מאי 2025^[1]

במרץ 2025 טענו האקרים אנונימיים כי גנבו 12 טרה-בייט של מידע רגיש ממערכות בנק ספ'ה, אחד הבנקים הגדולים באיראן, שלקוחותיו כוללים מספר רב של משרתים במשה"מ וכוחות הביטחון. אף על פי שישנם סימנים המעידים על כך שהפורצים פעלו בדפוס של שחקן מדינתי, שיוכם טרם נקבע. לטענת הרשויות ההשפעה של מתקפה זו הייתה מוגבלת, וכך, למעשה, זכתה להתייחסות לקונית מצד הצמרת האיראנית והגורמים הפיננסיים במדינה.

פריצת קבוצת האקרים CodeBreakers למערכות בנק ספ'ה

קבוצת האקרים אנונימית המכונה "CodeBreakers" הודיעה ב-14 במרץ 2025 כי פרצה למערכות הבנק האיראני ספ'ה (سپه) וכי גנבה 12 טרה-בייט של מידע רגיש ממערכות הבנק.^[2] לטענת הקבוצה המידע כולל את פרטיהם של 126 מיליון חשבונות בבנק, כולל 114 מיליון חשבונות בנק של 42 מיליון לקוחות פרטיים (כולל אנשי משמרות המהפכה וכוחות הביטחון) ו-12 מיליון חשבונות ארגוניים. הפרטים שנגנבו כוללים, לפי טענת הקבוצה, רשומות של שני מיליון משרתי משה"מ וכוחות הביטחון. כבר בהודעה הראשונה ביקשה הקבוצה כופר מהבנק, מבלי לציין את סכום הכופר, כדי להשמיד את המידע שנגנב. ב-30 במרץ הציעה הקבוצה למכירה, בערוץ הטלגרם הרשמי שלה, את המידע שנגנב בסכום של 42 מיליון דולר.^[3]

הקבוצה טענה כי המידע שברשותה כולל פרטים אישיים מלאים של לקוחות, כולל שם, מספר לאומי (מקביל למספר תעודת זהות), מספר טלפון, תאריך לידה, שם האב, מספר חשבון, היתרה בחשבון (כולל במטבע חוץ), מזהי כרטיסי אשראי השייכים ללקוח, מידע על העברות (כולל פרטים מלאים של החשבונות שאליהם/מהם הועבר הכסף מחשבונות הבנק) וכן מידע על צ'קים שהופקדו.

בנוסף הציגה הקבוצה אפיון, לכאורה, של קבוצות של לקוחות המקבלים את שירותי בנק ספ'ה, כמו משמרות המהפכה, הצבא, המשטרה, מטה הכוחות המזוינים, הארגון לאנרגיה אטומית, משרד ההגנה וגופי ביטחון נוספים באיראן.

"CodeBreakers" ניסתה למכור את המידע הן בערוץ הטלגרם שלה והן בפורומים יעודיים ברשת האפלה (DarkNet). הקבוצה שחררה בהדרגה לרשת דוגמיות מהמידע שטענה שנמצא בידיה – בין היתר פרטים אישיים של בעלי חשבונות עם יתרה משמעותית בבנק וכן פרטים אישיים של אנשי כוחות הביטחון באיראן – ככל הנראה במטרה ללחוץ על הבנק לשלם את הכופר. באמצע מאי נמחק ערוץ הטלגרם של הקבוצה ללא התייחסות כלשהי לסיבה למחיקה. ייתכן כי העמוד נמחק בעקבות מו"מ מוצלח עם הרשויות האיראניות וקבלת תשלום, או בגלל סיבות נסתרות אחרות.

מי תוקף את המערכת הפיננסית באיראן?

מתקפת הכופר הנדונה בנייר זה נגד בנק ספ'ה היא מתקפה מסוג "Hack & Leak", פריצה למערכת בעלת מידע רגיש, גנבתו והצפנתו או הדלפתו בהדרגתיות עד לתשלום הכופר המבוקש. מתקפות אלו יכולות לשמש ככלי להנבת רווח כלכלי,^[4] ובה בעת הדרישה לכופר יכולה להוות גם כיסוי למתקפות סייבר ממניעים מדיניים או פוליטיים שמטרתה העיקרית פגיעה בתדמית וביציבות השלטון הנתקף. גופי סייבר של מדינות ושל ישויות פוליטיות עשויים להסוות את עצמם מאחורי ישויות פיקטיביות במטרה לטשטש את הקשר בין מתקפת הסייבר לגורם התוקף.

