בשעה שצה"ל מתקדם בלחימה ברצועת עזה וחזית ההסברה סוערת, קיימת גם חזית נוספת, נסתרת יותר: חזית הסייבר. ישראל הרשמית שומרת על שתיקה לגבי הפעילות שהיא מבצעת בזירת הסייבר ההגנתי וההתקפי, אך דיווחים על מתקפות שמבצעות עדיין מגיעים מעת לעת לאמצעי התקשורת. עיקר הדיווחים הם על תקיפות שמבצעות קבוצות האקרים נגד מטרות ישראליות - אך ביניהן עלה גם שמה של קבוצה אחת, שכותבת בעברית ומציגה עצמה כפרו-ישראלית, אף שהדעות לגביה חלוקות.

האקרים ישראלים טוענים: פרצנו לרשת החשמל באיראן
האקרים ישראלים: "פרצנו לחברות פיתוח כורים באיראן"
קבוצת סייבר ישראלית: הפלנו אתר חדשות של חמאס
הווטאסאפ של הקונספירטור האנטישמי נפרץ

לפי הערכות של חלק מחברות הסייבר, מאז מתקפת חמאס ב-7 באוקטובר הפעילות בזירת הסייבר עלתה בצורה משמעותית, בין היתר הודות לאותן קבוצות של האקרים פרטיים, המכונים האקטיביסטים, שפועלים באופן עצמאי לפי האידיאולוגיה שלהם.

דוח של חברת הסייבר האמריקאית Cloudflare שפורסם בסוף החודש שעבר גילה כי במקביל למתקפת הפתע של חמאס נגד יישובי הדרום וירי הרקטות זוהו גם תקיפות נגד ישראל גם בזירת הסייבר. אלו היו מתקפות מסוג העמסת שרת (DDoS) נגד אתרים המשמשים לשליחת אזהרות מפני ירי טילים לאזרחי ישראל, אך הן לא הצליחו לשבש את המערכות.

תקיפות סייבר איראניות (אילוסטרציה) (צילום: 123RF‏)
מחקר של חברת פאלו אלטו חשף פעילות נגד מטרות ישראליות של האקרים הקשורים לאיראן|צילום: 123RF‏

בנוסף, מחקר שפרסמה אתמול חברת הסייבר פאלו אלטו נטוורקס חשף פעילות של קבוצת האקרים בשם Agrius הקשורה לאיראן, שהגבירה את פעילותה נגד ישראל עם פרוץ המלחמה. לפי המחקר, ההאקרים קיימו סדרה של תקיפות סייבר הרסניות כנגד גופי חינוך וטכנולוגיה בישראל שהחלו בינואר השנה, והתגברו במקביל לתקיפת חמאס.

קבוצות אחרות כמו אנונימוס סודן, שבעבר קושרה לממשלת רוסיה, פועלות בחודש האחרון כנגד אתרים ישראלים בהצלחה חלקית.

במקביל לתקיפות נגד ישראל החל לצוץ בשבועות האחרונים גם שם של קבוצה שמזדהה עם ישראל, ומכנה את עצמה Red Evils. הקבוצה נטלה אחריות לשורה של פריצות, בהן לרשת מחשבים של חברת בנייה איראנית, ידוענים העוסקים בהפצת תעמולה אנטישמית ואנטי ישראלית ועד לניתוק של רשת החשמל באיראן.

חלק מהפריצות הוכחו כאמיתיות

בפרסומים שלה ובקבוצת הטלגרם שהיא מפעילה טוענת Red Evils שהיא כוללת מספר האקרים, רובם בוגרי יחידה 8200 של חיל המודיעין ויחידות טכנולוגיות אחרות, שחלקם עובדים בתעשיית הסייבר הישראלית.

