הנשק החדש והמפתיע של איראן

ריגול דיגיטלי ארוך טווח

איראן משנה את כללי המשחק. לאחרונה התגלה לציבור כי בשנים האחרונות קבוצות תקיפת סייבר המזוהות עם ממשלת איראן משתמשות בפריצות ממוקדות כדי להכין, לדייק ולכוון את המתקפות הטילים שלה ושל גרורותיה. אתמול (19 בנובמבר 2025) פרסם צוות מודיעין האיומים של אמזון (Amazon Threat Intelligence) דו"ח שמתאר כיצד קבוצות אלה אוספות עבור איראן מודיעין בזמן אמת באמצעות חדירות לרשתות, במטרה לשפר את הדיוק המבצעי של תקיפות קינטיות, דהיינו תקיפות צבאיות. לפי הממצאים, איראן מטמיעה מודל פעולה חדש המכונה "הכוונת תקיפה קינטית בסיוע סייבר" (cyber enabled kinetic targeting), ובמודל הזה הריגול המקוון משמש לבניית מטרות ובהוצאתן לפועל בשטח.

קבוצות התקיפה שפועלות מטעם איראן מבצעות ריגול דיגיטלי מתמשך שמספק להן מודיעין טקטי מדויק לקראת תקיפה פיזית. בניגוד למתקפות סייבר המוכרות שמטרתן לשבש שירותים או לפגוע בתשתיות, כאן הפריצה דיגיטלית הופכת לשלב הפתיחה של מהלך צבאי. החדירה למצלמות, לשירותי ענן ולמערכות פיקוח מספקת לתוקפים מיפוי מדויק של מטרות, דפוסי תנועה ותיעוד חזותי חי שעוזר להם להחליט מתי ואיפה לתקוף. במילים אחרות, איראן אינה רואה בסייבר זירת עימות נפרדת אלא נדבך אסטרטגי ביכולת התקיפה שלה.

כשהחות'ים השתלטו על מערכת ניווט ימי

אחד המקרים הבולטים בדו"ח של אמזון מתאר מסע איסוף מודיעין שנמשך יותר משנתיים. בדצמבר 2021 חדרה קבוצת Imperial Kitten, המזוהה עם משמרות המהפכה, למערכת הזיהוי האוטומטי של כלי שיט, וגישה זו העניקה לה מידע קריטי על מסלולי ספינות, זמני תנועה ומיקומים. במהלך 2022, התוקפים הרחיבו את הפעילות שלהם לכלי שיט נוספים ואף השתלטו על מצלמות אבטחה בספינה אחת, צעד שהעניק להם תצפית חזותית חיה על הסביבה. בינואר 2024 עברו לשלב מתקדם יותר ועקבו באופן ממוקד אחר ספינה מסוימת באמצעות נתוני מערכות ניווט ימי (AIS). ימים ספורים לאחר מכן, בראשית פברואר 2024, כוחות החות'ים בתימן שיגרו טילים לעבר אותה ספינה בדיוק. אף שהתקיפה לא פגעה, התיאום בין הריגול הדיגיטלי לבין הניסיון למהלך קינטי ממחיש כיצד חדירה דיגיטלית מספקת לתוקף מודיעין שמחזק את הדיוק ואת יכולת הנזק שלו.

שימוש איראני במצלמות במבצע עם כלביא

קבוצת ההאקרים MuddyWater האיראנית, המזוהה עם משרד המודיעין והביטחון של איראן (MOIS), הקימה באמצע מאי 2025 תשתית ייעודית למבצעי סייבר התקפיים. ב-17 ביוני 2025, במהלך מבצע "עם כלביא", חדרו התוקפים לשרת שהזרים בשידור חי צילומי מצלמות אבטחה מירושלים, ותיעוד זה העניק להם מידע ויזואלי בזמן אמת על אתרים פוטנציאליים בעיר. מספר ימים לאחר מכן, ב־23 ביוני, שיגרה איראן מטח טילים נרחב לאזורים רבים, לרבות ירושלים. גורמי סייבר ביטחוניים בישראל הזהירו כי התוקפים ניצלו את מצלמות האבטחה שנפרצו כדי לאמוד את המיקומים ולכוון את הירי.

גורם רשמי לשעבר במערך הסייבר הלאומי הסביר בריאיון כי איראן ניסתה לחדור למצלמות פרטיות כדי לעקוב אחר תוצאות הפגיעות ולשפר את דיוק המטח הבא. מערך הסייבר הלאומי התריע כי מצלמות המחוברות לרשת הפכו ליעד מרכזי עבור התוקפים האיראנים. כך הפכו מצלמות שנועדו לביטחון הציבור לאמצעי סיור מבצעי שאפשר לתוקפים לשפר את יכולת הכוונת התקיפות בזירה הקינטית.

ההשלכות על ישראל

המצב הנוכחי מחייב הגדרה מחודשת של שדה הקרב המודרני. מושגים כמו "לחימה היברידית" או "מתקפות סייבר הגורמות לנזק פיזי" אינם מספקים עוד, משום שאינם משקפים את האופן שבו חדירות דיגיטליות משמשות כחוליה מכוונת בשרשרת התקיפה. הכוונת תקיפה קינטית בסיוע סייבר מייצגת מודל שבו הסייבר מפסיק להיות זירה נפרדת והופך לכלי ריגול מבצעי שמייעל את תהליך הסימון והכנת המטרות בעולם הפיזי. תשתיות אזרחיות כמו מצלמות רחוב, מערכות ניווט ושרתי מידע אינן חסינות עוד, וכל מערכת המחוברת לרשת עלולה לשמש ככלי מודיעיני בידי האויב.

האחראים על הגנת הסייבר בישראל נדרשים ליצור מערכת הגנה הוליסטית. החיבור של האויב בין הדיגיטלי לפיזי דורש היערכות חדשה: הקשחת תשתיות, שיתוף מידע בין המגזר הציבורי, המגזר הפרטי וגורמים בין לאומיים, ניהול חשיפות דיגיטליות, בניית מודלי איום שמניחים מראש תרחישים של שילוב סייבר וקינטיקה והטמעת מודיעין בזמן אמת בכל רמות קבלת ההחלטות.

קים ויקטור היא חוקרת מדיניות סייבר בינה מלאכותית בסדנת יובל נאמן.