המידע הזמין היום אינו מאפשר לקבוע בוודאות מי עומד מאחורי ערוץ הטלגרם "CodeBreakers". על פני השטח, מדובר בקבוצה המבצעת מבצעי כופרה כדי להכריח את קורבנותיה לשלם סכומים גדולים עבור המידע שהיא מצפינה ו/או גונבת. עם זאת, מכון המחקר הגרמני (Cyfluence Research Center – CRC), העוסק בחקר פעילויות בסייבר לצורכי השפעה ותודעה, טוען כי פעילות הקבוצה וניהול נוכחותה הציבורית כוללים קווי דמיון של פעילויות לצורכי השפעה ותודעה למטרות מדיניות, הממומנות ו/או מבוצעות על ידי מדינות או ארגונים ממוסדים המתנגדים למשטר באיראן.^[5] מכון CRC מדגיש כמה סממנים המצביעים על אופי והשתייכות הקבוצה, כמו הודעות וניסוחים בשפות שאינן אופייניות לקבוצות האקרים בעולמות פשעי סייבר. כמו כן, הבחירה לחשוף פרטי חשבונות בנק של איראנים המשרתים בכוחות הביטחון מצביעה, לטענת חוקרי המכון, על כך שאחת מהמטרות של הפריצה היא פוליטית.^[6]

על בסיס הדיווחים שפורסמו במהלך השנה האחרונה, זו הפעם השנייה שבה מתבצעת תקיפה משמעותית נגד תשתית פיננסית באיראן. באוגוסט 2024 תקפה קבוצת האקרים אנונימית המכונה "IRLeaks" את שרתי חברת "תוסן" (توسن)^[7] באיראן, המספקת שירותים דיגיטליים למספר גדול של גופים פיננסיים במדינה. הגישה לשרתי החברה אפשרה לפורצים לפרוץ למאגרים של מוסדות ובנקים ולגנוב כמות גדולה של מידע (במודל של "תקיפת שרשרת אספקה"). בין היתר דווח כי נגנב מידע מהבנקים הבאים: הבנק המרכזי של איראן, בנק "מהר" (Bank Mehr), בנק "התעשיות והמכרות" (Bank San'at va Ma'adan), בנק "הדואר של איראן" (Post Bank Iran), בנק "איראן זמין" (Bank Iran Zamin), בנק "די" (Bank Day), בנק "סרמאיה" (Bank Sarmayeh), הבנק המשותף איראן-ונצואלה (Iran-Venezuela Bi-National Bank), בנק "שהר" (Bank Shahr), בנק "אקתצאד נווין" (Bank Eghtesad-e Novin) ובנק "סאמאן" (Bank Saman).^[8] על פי הדיווחים, החברה האיראנית "תוסן" שילמה כופר וקבוצת ההאקרים אכן מחקה חלק מהמידע שחשפה בערוץ שלה,^[9] והצעד מצביע על כך שמניע הקבוצה היה, ככל הנראה, מניע כלכלי.

מתקפות הסייבר על בנק "ספ'ה" ועל חברת "תוסן" מצביעות על כך שהמערכת הפיננסית באיראן מהווה מטרה עבור קבוצות האקרים המונעות על ידי מניעים כלכליים ו/או מדיניים כאחד. משמעות חשיפת המידע הרגיש, המאוחסן במערכות אלה, ו/או השמדתו, מהווה את עיקר המוטיבציה לפורצים הפליליים, שעיקר עניינם הוא לאחוז במידע רגיש במטרה לקבל תשלום. מידע זה אינו אמור להיות בהכרח מידע אישי של לקוחות, והוא עשוי להיות גם מידע המאפשר את הרציפות התפקודית של המוסד הנתקף.

מנגד, התוקף המדינתי מונע מן הרצון לחולל נזק גדול ככל הניתן ליריבו. עבור פורצים אלו, תקיפת בנק נושאת איתה את המשמעות של פגיעה בתשתית קריטית של המדינה הנתקפת ושל ערעור תחושת הביטחון של אזרחיה על ידי פגיעה בתשתית זו. כמו כן, ישנו פוטנציאל עבור השחקן המדינתי/פוליטי להביך את השלטון על ידי חשיפת פרטיהם האישיים של גורמים המקורבים למשטר. ככל הנראה, CodeBreakers ניסתה לעשות זאת על ידי חשיפת פרטיהם של משרתי משה"מ.

אך ייתכן גם שילובם של שני הדפוסים: שחקן מדינתי/פוליטי יכול לבצע תקיפת כופר פלילית לחלוטין כדי להסוות את מטרתו האמיתית ואילו שחקן פלילי עשוי להשתמש במנופי לחץ המשמשים שחקנים מדינתיים כדי להשיג את מטרתו.

