כך נראו הקרבות בסייבר בין איראן לישראל

מלחמת "עם כלביא" בין ישראל לאיראן, אשר פרצה ב- 13 ביוני, עברה במהירות מעימות מסורתי לשדה הקרב הדיגיטלי. שני הצדדים, יחד עם קבוצות פרוקסי והאקטיביסטים, מיקדו את התקפות הסייבר שלהם בתשתיות קריטיות. 

שבועות לפני תחילת העימות הפיזי, נצפתה עלייה בפעילות הקשורה לשתי המדינות ב- Darknet כולל שיתוף מטרות ופרטי תקיפה בין קבוצות האקרים דרך פורומים וטלגרם. ב-21 ביוני כבר תועדו מתקפות על מל”טים ישראליים וחברות אנרגיה, והשחתות אתרים הדדיות.

ישראל ואיראן הן יריבות סייבר ותיקות. צוות המודיעין של  פורטינט  לעולם ה- Darknet קלט עלייה בשיחות בנושא ברשת האפלה לפני תחילת העימות הפיזי. תוך שעות מתחילת העימות חל שינוי משמעותי בפעילות, המהווה אינדיקציה ברורה לכך שההיערכות לקרב הסייבר קרתה מהר מאוד. הצוות צפה במספר קבוצות האקרים המזוהות עם שתי המדינות המשתפות פעולה באופן פעיל באמצעות ערוצי טלגרם ופורומים של Darknet כדי להוציא לפועל מתקפות סייבר מתואמות נגד מטרות ממשלתיות ופרטיות במדינות היריבות. 

התקפות הרסניות והשלכות כלכליות
בחודשים האחרונים זוהה זרם מתמשך של פעילות סייבר הקשורה לקבוצות APT הקשורות לאיראן. עם זאת, במהלך השבועות האחרונים, צוות מחקר האיומים של FortiGuard צפה במספר התקפות הכנה משני צידי הסכסוך, מה שמצביע על כך ששתי המדינות היו בכוננות לקראת מה שעתיד לבוא. כאשר ארצות הברית הפציצה את איראן ב-22 ביוני 2025 ופגעה בשלושה מתקני גרעין כחלק ממבצע "פטיש חצות" החלה עלייה משמעותית בפעילות גם בזירת הסייבר.

FortiGuard Threat Intelligence זיהתה מספר קבוצות שהיו פעילות במיוחד בתקופה זו, בעיקר ביצוע השחתת אתרים והתקפות מניעת שירות מבוזרות (DDoS) כחלק ממעשי איבה מתמשכים בסייבר. בין הקבוצות שפעלו למען ישראל נכללו: Anonymous Italia, BlackWolves, Team-Network-Nine ו- Keymous +. בין הקבוצות שפעלו למען אירן נכללות: MadCap, Z-BL4CX-H4T, Moroccan Cyber Forces, Al Ahad, Arabian Ghosts, Fedayeen, Cyber Islamic Resistance, Islamic Hacker Army ו- MTB. 

קבוצה אנטי-איראנית, הידועה בשם Predatory Sparrow, טענה שביצעה התקפה מוצלחת על Nobitex, אחת מבורסות הקריפטו הגדולות באיראן, שמחקה 90 מיליון דולר במטבעות קריפטוגרפיים והשביתה בנקאות מקוונת וכספומטים. אותה קבוצה טענה גם כי השמידה נתונים בבנק הממשלתי של איראן על רקע התגברות מעשי האיבה מוקדם יותר השבוע. 

קבוצות פרו-פלסטיניות כגון Handala תקפו חברות ישראליות וחשפו כמויות גדולות של נתונים מסווגים, לצד תקיפות Wiper שנועדו לגרום להרס. איראן וחמאס מנצלים מצלמות אבטחה ומכשירי IoT שאינם מאובטחים – רבים מהם פתוחים עקב שימוש בסיסמאות ברירת מחדל – כדי לאסוף מודיעין ולבצע מתקפות סייבר. ברקע, ניכרת שליטה הדוקה בזרימת המידע: ביוני נרשמה השבתה כמעט מוחלטת של האינטרנט באיראן, שגרמה לזינוק של 95% בשימוש ב- VPN. מטרת המהלך – דיכוי מחאות ושליטה במידע.

נזקים למדינות אחרות
אלו רק מעט מן הדוגמאות לקרבות בזירת הסייבר בין ישראל לאירן. אך לא רק בין תומכי שתי המדינות מתקיימים קרבות סייבר. ארגונים אמריקאים, אירופיים ואזוריים, במיוחד אלה המחוברים באמצעות שרשראות אספקה ישראליות, מתמודדים עם נזק אגבי פוטנציאלי מהתקפות שגויות או אופורטוניסטיות.

ב-22 ביוני 2025, האקרים הקשורים לתנועת "סייבר פתאח", בתיאום באמצעות ערוץ הטלגרם הרשמי שלהם, הדליפו אלפי רשומות המכילות מידע על מבקרים וספורטאים במשחקי סעודיה, אחד מאירועי הספורט המרכזיים בממלכה, ופרסמו אותם בפורום פשעי הסייבר בשפה האנגלית - 'DarkForums'. קבוצת האקרים אחרת המזוהה עם איראן - 313 Team, קיבלה אחריות על הוצאת פלטפורמת המדיה החברתית Truth של משפחת טראמפ למצב לא מקוון באמצעות מתקפת DDoS.

שימוש בדיסאינפורמציה ותעמולה דיגיטלית הולכים יד ביד עם מתקפות סייבר. התראות שווא על טילים, תוכן שעבר מניפולציה והדלפת מידע רגיש כדי להפחיד אזרחים ולעצב את התפיסה הציבורית, הם חלק משדה הקרב הדיגיטלי. אבל זה לא תמיד מצליח כפי שמראים ניסיונות ליצור תמונות של מטוס B-2 אמריקאי שהופל. התמונות כוללות בעיות אמינות שקל לזהות: מבעיות בקנה מידה, היעדר סימני התרסקות, והעובדה שהתמונות מציגות מטוס שלם לאחר שככל הנראה הופל מהשמיים.

קארל וינדזור הוא סמנכ"ל אבטחת מידע (CISO) בחברת פורטינט.