דליפת מידע חשפה את פרטיהם של יותר מ-1,000 איש הקשורים ל"אקדמיית ראווין" (Ravin Academy) האיראנית, מוסד סייבר המוכר במערב כזרוע גיוס והכשרה לקבוצת התקיפה הממשלתית APT34 (הידועה גם כ-MuddyWater או OilRig).
הדליפה, שבוצעה על ידי גורם שלא הזדהה, פורסמה על ידי האקטיביסט הבריטי-איראני נרימן גאריב, כך לפי דיווח של אתר חדשות הסייבר Dark Reading. היא העמידה במבוכה את תשתית הסייבר האיראנית ומעלה שאלות קשות בנוגע למעורבות של אזרחים ואנשי אקדמיה מערביים לכאורה בתוכניות המודיעין של טהראן.
מתיחות גוברת בתחום הסייבר
הדליפה, שהתרחשה ב-22 באוקטובר, מגיעה על רקע מתיחות גוברת בין איראן למערב בתחום הסייבר. "אקדמיית ראווין", שנוסדה ב-2019 על ידי שני בכירים במשרד המודיעין והביטחון (MOIS) של איראן, נמצאת תחת משטר הסנקציות של ארה"ב, בריטניה והאיחוד האירופי בשל תפקידה בהכשרת והזרמת כוח אדם לפעולות סייבר ממשלתיות.
הנתונים שפורסמו כוללים שמות, מספרי טלפון, שמות משתמש בטלגרם ומספרי זהות של אנשים הקשורים לאקדמיה, וחושפים את העובדה שרבים מהם הגיעו מרקע של מדעי הטבע וההנדסה (STEM) ולאו דווקא מתחום אבטחת המידע – עדות, לכאורה, לחשיבות שמייחסת איראן למאמץ הסייבר הלאומי שלה.
3 צפייה בגלריה
חמינאי נואם בפני סטודנטים בטהרן
(צילום: KHAMENEI.IR / AFP, West Asia News Agency)/Handout via REUTERS)
התזמון של הדליפה בולט במיוחד, זאת מכיוון שהיא מתרחשת במקביל ל"אולימפיאדת הטכנולוגיה" שמארגנת האקדמיה בטהראן, אירוע שאיראן מנסה למנף כדי לבסס את מעמדה הבינלאומי בתחום הטכנולוגיה.
ראווין אישרה את הפריצה בפוסט בטלגרם, וטענה כי מדובר ב"תקרית שנועדה לפגוע במוניטין של האקדמיה, לערער את הביטחון באיראן ולפגוע במעמד האולימפיאדה הלאומית בתחום אבטחת הסייבר". טענה זו מדגישה את הנרטיב האיראני המציג את המוסד כקורבן של "תחרות בינלאומית" ולא כזרוע מודיעינית שנחשפה.
לא בטוח שכל המעורבים ידעו למה הם נכנסים
האקטיביסט גאריב, שלא חשף את דרך השגת הנתונים, טען כי "כשל אבטחה תפעולי זה מערער את האמינות הציבורית של המוסד (לא זה הישראלי, ר"ק), ובמקביל חושף אנשים שנרשמו למה שאולי חשבו שהן תוכניות מקצועיות לגיטימיות". אמירה זו מעלה סוגיה אתית חמורה: ייתכן שרבים מהשמות ברשימה כלל לא ידעו שהם לוקחים חלק במוסד הקשור לשלטון, ועלולים כעת למצוא את עצמם חשופים.
ייתכן שרבים מהשמות ברשימה כלל לא ידעו שהם לוקחים חלק במוסד הקשור לשלטון, ועלולים כעת למצוא את עצמם חשופים
השימוש במוסדות אקדמיים או "עצמאיים" לכאורה ככיסוי לפעולות מודיעין אינו ייחודי לאיראן. באופן השוואתי, גם מדינות אחרות, כולל סין, רוסיה וכמובן ארה"ב וישראל, מפעילות שיתופי פעולה נרחבים בין גופי מודיעין/ביטחון לאוניברסיטאות ומרכזי מחקר. עם זאת, במקרה של "ראווין", מערך הסנקציות ודוחות חברות הסייבר (כמו דו"ח PwC משנת 2022) משרטטים תמונה ברורה של אימון וגיוס כוח אדם תחת מעטה אקדמי כוזב.
דוגמאות לכך כוללות את הוכחות הקונספט (PoC) שפרסמה ראווין לכאורה בגישה לפרצות חמורות ב-Microsoft Exchange וב-Netlogon (כגון CVE-2020-0688 ו-CVE-2020-1472), שאותן ניצלה קבוצת ההאקרים MuddyWater בפועל זמן קצר לאחר מכן – דפוס פעולה המצביע על קשר הדוק בין הגוף התוקף והממשלה.
הקשר לאוניברסיטאות מערביות
כאמור, קיומן של תוכניות אקדמיות במימון או בשיתוף מדינות בתחום הסייבר אינו תופעה חדשה. ארה"ב, למשל, מקיימת את תוכנית ה-National Center of Academic Excellence in Cybersecurity (NCAE-C) של הסוכנות לביטחון לאומי (NSA), המכירה באוניברסיטאות ומקדמת מחקר וחינוך בתחום.
עם זאת, מטרת תוכניות מערביות אלו היא בדרך כלל חיזוק ההגנה הלאומית ופיתוח כוח אדם בתחום אבטחת המידע, תוך שמירה על הפרדה ברורה ואתיקה אקדמית. ראווין, לעומת זאת, נתפסת כמוסד שנועד לגייס "צוות אדום" התקפי עבור מדינת הטרור.
ההדלפה מדגישה את האתגרים בפניהם ניצבים מוסדות אקדמיים מערביים. גילויים על כך ש"חלק ניכר" מהרשומים לאקדמיה הם אקדמיים לגיטימיים עם קשרים לאוניברסיטאות מערביות, מעלה חשש כבד לניצול וריגול תעשייתי או אקדמי במסווה של שיתופי פעולה.
הפריצה הנוכחית היא, אפוא, לא רק כשל אבטחה איראני, אלא גם תמרור אזהרה למוסדות גלובליים לנקוט משנה זהירות בקשריהם עם גופים במדינות המוכרות כמפעילי לוחמת סייבר מתקדמת בחסות המדינה.
נראה כי על רקע ההדלפה, הקהילה הבינלאומית, ובפרט מוסדות אקדמיים וחברות טכנולוגיה, יחויבו לבחון מחדש את הקשרים הנסתרים שבין "מרכזי הכשרה" במדינות עוינות, לבין מנגנוני הריגול והתקיפה שלהן.
עם זאת יש לציין שלמרות הדליפה, לא מדובר באירוע שיקשה על איראן להמשיך ולפתח את תשתית הסייבר ההתקפית שלה. הרפובליקה האסלאמית חתומה על שלל תקיפות סייבר מוצלחות וביניהן גם כמה כאלה בישראל כגון אירוע דליפת הנתונים מחברת הביטוח שירביט, התקיפה של בתי החולים הלל יפה ואסף הרופא, ושלל פריצות לחברות קטנות ובינוניות.