דפוסי תגובה של המשטר: הכחשה, טשטוש, הודאה חלקית – הדילמה האיראנית בניהול משברי סייבר

הרשויות באיראן הגיבו באופן לקוני לאירוע. דובר בנק ספ'ה, רצ'א המדאנש'י, הכחיש תחילה ב-29 במרץ כי מערכות הבנק נפרצו ודחה כל טיעון לדלף מידע.^[10] באותו יום, קבוצת ההאקרים חשפה את פרטיהם של כחצי מיליון לקוחות עשירים.^[11] וכך, יום לאחר מכן, אישר הבנק את דבר הפריצה במשתמע ופרסם אזהרה לציבור: "בעקבות טענות במרחב הקיברנטי בנוגע לגישה בלתי מורשית למידע של לקוחות בנק ספ'ה על ידי קבוצות האקרים, הרינו מודיעים בזאת כי כל פרסום מחדש של מידע לכאורה הקשור לחשבונות של אנשים פרטיים, ובייחוד ארגונים צבאיים, נחשב להפרה של עקרון סודיות המידע המיוחס לכוחות המזוינים ועשוי להיות כפוף להעמדה לדין משפטי".^[12] ההתייחסות לארגונים צבאיים באזהרה רשמית זו אכן מאשרת את הטענה של קבוצת "CodeBreakers" על אודות גנבת מידע על כוחות הביטחון ומדגישה את חשיבות המידע וחשיפתו כגורם שעשוי להוות, בפני עצמו, אחד מהמניעים של ההאקרים בבחירת בנק ספ'ה. בהמשך, ב-18 באפריל, הודיע מזכיר המועצה העליונה למרחב הסייבר, מחמד אמין אקאמירי, כי "מערכות הבנק לא נפרצו אלא נגנב מהן מידע".^[13]

התנהלות הרשויות באירוע זה מייצגת דפוס התנהגות מוכר של גורמים רשמיים באיראן בניהול משברים, כולל משברי סייבר: הכחשה בתור תגובה מיידית, ולאחר זמן מה (שעות עד ימים) אישור של חלק מפרטי האירוע, ולעיתים רחוקות גם אישור מלא של כל פרטי האירוע (בעיקר אם מדובר באירוע רחב היקף שאינו ניתן להסתרה ולהכלה). כל זאת, כדי לשדר שליטה במצב ולמנוע מתח וחשש בקרב הציבור, שעלולים לגרור את הציבור לצאת למחאה. בהתאם לכך, עצם האישור של גורם איראני בכיר בדבר גנבת המידע מבנק ספ'ה מהווה חיזוק משמעותי לטענות הקבוצה על כך שהצליחה להוציא מידע אותנטי משרתי הבנק. ניתן להניח בסבירות גבוהה כי הגורמים הרשמיים באיראן לא היו מאשרים את האירוע אם לא היו חוששים מחשיפת המידע והשלכותיה.

מתקפות סייבר מעמידות בפני המשטר האיראני דילמה – האם להודות בפומבי באירוע או לסלף ולהסתיר אותו לגמרי. הרשויות שואפות להקרין שליטה במתרחש ולמנוע שיח ציבורי שלילי על האירוע, מחשש ששיח זה יצית תסיסה ואולי אף מחאות. התרחיש האידיאלי מבחינת המשטר הינו הכחשה מוחלטת ומעבר לסדר היום, אולם מתקפות סייבר רבות כוללות ממד נראותי משמעותי שאינו מאפשר להכחיש את עצם קיומו של האירוע, כפי שאירע למשל במתקפות הסייבר נגד תחנות הדלק באיראן ב-2021 וב-2023 שבמהלכן הושבתו תחנות רבות בכל רחבי המדינה לזמן ממושך.

אפשרות נוספת היא לסלף את פרטי האירוע או להציג אותו כתקלה במקום כתקיפת סייבר. בדרך זו המשטר עשוי אומנם להציג את עצמו כרשלן וכושל מצד אחד, אך מצמצם את הסברה הציבורית כי איראן חדורה בידי אויביה וכי אינה מסוגלת להגן על עצמה כהלכה. אם לחדד את הדילמה במקרה הזה – המשטר מתלבט האם להציג את עצמו כגוף שאינו מסוגל לנהל מדינה לבין הצגתו כגוף שאינו מסוגל להגן על המדינה. לעיתים, כמו במקרה של תקיפת הסייבר נגד ספ'ה, הרשויות בוחרות להגיב באופן הדרגתי – הכחשה/הודעה מעורפלת, ולאחר זמן מה, מתוך אילוץ או בחירה, הודאה מלאה או חלקית בפרטי האירוע.

