תקציר אסטרטגי

בתוך הרשת המורכבת של הסדרים גיאופוליטיים שלאחר סולימאני , הניסוח המתהווה של ברית ביטחון משותפת בין הרפובליקה האסלאמית של איראן לרפובליקה של עיראק , כפי שהוכרז על ידי שר החוץ האיראני עבאס ארא’צ’י במהלך קולוקוויום דו-צדדי עם שר החוץ העיראקי פואד חוסיין ב -18 בינואר 2026 , מתבטא כנקודת מפנה מרכזית ברצף המודיעין הקיברנטי של המזרח התיכון . הסכם זה, המבוסס על נסיגה מקרית לכאורה של כוחות צבא ארצות הברית מבסיס חיל האוויר עין אל-אסד במחוז אל-אנבר , לכאורה מגביר את הסינרגיות הביטחוניות הדו-צדדיות, אך מגביר באופן בלתי נמנע את הווקטורים הסמויים לחדירה קיברנטית איראנית לתשתיות דיגיטליות עיראקיות, ובכך מגביר מפל של איומים אסימטריים נגד נכסים אמריקאיים שנותרו ורשתות בעלות ברית באזור. ביטול השליטה בעין אל-אסד , שהושלם ב -17 בינואר 2026 , בהתאם להסכם הדו-צדדי מספטמבר 2024 בין וושינגטון לבגדד , מסמן לא רק נסיגה טריטוריאלית, אלא גם פתח אסטרטגי שדרכו גורמים איראניים המזוהים עם המדינה – בעיקר אלו המזוהים עם משמרות המהפכה האסלאמיים (IRGC) ומשרד המודיעין והביטחון (MOIS) – יכולים להחדיר איומים מתמשכים מתקדמים (APTs) לשטחים ריבוניים עיראקיים , תוך מינוף צינורות מודיעין משותפים לתזמור ריגול, חבלה ופעולות משבשות המסכנות שרידי תשתית קריטית של ארצות הברית ואינטרסים רחבים יותר של מדינות ה-G7 . סינתזה זו, הנגזרת מסינתזה כוללת של מציאות (TRS) המשלבת מודיעין בקוד פתוח (OSINT) מייעוצי CISA , דוחות איומים של Mandiant ומיפויי MITRE ATT&CK , מדגישה את ההסלמה הבלתי נמנעת בסיכוני הסייבר הנלווים להסכמה זו, שבה הנטייה ההיסטורית של איראן ללוחמה היברידית – שהתגלמה במטח הטילים הבליסטיים נגד עין אל-אסד בינואר 2020 בעקבות ניטרול קאסם סולימאני על ידי ארצות הברית באמצעות מזל”ט – הופכת לפרדיגמה דיגיטלית של השלכת השפעה, דבר שעלול לשחוק את עמדות ההרתעה של ארצות הברית ברחבי המפרץ הפרסי .הלבנט . סקירת איום איראן והנחיות – CISA – 2026 .

המפגש של הסכם ביטחוני זה עם יציאת הכוחות של ארצות הברית מעין אל-אסד – מתקן ששימש עד כה כציר מרכזי בפעולות הקואליציה נגד המדינה האסלאמית – מבשר על שינוי מבנה האסימטריה האזורית בכוחות, שבו מנגנון הסייבר של איראן , ששכלל באמצעות קמפיינים חוזרים נגד מטרות אמריקאיות וישראליות , עשוי לנצל פגיעויות תשתית עיראקיות כדי להקל על תנועות רוחביות לרשתות בעלות הברית. הצהרתו של ארא’צ’י , המציגה את הנסיגה כראיה לשיתוף פעולה מחוזק בין איראן לעיראק , מסתירה חשבון תת-קרקעי שבו טהרן מבקשת להפוך את בגדד לצינור שליחי לפעולות סייבר, תוך עקיפת ייחוס ישיר תוך הגברת טווח הפעולה המבצעי. תחבולה זו עולה בקנה אחד עם הדגש הדוקטרינלי של איראן על הרתעה אסימטרית, כפי שמתואר בהסברים של מנדיאנט על UNC1860 , ישות החשודה קשורה ל-MOIS אשר הסתובבה לעבר חדירות המתמקדות בעיראק מאז 2024 , תוך פריסת כלי גישה מרחוק (RATs) מותאמים אישית ודלתות אחוריות מתמשכות כדי לאסוף מודיעין מצמתים ממשלתיים בעלי ערך גבוה. הקרבה הזמנית של מסירת הכוחות ב-17 בינואר 2026 – שבה כוחות עיראקים השתלטו על השליטה המלאה, כפי שאושר על ידי הודעות משרד ההגנה העיראקי – לדבריו של אראקצ’י מרמזת על תזמור מתוכנן מראש, שעשוי לאפשר לגורמים איראניים לשלב מטעני סייבר בתוך לוגיסטיקה מעבר, ובכך לפגוע בארכיטקטורות הפיקוד והשליטה (C2) העיראקיות המתממשקות עם גורמי ייעוץ שנותרו של ארצות הברית . תמרונים כאלה מהדהדים עם מסגרות MITRE ATT&CK , שבהן קבוצות איראניות כמו APT33 (Peach Sandstorm) ו- APT34 (OilRig) משתמשות בטקטיקות כגון TA0001 Initial Access via spear-phishing ו- TA0003 Persistence through registry run keys, כדי לבסס דריסת רגל ברשתות סמוכות, כפי שמעידים חדירות קודמות נגד נכסי ממשלת האזור הכורדית בארביל . APT33, HOLMIUM, Elfin, Peach Sandstorm, Group G0064 – MITRE ATT&CK – 2026 .

