ב-16 ביוני פרסם אתר 'איראן אינטרנשיונל', אתר חדשות המזוהה עם מתנגדי משטר האייתולות, מאמר בפרסית החושף את שמותיהם של האקרים איראניים המשתייכים לקבוצת ההאקרים MuddyWater ולקבוצת DarkBit הכפופה לה, ואת קשריהם עם משרד המודיעין האיראני.

חשיפות מסוג זה אינן אירוע שכיח, אך גם אינן אירוע חדש. בעשור האחרון פעלו חוקרים פרטיים ומדינות לחשוף את זהותם של העומדים מאחורי מתקפות סייבר, בין אם מדובר בעברייני סייבר, במדינות, בקבוצות או בהאקרים אינדיבידואלים הפועלים בחסותן. מהלכים אלו יוצאים מנקודת הנחה שהיתרון של פעילות סייבר זדונית על פני פעילות שאינה במרחב הסייבר, הוא האנונימיות והיכולת של מדינות ואף של האקרים אינדיווידואליים לחמוק מאחריות.

אין זו הפעם הראשונה שאתר 'איראן אינטרנשיונל' מפרסם של שמות של האקרים איראניים, והתחשבות בעובדה שהכתבה פורסמה בפרסית, לצד פרסומים אחרים בעלי אופי מביך כלפי משטר האיאתוללות, המפורסמים באתר, מעלים את ההשערה שמטרת החשיפה היא להביך את המשטר ולפגוע עוד יותר במעמדו בעיני העם האיראני. לצד זאת, לחשיפות אלו יש הקשרים ומטרות דיפלומטיות והרתעתיות.

בהקשר הדיפלומטי, נקשרת חשיפת שמותיהם של האקרים זרים ושל מדינות המעורבות בפעילות סייבר זדונית במאמץ לייצר ולאכוף נורמות בין-לאומיות להתנהגות מדינתית אחראית במרחב הסייבר, להביך את המדינות המעורבות ולהטיל עליהן סנקציות. עם זאת, תהליך ניסוח הנורמות, המתנהל ברובו תחת מסגרת קבוצות מומחים של האו"ם, נתקל בקשיים רבים ואף קפא, לנוכח אי הסכמות בין גושי המדינות המובלים על ידי ארה"ב מצד אחד ועל ידי רוסיה וסין מהצד השני.

מנגד, חשיפת פעילותם של האקרים הפועלים בחסות מדינות כנגד מדינות בעלות ברית, עשויה לתקוע טריז בין המדינות ולהביכן. גורמים שהתייחסו לחשיפת 'איראן אינטרנשיונל' הדגישו את העובדה שהדיווח חשף את פעילותה של קבוצת MuddyWater נגד מטרות במדינות בעלות ברית של איראן, כגון קטאר ורוסיה. ייתכן ומטרת החשיפה הייתה לתקוע טריז ולשבש את התקרבות היחסים בין איראן ורוסיה ומדינות אחרות, אולם יש לזכור כי פעילות סייבר המתנהלת למטרות ריגול, אינה פעילות יוצאת דופן גם כשמדובר במדינות בעלות ברית.

יתרה מכך, קבוצות האקרים הפועלות בחסות רוסיה ואיראן אף השתמשו בעבר בכלים ובתשתיות האחת של השניה כחלק ממבצעי False Flag, שמטרתם להקשות על ייחוס המתקפות לתוקף האמיתי. לדוגמה, באוקטובר 2019, חשפו גופי המודיעין של ארה"ב ובריטניה, כי קבוצת ההאקרים הרוסית Turla, המקושרת לשירות הביטחון הפדראלי של רוסיה (FSB), השתלטה והשתמשה בתשתיות ובכלים של קבוצת APT34 האיראנית כחלק מפעילות ריגול אחר מטרות מערביות. מכאן, שפגיעה ביחסי שתי המדינות, שקרבתן האסטרטגית נובעת בעיקר מאיבה כלפי ארה"ב על רקע המלחמה באוקראינה והמתיחות במזרח התיכון, לא צפויה להיות משמעותית.

בהקשרים של אכיפת חוק וענישה, חשיפות מסוג זה הולכות יד ביד עם הגשת כתבי אישום והטלת סנקציות כנגד ההאקרים וכנגד החברות או הגופים המעסיקים אותם. בשנים האחרונות פעל הממשל האמריקני לחשוף את זהותם ולהגיש כתבי אישום כנגד האקרים רוסים, סינים, איראנים וצפון קוריאנים. האיחוד האירופי אימץ ב-2017 את 'ארגז הכלים לדיפלומטיית סייבר', המאפשר להטיל סנקציות כגון איסור כניסה לשטחי מדינות האיחוד והקפאת נכסים על האקרים זרים. עם זאת, נדירים הם המקרים בהם האקרים זרים החזיקו בנכסים בשטחי מדינות המערב או נכנסו לשטח מדינות העלולות להסגירם.

בהקשר ההרתעתי, משמשות חשיפות אלו להעברת מסר למעורבים, לפיו זהותם נחשפה, דבר שעלול להוביל לנקיטת צעדים נוספים כנגדם וכן למעקב אחריהם. לפיכך, חשיפות אלו מסירות את יתרון האנונימיות שמעניק מרחב הסייבר לגורמים זדוניים הפועלים בו, אולם קיימים סימני שאלה בנושא יעילותן. בעולמות פשיעת הסייבר וההאקטיביזם – פעילות סייבר מתוך מניעים פוליטיים וחברתיים – ישנה לעיתים משמעות לצבירת מוניטין ופרסום פעילותם של התוקפים, כמו גם את הכינויים בהם הם משתמשים.

עם זאת, ישנם מקרים בהם חשיפת זהותו של האקר הובילה להיעלמותו ולירידה בפעילותו. דוגמה לכך היא מנהיג קבוצת האקטיביסטים הרוסית Killnet, שתקפה ארגונים במדינות המערב ובמדינות התומכות באוקראינה מאז פלישתה של רוסיה בפברואר 2022. בנובמבר 2023 נחשפה זהותו של מנהיג הקבוצה, אסיר לשעבר בשם ניקולאי סרפימוב שהתפרסם תחת הכינוי Killmilk, דבר שהוביל להעלמותו. עם זאת, חשיפת זהותם של חברי הקבוצות לרוב מובילה להחלפתם בידי אחרים ואין ראיות לכך שהדבר מרתיע האקרים המשתייכים לסוכנויות מודיעין זרות.

לסיכום, לחשיפת זהותם של האקרים וארגונים תחתם הם פועלים יש ערך הרתעתי תיאורטי שעשוי להוביל לירידה או להאטה בפעילותם, אולם בהינתן שגורמים אלו לרוב ממוקמים בשטחן של מדינות המעלימות עין מפעילותם במקרה הטוב, או מעסיקות אותם במקרה הרע, הראיות ליעילותן של פעולות אלו לטווח הארוך מוגבלות בלבד.

עוד ב-

איראן במתקפת סייבר קטלנית: פרטים רגישים של אלפי ישראלים נגנבו

לכתבה המלאה

* הכותב עמרי וקסלר הוא אנליסט מודיעין סייבר, חוקר במרכז לחקר הסייבר הבין-תחומי ע"ש בלווטניק וחוקר בכיר בסדנת יובל נאמן למדע, טכנולוגיה וביטחון באוניברסיטת ת"א שתערוך היום את כנסי שבוע הסייבר ושבוע הAI בהובלת המרכז למחקר סייבר בינתחומי ע"ש בלווטניק באוניברסיטת ת"א, מערך הסייבר הלאומי, משרד הכלכלה ומשרד החוץ