הדליפה שחושפת את פעילות מערך הסייבר של איראן נגד ישראל, יוון ודובאי
קבוצת ההאקרים המובילה באיראן נפרצה לפני כמה שבועות ופעולות הסייבר של המדינה האסלאמית נחשפות לראשונה. המסמכים שדלפו מספקים הצצה ליעדים שעל הכוונת, שכוללים שורת מדינות, לכלי הסייבר שמופעלים, לחברות הקש שהוקמו, ואפילו למסעדה המועדפת על העובדים. חשיפת שומרים
על אף שמה המקסים, "צ'ארמינג קיטן" (Charming Kitten), קבוצת ההאקרים האיראנית מוכרת לשמצה כחלק מחטיבת הסייבר והמודיעין של משמרות המהפכה באיראן. גורמי הסייבר בעולם זיהו את טביעות האצבע שלה במתקפות מתוחכמות שנעשו תוך שימוש בתוכנות זדוניות, בהודעות התחזות במייל ובפרופילים מזויפים ברשתות החברתיות, שמטרתם לרכוש את אמון הקורבנות במשך זמן רב לפני פריצה לחשבונותיהם. בעשור האחרון היא תקפה יעדים בארה"ב, בבריטניה וכמובן במגוון רחב של מדינות במזרח התיכון וישראל בראשן.
כעת חושף שומרים כי "צ'ארמינג קיטן" נפלה ברשת בעצמה לאחר שמסמכים פנימיים ממערך ריגול הסייבר שלה דלפו בשבועות האחרונים. הדליפה נחשבת לאחת הפריצות המשמעותיות ביותר לקבוצת האקרים שפועלת בשירות גורם מדינתי ומספקת הצצה ראשונה לפעולות הקבוצה, לנוהלי העבודה ולזהות עובדיה.
פעולות שיטתיות נגד תשתיות, בתי מלון, חברות תעופה ומערכות אבטחה
הקבצים שדלפו מתעדים את פעולות הקבוצה בשנים 2025–2022, פעולות שנוהלו על ידי בכיר משמרות המהפכה בשם עבאס רהרובי (Rahrovi), באמצעות רשת של חברות קש. הפעולות הללו נעשו בלא פחות מארבע יבשות שונות ובמדינות שאינן בהכרח לעומתיות לאיראן כמו דרום קוריאה וקנדה. במזרח התיכון וסביבתו, לפי המסמכים, התמקדה הקבוצה בדובאי, ביוון, בירדן וכמובן בישראל. כמעט מיותר לציין שדגש מיוחד ניתן למערכת הביטחון הישראלית. אלמלא קודי המקור של התוכנות הזדוניות והתייחסויות ליעדי פריצה ספציפיים, אוסף המסמכים יכול היה להידמות לרישומים של חברת סטארט־אפ מאורגנת היטב. "צ'ארמינג קיטן" עקבה בשיטתיות אחר הישגיה וכישלונותיה, עובדים נדרשו לתעד בקפידה את שעות עבודה - תשע עד חמש, להגיש בקשות לחופשה ולעבוד לעתים קרובות שעות נוספות. כל זה ממחיש שאין מדובר בקבוצת גרילה של האקרים, אלא במערך מדינתי סדור ומאורגן.
חשיפת המסמכים גורמת לקבוצה נזק כבד. זהויות הגורמים מאחורי פעילותה, חברות הקש ששימשו להסתרת פעילויות, כתובות מטבעות קריפטו שמימנו רכישת ציוד טכני ושירותי אנונימיזציה, וכן קוד מקור לתוכנות זדוניות, ישפיעו באופן דרמטי על פעילותה בעתיד ויחייבו היערכות מחדש.
היעד המרכזי של הקבוצה הוא כמובן ישראל, כאשר רבים ממאות המסמכים שדלפו מצביעים על כך. "סדרת פעולות סייבר בוצעה בהצלחה, תוך התמקדות במשטר הציוני ושלוחותיו, במטרה לחלץ מידע ולתקוף תשתיות", נכתב באחד מהם. המסמך, שנותח על ידי שומרים, מפרט בשיטתיות פעולות איראניות נגד ישראל. בין היתר הוא כולל פרטים על הסתננות למערכות אבטחה במעגל סגור (CCTV) במרכזי ביטחון ישראליים ובאתרים רגישים נוספים, השגת גישה לתשתיות תעשייתיות, ושליפת נתוני נוסעים ממאגרי מידע של שדות תעופה ובתי מלון.
המסמכים גם קושרים לראשונה באופן רשמי בין "צ'ארמינג קיטן" לבין "מטה משה" (Moses Staff), מבצע פריצה שבעבר יוחס להאקרים עצמאיים. המבצע, שנחשף בסוף 2021 לאחר שהודלפו נתונים מחברות וגופי ביטחון ישראליים, כולל משרד הביטחון, חשף פרטים של מאות אנשי צה"ל, ובהם של שר הביטחון והרמטכ"ל לשעבר בני גנץ. בנוסף, המסמכים חושפים כי הקבוצה האיראנית הפעילה פלטפורמה מקוונת שנועדה לזהות ולגייס ישראלים שמשרתים במערכת הביטחון. יצוין כי לא ברור עד כמה פעולות אלו היו מוצלחות, אם בכלל.