בכל מקרה, הנרטיב הנבחר נעטף, בדרך כלל, בתצוגות תכלית של שליטה רחבה, ככל הניתן, וזאת כדי לא להשאיר מקום לספקות בנוגע ליכולתו של המשטר להתמודד עם המשבר. המטרה החשובה ביותר מבחינת המשטר היא שימור השליטה, ופעולותיו, לפיכך, נגזרות משאיפה זו.

סיכום ומסקנות

מתקפת הסייבר על בנק ספ'ה ממחישה את הפגיעוּת של המערכת הפיננסית באיראן לאיומים דיגיטליים – בין אם מדובר בפשיעה מקוונת ובין אם במתקפה מתוחכמת בעלת מניעים מדיניים. המקרה ממחיש את הערך האסטרטגי של מידע כלכלי רגיש ככלי להפעלת לחץ על משטרים, לערעור אמון הציבור במוסדותיו ולחשיפת מוקדי כוח פגיעים, בייחוד כאשר מדובר בגורמים ביטחוניים.

דפוס התגובה של המשטר האיראני – בין הכחשה, טשטוש והודאה מאוחרת – משקף את הדילמה האסטרטגית העומדת בפניו: איזון בין הרצון לשמר תדמית של שליטה וריבונות לבין הקושי להכיל מידע שמופץ באופן בלתי נשלט במרחב הדיגיטלי.

מהמקרה עולה גם מגמה מדאיגה עבור המשטר: תשתיות כלכליות ומוסדות פיננסיים באיראן מהווים כר פורה למתקפות סייבר, בשל האפקט הציבורי, המדיני והמערכתי הפוטנציאלי הטמון בפגיעה בהם. עובדה זו מחייבת את איראן – כמו גם מדינות אחרות הרואות באיראן יריב אסטרטגי – להיערכות מתקדמת ומותאמת לאתגרי סייבר, לא רק בהיבט ההגנתי אלא גם בהבנה של ההשלכות המדיניות והתודעתיות של אירועים מסוג זה. מתקפת סייבר עשויה להיות הרבה יותר מפרצה טכנולוגית – היא עשויה להיות פעולת השפעה שמכוונת ללב הלגיטימיות של המשטר.

[1] המידע שנייר זה מבוסס עליו עדכני ל-22 במאי 2025. הערכה רבה לדניאל הירשפלד על הסיוע במחקר המקיף לנייר זה.

https://www.presstv.ir/Detail/2021/10/23/669115/Iran-CEOs-Bank-Melli-Sepah-finnace-minister

[2] עמוד הקבוצה המשוער הוא בקישור t.me/ircodebreakers. הרושם שהתקבל מעמוד זה הוא שהינו עמוד אותנטי של הקבוצה, כאשר התכנים המצוטטים ברשת, כולל תמונות, פורסמו לראשונה בעמוד זה. כמו כן, לא אותרו עמודים מתחרים נוספים. בעמוד זה פורסמה התקיפה כשבועיים לפני שהתפרסמה על ידי מקורות נוספים, אך הוא הוסר כבר באמצע מאי 2025, ימים ספורים לאחר הפקת מידע וצילומי מסך לצורך נייר זה.

[3] t.me/ircodebreakers

[4] קבוצת תקיפת סייבר פלילית מבצעת מתקפות סייבר למטרות רווח, לרוב במתווה של כופרה (Ransomware), שבהן הקבוצה מצפינה או מאיימת לחשוף מידע שהשיגה מהרשתות הנתקפות ודורשת תשלום בתמורה להשבת המידע.

[5] https://www.cyfluence-research.org/post/codebreakers-hack-sepah-bank-financial-motive-or-influence-operation

[6] https://www.cyfluence-research.org/post/codebreakers-hack-sepah-bank-financial-motive-or-influence-operation

[7] https://www.techcentral.ie/cyber-attack-on-irans-banking-system-exposes-sensitive-data-a-risk-to-stability/

[8] https://www.politico.eu/article/iran-millions-ransom-massive-cyberattack-banks/

[9] https://cyberscoop.com/iranian-it-vendor-ransom-cyberattack-banks/

[10] https://farsnews.ir/behbood/1742989804796664673

[11] t.me/ircodebreakers

[12] https://nournews.ir/fa/news/218559

[13] https://nournews.ir/fa/news/220708

סדרת הפרסומים “ניירות עמדה” מטעם המכון מתפרסמת הודות לנדיבותה של משפחת גרג רוסהנדלר

תמונה: IMAGO / Pond5 Images