מחקר חדש של מעבדות המחקר של חברת הסייבר הישראלית סנטינל וואן חושף את מה שניתן להגדיר כיחידת הסייבר של חמאס: עורך המחקר, חוקר סייבר בכיר במעבדת המחקר של sentinellabs, ערך השוואה בין נוזקות, שיטות פעולה ומטרות של קבוצות האקרים המזוהות עם חמאס ומצא קשרים רבים ביניהן. על פי הערכותיו, לא מדובר בקבוצות הפועלות לבדן או ללא קשר, אלא במערכת מאורגנת שפועלת באופן דומה ליחידות סייבר צבאיות או ממשלתיות כפי שניתן למצוא במדינות העולם.
מדובר בשינוי, שכן בעבר פעולות שבוצעו בין הקבוצות השונות לא תמיד העלו קשרים או שימוש בשיטות או נוזקות דומות. נקודת המפנה חלה ככל הנראה מתישהו בסביבות 2018, אז החלו הקבוצות השונות לפעול באופן שנראה כיותר מתואם ביניהן. זאת ועוד, הקבוצות החלו להפעיל נוזקות מפיתוח עצמי. על פי דוח של חברת הסייבר הרוסית קספרסקי, המבצע הרציני הראשון שניתן לייחס ליחידה הזו שמכונה Gaza Cybergang בידי החוקרים כונה Operation Parliament ויועד לריגול אחר גורמים ממשלתיים ברחבי המזרח התיכון עוד ב-2017.
רוב הפעילות של הקבוצה הזו מיועדת לריגול ואיסוף מודיעין, בדיוק כמו יחידות סייבר התקפיות צבאיות ברחבי העולם. על פי הערכות, הפעילות החלה בסביבות 2012, אז כוונה עדיין רק נגד ישראל וגורמים פלסטיניים יריבי חמאס. מדובר במספר תתי-קבוצות שזוהו עם השנים, וכעת ניתן לומר שהן פועלות באופן מסונכרן או לפחות בצורה שמזכירה ארגון ולא האקרים מנותקים אחד מהשני.
אחת התופעות המעניינות שנצפתה הייתה כאמור יכולת פיתוח נוזקות. זו יכולת שמצביעה על כך שמדובר בקבוצה מאורגנת, ובעיקר ממומנת היטב. פיתוח נוזקות הינו תחום שדורש התמחות וזמן. "צריך לגייס מומחים ולשלם להם", אומר ל-ynet מיגו קדם, סמנכ"ל המחקר ב-SentinelLabs. כלומר, מדובר במערכת שצריכה לגייס האקרים ומפתחים, להפעיל תשתיות חומרה ולפעול כמו כל גוף סייבר רציני. "אלה לא האקרים שפועלים מהמרתף של ההורים שלהם", הוא מוסיף.
במשך השנים חמאס לא פספס הזדמנות להשתמש ביכולות הסייבר שלו בצורה שהיא מעבר לפריצות קטנות או להשחתת אתרים. בין היתר הוא עמד מאחורי קמפיין מתוחכם שנועד "לצוד" חיילים ישראלים תוך שימוש בנערות פיתוי שהיו פעילות ברשתות חברתיות ובאפליקציות היכרויות. לאחר היכרות ושכנוע הן היו מעבירות למכשירי החיילים נוזקות מתוחכמות ששימשו לריגול בכל מקום בו החייל היה מגיע. את המחקר שחשף את היכולות של הנוזקות האלה ערך ב-2017 איש הסייבר עידו נאור מקספרסקי בשיתוף פעולה עם צה''ל.
אלה אפשרו למשל להפעיל את מצלמת הסמארטפון מרחוק, להפעיל את הדפדפן המובנה, לקרוא הודעות SMS, לקבל גישה לאנשי הקשר, להקליט צלילים וסרטונים ולפעול בזמנים קבועים מראש. הנוזקות האלו נועדו הן למכשירי אנדרואיד, אייפון ומחשבים. אלו יכולות שמקבילות כמעט לאלו של נוזקות כגון פגסוס של NSO. כלומר, מדובר ביותר מסתם חבורה של חובבנים שיושבים במנהרות של עזה. למעשה, כל הפעילות של היחידה הזו מתבצעת מחוץ לארץ וכלל לא מעזה.