קשר נוסף שחושפים המסמכים הוא לכך שהקבוצה היא שעמדה מאחורי מבצע השפעה שאותר בעבר על ידי חברת מטא, אשר כלל מאות חשבונות מקוונים שהתחזו למפגיני "הדגלים השחורים" נגד ראש הממשלה נתניהו ב־2020 במטרה לזרוע כאוס בישראל. הפרקטיקה המפורטת היא כיצד ניסו ההאקרים האיראנים לעורר תסיסה פנימית ומחאות בתוך ישראל.
לפי הסוכנות האמריקאית לאבטחת סייבר ותשתיות (CISA), "צ'ארמינג קיטן" כיוונה למתנגדי משטר פוליטיים, ארגוני זכויות אדם, כלי תקשורת וחוקרים כבר מ־2014. קביעה שמקבלת אישוש במסמכים המצביעים על מבצעי דיסאינפורמציה מתוחכמים. כך, למשל, בקבוצה האיראנית הפעילו כלי תקשורת בשם "Sahyoun 24", הפעיל בעברית, ערבית ופרסית ברשתות החברתיות, כדי להפיץ דיסאינפורמציה ותעמולה איראנית.
השיטה: אתרי גיוס עובדים מזויפים כדי לאסוף פרטים על ישראלים
ישראל היא היעד העיקרי לפריצות והדלפות של מידע רגיש מאז פרצה המלחמה, כולל ממשרדי ממשלה ומוסדות בריאות, כפי שדווח בעבר בהרחבה בשומרים. המסמכים שדלפו מתארים פעולות שנעשו נגד מפעילי תיירות וחברות ביטחוניות. כך, למשל, מתואר בהם כיצד בוצע ניסיון לפרוץ לאתר הקריירה/דרושים של חברה ביטחונית משמעותית בישראל, ככל הנראה כדי לאסוף מידע אישי של מועמדים בעלי רקע ביטחוני, לפני שיכוונו אליהם מתקפות באופן סייבר פרטניות.
אחד האתרים שנרשמו על ידי ההאקרים האיראנים הוא "ישראל־טאלנט" (Israel-Talent) ששימש כפלטפורמת גיוס מזויפת לבכירים. מומחי סייבר הסבירו כי פעולות דומות, לחיזור אחר יעדים באמתלות של הצעות עבודה, יוחסו בעבר להאקרים איראנים. שיטה דומה נקטה הקבוצה גם באיתור משתפי פעולה מבית, והפעילה אתרי גיוס שכיוונו לאנשי ביטחון איראנים, סורים וחזבאללה. באחד הקמפיינים, שרץ ברחבי אתרים שונים ובפלטפורמות מדיה חברתית, נאסף מידע אישי על ידי יצירת אתרי גיוס מזויפים שהוצגו כאילו הם קשורים לישראל. הם נועדו לאתר בוגדים פוטנציאליים שיתפתו לעבוד נגד איראן.
לצד המיקוד של הקבוצה בישראל, חושפת ההדלפה את האופן שבו הרחיבה איראן את טווח הפעולה ברחבי המזרח התיכון - לרבות במספר רב של מגזרים אזרחיים שנעו ממשרדי עורכי דין, תעשיית הנפט והגז, מוסדות אקדמיים, חברות ימיות וארגוני בריאות. בין היעדים הבולטים שצוינו על ידי הקבוצה - חלקם העניקו להאקרים שליטה כמעט מוחלטת ביעדים שהותקפו: משטרת דובאי; משרד החוץ הטורקי; שירותים פיננסיים בכווית; התקשורת האפגנית; מוסדות בירדן, כאשר חלק מהפריצות במדינה לא אותרו קודם לכן, והיו רחבות היקף במיוחד. יעד בולט נוסף שהותקף על ידי האיראנים היה תעשיית הספנות של יוון, ככל הנראה כדי לנטר ימאים בים התיכון ולעקוף סנקציות המופעלות נגד איראן. עוד הותקפו: תיבות דואר של אנשי תמיכה טכנית (IT) באזרבייג'ן, עובדי נמל בבאקו, פקידי משרד הפנים של בחריין, ופעילת זכויות האדם הפקיסטנית־קנדית, רחיל רזא.
לא ברור מי עומד מאחורי ההדלפה וספק אם פעם הדבר יתגלה, אולם עומק ההדלפה והיקפה מגלים כי מי שעומד מאחוריה החזיק בגישה נרחבת למערכות הפנימיות של הקבוצה לאורך תקופה ממושכת, לפי דו"חות שפרסמו בנושא מומחי סייבר.
אחד ממומחי הסייבר שבדקו את המסמכים הוא נרימן גריב, פעיל האופוזיציה האיראנית שפועל מבריטניה. הוא בחן כמה מחשבונות ההאקרים עם הסיסמאות שדלפו. גריב כתב כי הקבוצה הסתמכה על מספרי טלפון מרוסיה, ישראל והולנד עם כתובות מזויפות כדי לבצע רכישות בכ־10,000 דולר באמצעות קריפטו עבור התשתית שלהם. כמו כן, זיהה גריב את קצין הרכש, מוחסן פורוגי (Foroughi), האחראי על רכישת ציוד טכני מטעם משמרות המהפכה, ואפילו את המסעדה האהובה על ההאקרים בלב טהראן.
