יתרות הלקוחות ישוחזרו במלואן.
"דרור טורף" פעילה מאז 2021. מתקפת הבכורה שלה כוונה למערכת הרכבות של איראן, והשביתה את התחבורה ברחבי המדינה. באותו זמן פגעה גם במשרד התחבורה, תוך שימוש בכלים להשמדת קבצים. הקבוצה הואשמה גם בתקיפות תחנות דלק, בניסיון כושל להפיל מפעל פלדה, ובפרסום לכאורה של מספר הטלפון של המנהיג העליון עלי חאמנאי.
ייחודה של הקבוצה הוא במידת החשאיות שלה – מומחים מציינים כי היא נוהגת למחוק עקבות טכניים ולהשאיר מעט מאוד מידע שיאפשר ניתוח פורנזי של התקיפות. עם זאת, היא מפצה על כך באסטרטגיית פרסום אגרסיבית ובניסיון מובהק להטיל מורא.
כפי שנכתב באחד מערוצי התקשורת שלה: "זה מה שקורה למוסדות השומרים על פנטזיות הטרור של הדיקטטור".