אין זה מפתיע, אחד ההישגים המשמעותיים של צה"ל במבצע שומר החומות היה חיסול עד היסוד של מערך הסייבר של חמאס בעזה. בפעילות הזו, שנחשפת ב-ynet במלואה לראשונה, צה"ל לא הסתפק בהגנת סייבר או בנטרול התקיפה באינטרנט, אלא יצא במתקפה פיזית וחיסל כל מבנה, כל חדר מבצעים, כל איש סייבר של חמאס, כולל ראש מערך הסייבר של הארגון, ג'ומעה טחלה. במערכה הזו צה"ל סגר את החשבון עם מערך הסייבר החמאסי שניסה לצאת במתקפת סייבר משמעותית על ישראל בדיוק לפני ארבע שנים. אבל אם אי אפשר לפעול מעזה, חמאס העביר את הפעילות החוצה, למדינות אחרות.
"מצאנו סימנים שבין המפעילים ישנם טורקים ומצרים, לא ברור אם אלו פלסטינים שחיים בטורקיה או במצרים או שמדובר במצרים וטורקים שעובדים עבור חמאס", אומר קדם. קשה מאוד למצוא סימנים שיחברו בין הקבוצה לבין הפעילים בה וגם לא ברור מהיכן הם פועלים. אין שום מניעה שהאקר חמאס טורקי יפעל מברלין למשל, מסביר לנו קדם. בנוסף, אין זה נדיר למצוא "שכירי חרב" בעולמות הסייבר. למעשה, אין שום סיבה לחשוב שיחידת הסייבר של חמאס לא מקבלת סיוע לוגיסטי לפחות מאיראן וחיזבאללה. שתיהן מפעילות יחידות סייבר מתקדמות שבין היתר זוהו כאלו העומדות מאחורי הפריצות לבתי החולים זיו בצפת לפני חודש ולהלל יפה לפני כשנתיים.
עם זאת, חמאס פועל באופן עצמאי, ויחידות הסייבר שלו פועלות למטרות הארגון. לא ברור מי המפעיל הישיר של היחידה. כיום היא משמשת בעיקר למודיעין ואין ספק שיכולותיה שימשו גם ככל הנראה להכנת הפלישה לישראל ב-7 באוקטובר. עם זאת, מכיוון שהיא לא פועלת ישירות מהרצועה, יכול מאוד להיות שהיא נמצאת תחת הפיקוד של בכירי חמאס במפרץ ולא תחת פיקודו של יחיא סינוואר או מוחמד דף למשל. בנוסף, עדיין לא ברור מה המבנה שלה. החיסול של היחידה העזתית כנראה הביא את חמאס למידור והגברת החשאיות בכל הנוגע לפעולות שלה.
קשה להעריך כמה היחידה הזו מצליחה לפעול בתוך ישראל. מה שבבירור עולה מהמחקר של סנטינל לאבס זה שמדובר ביחידה שלא מהססת לפעול נגד גורמים פלסטיניים, מה שמדגיש את היריבות בין הפלגים הפלסטינים השונים. המחקר לא חשף בדיוק אילו גופים פלסטיניים טווחו על ידי יחידת ההאקרים החמאסית, אך זה לא יפתיע אם המטרה העיקרית הייתה הרשות ומנגנון הממשל. כמו כן גורמים ג'יהאדיסטים כמו תומכי דאע''ש ברצועה או הגי'האד האיסלמי (גא''פ) כנראה גם שימשו כמטרות, בשילוב עם ממשלות וארגונים בעולם.
עם זאת, המטרות העיקריות הן כמובן בישראל וברשות הפלסטינית. לא ברור אם הפעילות גם כוללת סייבר פלילי, כפי שעושה צפון-קוריאה. אבל זה לא יפתיע לגלות שחמאס עושה שימוש בסייבר כדי להעשיר את קופת האוצר שלו. בסך הכל היכולות של חמאס צריכות להדאיג ואף מעבר לכך. הארגון הצליח לשקם ואף להעצים את היכולות שלו לאחר חיסול הסניף העזתי של יחידת הסייבר שלו, כמו למשל עם היכולת לחדור למערכות ממשלתיות, לרגל ולאסוף מודיעין.
כל אלה שידרגו היטב את הארגון. זאת בשילוב היכולת לתקוף בכירים ישראלים אם על ידי מתקפות מניעת שירות על מכשירי הטלפון שלהם כפי שקורה בשבועות האחרונים או חדירה וריגול אקטיבי אחרי מטרות איכות צריכים לגרום לבכירי הסייבר בישראל להבין שזה לא רק איראן או חיזבאללה אלא גם חמאס שנמצא במשוואה של מלחמת הסייבר המזרח-תיכונית. השלב הבא של הסייבר החמאסי יהיה ללא ספק ניסיון לגרום לנזק בעולם האמיתי, משהו שמדינות יודעות לבצע, בין אם מדובר בפיצוץ של מפעל פלדה באיראן או בשיתוק אספקת הדלק לתחנות תדלוק. פעולה דומה של חמאס עשויה לגרום לנזק רב למשק ולישראל, וזאת אפילו ללא צורך בירייה אחת.