ההודעות שמפיצה הקבוצה טוענות להישגים כמו "בשעה 13:00 יזמנו מתקפת סייבר על אתר החדשות המרכזי של ארגון הטרור חמאס. האתר קשור ל-GazaNow המפרסם תכנים אנטי ישראליים, ומידע אודות פעולות צה"ל ומודיעין. אנו WeRedEvils קבוצת לוחמי סייבר ישראליים הפועלים מאז תחילת המלחמה בהתנדבות, ולוקחים חלק במאמץ הסיוע המלחמתי".

האקרים RED EVILS (צילום: צילום מסך מתוך קבוצת הוואטסאפ של Red Evils)
הודעה של Red Evils מתגאה בניתוק רשת האינטרנט בלבנון|צילום: צילום מסך מתוך קבוצת הוואטסאפ של Red Evils

חלק מהפריצות שעליהן הודיעה Red Evils אכן הוכחו כאמיתיות. כך אחרי שבשבוע שעבר התגאתה הקבוצה בפריצה לחשבון וואטסאפ שמשמש את משפיען הרשת האנטי ישראלי ג'קסון הינקל, חשבון הטוויטר שלו צייץ כי "הציונים חסמו אותי מלהשתמש בוואטסאפ". בנוסף פרסמה הקבוצה מסמכים שכללו לכאורה תעודות זהות של אזרחים איראניים, שלטענתה הם עובדי של חברת כרייה האחראית בניית מתקנים תעשייתית במדינה, בהם כאלו הקשורים לאנרגיה גרעינית.

בתעשיית הסייבר הישראלית הדעות לגבי Red Evils ואיכות הפעילות שלה חלוקות. "אנחנו לא מדברים על קבוצה שבאמת פועלת בעומק האויב", אומר אלון ארבץ, מנכ"ל חברת הסייבר פונט-פייב ומחבר הספר "ההגנה הטובה ביותר" העוסק בתעשיית הסייבר הישראלית, "אבל יחסית למה שהם עושים, כן רואים פה איכויות אחרות שלא רואים אצל קבוצות האקטיביסטיות אחרות".

ארבץ מזהה בחודש האחרון עלייה בתקיפות של קבוצות האקטיביסטים כנגד ישראל, אך אלו נופלות לדעתו מהתקיפות שמבצעת Red Evils. "הרבה פעמים תראה קבוצות כמו אנונימוס סודן שתוקפות במתקפה שנקראת DDoS - זו מתקפה שבה שולחים מספר רב של בקשות לשרת וכך מפילים אותו. כאלה מתקפות ראינו כלפי ישראל בחודש האחרון, אבל בדרך כלל הן גורמות לאתר לרשת לשתי דקות וזהו, זה לא באמת משפיע במיוחד.

"אצל Red Evils לעומת זאת אתה רואה פריצות שמביאות לפרסום מסמכים, שזו כבר רמה גבוהה יותר בעולמות ההקאינג. זה אומר שהם הצליחו לחדור למעגל הראשון של האבטחה, משיגים מידע ממחשבים שמחוברים לרשת, ומצליחים לעבור את ההגנות של הרשתות האלה".

כמו שקורה לא פעם עם קבוצות של האקרים, גם במקרה של Red Evils קשה לזהות היכן הפעולה האמיתית נגמרת ומתחילה ההתרברבות. "הסתכלנו על המסמכים האלה, והם בהחלט נראים כמו מסמכים שישבו במחשב האישי של מישהו, גם אם לא תמיד בטוח עד כמה המסמכים מעידים על פריצות שהביאו נכסים חשובים מאוד", מגלה ארבץ. "אני ספקן מאוד לגבי חלק מהדברים שטוענים ב-Red Evils שהם עשו, ומצד שני הם כן הצליחו - לפחות בחלק מהמקרים - להצביע על יכולות גבוהות מאוד".

