האם פושעי סייבר פלסטינים משתתפים במתקפות על חברות ישראליות? דו"ח של חברת צ'ק פוינט מעלה סברה כי הייחוס של קבוצת מטה משה (Moses Staff) לאיראן אינו ודאי. כמו כן, מפנייה שהגיעה ל-ynet עולה טענה, כי לפחות חלק מהמתקפות על חברת CyberServe, מפעילת אתר "אטרף", נעשתה בידי קבוצה ישראלית. טענות אלה, שאינן ודאיות, עדיין ממחישות את הבעיה של הייחוס הכמו-אוטומטי של כל מתקפת סייבר לגורמים איראניים, שלא תמיד היא נכונה ובחלק מהמקרים נועדה לשרת מטרות זרות.
עוד כתבות בנושא:
מחקר ראשוני וניתוח התקיפות של "מטה משה", שנעשה בצ'ק פוינט, מעלה כי אחד מכלי התקיפה שהיה בשימוש הועלה לאתר מהרשות הפלסטינית. החוקרים מציינים כי על אף שזו אינה אינדיקציה חזקה, היא עשויה להסגיר את מקור התוקפים. בניתוח נמצא עוד, כי במתקפה נעשה שימוש בטכניקות ובכלים שונים מהכלים שנצפו במתקפות של קבוצות תקיפה איראניות מתקדמות כמו Black Shadow (שירביט, בר אילן, סייברסרב) ו-Pay2Key (אינטל, התעשייה האווירית, פורטנוקס).
חוקרי צ'ק פוינט מצאו כי אחד מהקבצים שהיו בשימוש על ידי מטה משה, הועלה כחודש לפני המתקפה לאתר VirusTotal המיועד לזיהוי וירוסים ונוזקות. לדברי החוקרים, תוקפים מעלים לעיתים את כלי התקיפה שלהם לאתר זה, כדי לבדוק אם תוכנות לזיהוי וירוסים מסוגלות לזהות ולחסום אותו. עוד נמצא כי התוקפים בחרו להצפין את הכוננים של הקורבנות באמצעות Disk Cryptor, שהוא כלי הצפנה לגיטימי ולא מיועד למתקפות כופרה, ככל הנראה כדי להקשות על תוכנות הגנת המידע. עם זאת, החוקרים מצאו חולשה אפשרית בטכניקת ההצפנה, שעשויה לשמש בסיס לפענוח עתידי של הקבצים שהוצפנו.
להערכה שתוקפי מטה משה הם פלסטינים שותפים מומחים נוספים. חוקר הסייבר אליה להב אומר שעל אף ששיטת התקיפה מזכירה מתקפות של קבוצת Pay2Key או N3tw0rm, יש אינדיקציות שהפעם מדובר בהאקרים פלסטינים. בין השאר מדובר בפער ברמת התעוזה של התוקפים הנוכחיים, שהעלו את הקבצים שהדליפו באתר אינטרנט גלוי (ולא בדארקנט כמו קבוצות אחרות). כמו כן, שעת העלאת הקבצים לקבוצת הטלגרם לא מתאים לשעון איראן, וחשבון הטוויטר שפתחו מכיל את מספר הטלפון שלהם, דבר שלא קרה לפני כן.
לא רק פלסטינים, גם גורמים ערבים מצפון אפריקה משתתפים בחגיגת המתקפות על ישראל. איגוד האינטרנט הישראלי וקהילת Webint Master חשפו לאחרונה תשתית פישינג רחבה מצפון אפריקה (בעיקר ממרוקו, אלג'יר ותוניסיה), שתוקפת חשבונות פייסבוק ואינסטגרם של ישראלים, בהם חשבונות של משפיענים ומשפיעניות שמצאו את עצמם נעולים מחוץ לחשבון שלהם. המשמעות של הגילויים האחרונים: לא כל מתקפת סייבר היא מתקפה איראנית ממשלתית.
50 גוונים של איראן
דורון הדר, מייסד-שותף בחברת הגנת הסייבר קריטיקל אימפקט, אומר: "יש 50 גוונים של איראן, מאיראנים בודדים שיושבים בגלות ומאתגרים ארגונים ישראלים, המשך בקבוצות פשיעה איראניות, שהמוטיבציה העיקרית שלהן היא כלכלית ולכן ניתן להשלים עימם עסקאות ועד קבוצות שפועלות בהשראת הממסד האיראני". יצוין כי לפחות אחת המתקפות שנחשפה, המתקפה על מתקני המים של ישראל ב-2020, יוחסה לגופים איראניים ממשלתיים.
ייחוס מתקפת סייבר לגורם שביצע אותה היא פעולה קריטית כשגוף רשמי ישראלי עושה אותה. יש לה חשיבות רבה מבחינת קורבנות המתקפה ומבחינת הגורמים המעורבים במניעת הנזקים מהמתקפה. פעמים רבות נדרש מערך הסייבר הלאומי לייחס את המתקפות לגורמים מדינתיים ורק לעיתים רחוקות הוא נענה לדרישה. כאשר מדינה כמו ישראל או ארה"ב מייחסת באופן רשמי מתקפה לגורם מדינתי, הדבר דומה ללקיחת אחריות למתקפה על ידי הגורם המדינתי: בשני המקרים ישראל מכירה בכך שאותו גורם מדינתי תקף אותה, והדבר מחייב אותה לפעולה מסוג כלשהו – מגינוי ועד תקיפה נגדית.
מומחה המשא ומתן סגן-אלוף (מיל') טיראן פרטוק אומר: "ייחוס המתקפות, בוודאי באיומי מדינות, תעזור פלאים ביצירת סולידריות ציבורית ותאפשר לחברה להשתקם מהר יותר ולא לאבד לגמרי את אמון לקוחותיה. בתור מי שהוביל בפועל סוגיית הייחוס באירוע שירביט, גמגום מערך הסייבר יצר נזק לטעמי בלתי נסלח לחברה, והוא זה שאיפשר את הקרנבל התקשורתי בהיעדר גורם מוסמך שאומר לציבור אם זה אירוע נקודתי או לאומי".
"השימוש במילה איראן מייצרת בשלב הראשון הזדהות עם החברה הנתקפת", אומר הדר, "עם זאת, בשלב השני הוא מייצר חשיפה גבוהה יותר של החברה לתביעות ייצוגיות. וכמובן יש כותרות חזקות יותר בתקשורת, ולפעמים החברות לא רוצות את החשיפה התקשורתית". היבט נוסף שכרוך בייחוס מתקפה לאיראן קשור לכיסוי הביטוחי שיש לחברה הנתקפת, שלעיתים כולל מתקפות על רקע מדיני ולעיתים מחריג אותן.
עינת מירון, מומחית להערכות והתמודדות עם מתקפות סייבר, אומרת: "מצד החברות המותקפות יש שיקולי ביטוח ומוניטין וברור שהן ירצו לשייך את המתקפה לאיראן. אבל יש צורך להוכיח מעל לכל ספק כי מדובר בקבוצה איראנית וזה גם לא טריוויאלי וגם לא משמעותי, בגלל אפקט השיטוי ובגלל שייחוס איראני לא מעיד בהכרח שהמתקפה נעשה בשליחות איראן. קבוצה בשליחות המשטר האיראני לא תבזבז אנרגיה על סתם רשומות באתרים רנדומליים אלא תכוון לפגיעה תשתיתית משמעותית".