Copy of האקרים RED EVILS (צילום: צילום מסך מתוך קבוצת הוואטסאפ של Red Evils)
הפרסום בקבוצת הטלגרם של Red Evils שמתגאה בפריצה לחברת חשמל באיראן|צילום: צילום מסך מתוך קבוצת הוואטסאפ של Red Evils

המבצע המרשים ביותר שבו Red Evils מתגאה, שבו פרצה לטענתה לחברת החשמל באיראן והפסיקה את פעילות החשמל במדינה, הוא גם זה שארבץ הכי מפקפק בו. "לא ראינו דיווחים על נפילת חשמל באיראן", הוא אומר. "זו גם פריצה קשה יותר, מאחר והמתקנים ששולטים בחשמל באיראן לא אמורים להיות מחוברים לאינטרנט. ואם הם כן מחוברים לאינטרנט אז מדובר בפאשלה רצינית של האיראנים".

ניסוחים שמתאימים לגורמים איראניים

גורם אחר בתעשיית הסייבר הישראלית, שביקש לשמור על אנונימיות, טוען שהטענות של Red Evils מופרכות. מדובר בגורם העוסק בחקירת נסיונות פריצה בישראל ומישראל, והוא טוען כי מהמקורות שלו לא היתה כל נפילה בחשמל באיראן. מעבר לכך, אותו הגורם אף מעלה סימני שאלה לגבי הזהות של Red Evils וטענתה כי מדובר בקבוצה ישראלית.

לדבריו, הודעות שפרסמה קבוצת ההאקרים וצורת הניסוח שלהן אינו מתאים לכותבים ישראלים אלא לאנשים שעברית אינה שפת האם שלהם. למעשה, הוא טוען, כי חלק מהניסוחים של הקבוצה מעלים חשד כי מדובר דווקא באיראנים. כהוכחה לטענותיו הפנה אותנו הגורם להודעה ספציפית שפרסמה Red Evils: "בימים האחרונים הצלחנו לפרוץ לכמה מערכות של חברות שמתעסקות בבנייה ופיתוח כורים ומתקנים שקשורים למשמרות המהפכה באיראן שהוקמה בפקודתו של רוחאללה חומייני, מייסד הרפובליקה האסלאמית של איראן", לשון ההודעה.

Copy(2) of האקרים RED EVILS (צילום: צילום מסך מתוך קבוצת הוואטסאפ של Red Evils)
פרסום של Red Evils שהעלה חשד שמדובר בגורמים איראניים|צילום: צילום מסך מתוך קבוצת הוואטסאפ של Red Evils

הגורם מצביע על כמה סימנים מחשידים בהודעה. ראשית, ההתייחסות לפקודה להקמת משמרות המהפכה. "לישראלים לא אכפת באיזו פקודה הוקמו משמרות המהפכה, אבל גורמים איראנים לא יכולים להתאפק, זה אוטומטי אצלם", הוא אומר. שנית, הוא מצביע על השימוש בשם הרפובליקה האסלאמית של איראן. "ישראלים פשוט אומרים איראן, בעוד איראנים יכתוב את שמה המלא של המדינה מתוך כבוד".

הגורם מעלה חשש שמדובר בקבוצה איראנית שמטרתה לאסוף מידע על האקרים ישראלים. הוא מודה שאין לו הוכחה חותכת, אך סימני השאלה שציינו וטעויות אחרות בעברית בפרסומי הקבוצה בטלגרם שמתאימות לדבריו לדוברי פרסית מעלים את חשדו. "שים לב כמה קשה להם עם ה' הידיעה", הוא מעיר. "אתה רואה שוב ושוב בהודעות שהם משמיטים את ה' הידיעה במקומות שלנו דוברי העברית היו מאוד ברורים. זה גורם לחלק מההודעות להיראות כאילו נכתבו בידי דוברי פרסית.

גורמים אחרים שדיברנו עמם טוענים שהיו בקשר עם חלק מאנשי הקבוצה ושמדובר באנשים צעירים ונלהבים. הם אף מצביעים על כך שאתרים פומביים שאנשי Red Evils טענו שפרצו אליהם אכן ירדו מהאוויר, גם אם לזמן מוגבל.