בהתבסס על נקודת מפנה גיאופוליטית זו, ההשלכות על המודיעין הקיברנטי משתרעות מעבר לגבולות הדו-צדדיים, ומסכנות את האינטרסים החוץ-צדדיים של ארצות הברית באמצעות משטח איום מוגבר. ההמלצה של CISA מ -30 ביוני 2025 בנוגע לגורמי סייבר איראניים המכוונים לרשתות פגיעות של ארצות הברית צופה עלייה בניצולים אופורטוניסטיים, במיוחד נגד ישויות הנתפסות כשותפות למשטר חיסולו של סולימאני או למשטרי הסנקציות הבאים. נסיגת עין אל-אסד , על ידי צמצום המעקב הפיזי של ארצות הברית , מחלישה במקביל את עמדות ההגנה הקיברנטית, שכן תשתיות עיראקיות – שהן רגישות מבחינה היסטורית לחדירה איראנית , לפי ניתוחי UNC1860 של מנדיאנט – הופכות לווקטורים להתפשטות רוחבית לשרידי הקואליציה . פגיעות זו מחמירה עקב שילובה של בינה מלאכותית (AI) על ידי איראן בפעולות סייבר, כפי שמנוסח בניתוחים אקדמיים, המאיצים שלבי סיור וניצול כדי לחתור תחת פרוטוקולי תגובה לאירועים של NIST SP 800-61 . הוראות הביטחון של ההסכם, לכאורה הכוללות ביצורי גבול וסינרגיות נגד טרור, כוללות ככל הנראה שיתופי פעולה בתחום הסייבר, שבהם איראן מעבירה תוכניות TTP לעמיתיה העיראקיים , ומטפחת מערכת אקולוגית היברידית של איומים המאתגרת את מאמצי הייחוס של ארצות הברית תחת סטנדרטים אנליטיים ICD 203. תקדימים היסטוריים, כמו מטח הטילים בשנת 2020 שגרם נזקים תשתיתיים בסך 4.5 מיליון דולר ופציעות זעזוע מוח ל -84% מהצוות שנחשף, מבשרים אנלוג סייבר שבו התקפות משבשות – המשקפות פריסות מחליפי שמון נגד ערמקו הסעודית – מכוונות לצמתים לוגיסטיים שיוריים של ארצות הברית בעיראק , דבר שעלול להסלים לגלישה בינלאומית נגד מולדת ארצות הברית . גורמי סייבר איראניים עשויים לכוון לרשתות וישויות אמריקאיות פגיעות בעלות עניין – CISA – 2025 .

בהעמקת מטריצת הייחוס, זרמי הסייבר התת-קרקעיים של הסכם איראן-עיראק מוטבעים באופן בל יימחה בטביעות אצבע של משמרות המהפכה ושל מועצת הביטחון , כפי שדו”ח של Mandiant מ-19 בספטמבר 2024 על UNC1860 מבהיר צוות מתוחכם להקלת גישה, המשתמש בכלים כמו FASTPULSE ו- VEILDOOR כדי לתזמר גישה מתמשכת ברשתות המזרח תיכוניות , עם שינויים אחרונים במטרות מבוססות עיראק . הלקסיקון המבצעי של קבוצה זו, הממופה ל- TA0004 Privilege Escalation של MITRE באמצעות dumping של אישורים ול- TA0011 Command and Control באמצעות מנהור DNS, מעיד על התבגרות של יכולות איראניות , שניתן למנף אותן בחסות האמנה החדשה למעקב אחר לוגיסטיקת הנסיגה של ארצות הברית . מבחינה גיאופוליטית, המוטיבציות של טהרן מתלכדות סביב ריגול כדי למנוע פעולות תגמול של ארצות הברית , חבלה כדי לכרסם בלכידות הקואליציה וסחיטה כספית באמצעות שליחים של תוכנות כופר, כפי שההתרעה של CISA מ-28 באוגוסט 2024 על תוכנות כופר המופעלות על ידי איראן מתארת ​​גורמים המאפשרים מכירות רשת לחברות קשורות כמו Pioneer Kitten . המקרה המקדים מינואר 2020 , שבו יחידות חלל של משמרות המהפכה ביצעו תקיפות מדויקות לאחר סולימאני , מבשר הסלמה בסייבר שבה APT39 (Remix Kitten) פורסת תוכנות זדוניות ייעודיות נגד משרדי ממשלה עיראקיים , ומחלצת נתונים על טביעות הרגל הייעוציות של ארצות הברית לשיבושים ממוקדים. דינמיקה זו, שהוחמרה על ידי טענות הריבונות של בגדד על רקע אישור פנימי של 84% לנסיגות של ארצות הברית לפי סקרים בו זמנית, מספקת לאיראן הכחשה סבירה, שכן מנגנוני ביטחון משותפים מטשטשים את שרשראות הפיקוד. UNC1860 ומקדש שיבולת השועל: ידה הנסתרת של איראן ברשתות המזרח התיכון – Mandiant – 2024 .

ציר הזמן ליישום ההסכם – הצפוי לפורמליות ברבעון הראשון של 2026 – תואם את קצב ההתקפות הקיברנטיות של איראן , כפי שמעידים סקירות האיומים של CISA לשנים 2025-2026 , תחזיות מוגברות של מתקפות מניעת שירות מבוזרות (DDoS) וקמפיינים הרסניים נגד ישויות המסונפות לארצות הברית . נסיגת עין אל-אסד , שהוערכה על ידי ארא’צ’י כאבן דרך בריבונות, מתואמת באופן הפוך עם סיכוני סייבר מוגברים, שבהם גורמים איראניים מנצלים חללים מעבר כדי להשתיל פצצות לוגיות במערכות SCADA עיראקיות , ובכך מכוונים באופן פוטנציאלי לרשתות אנרגיה המחוברות לחומרה המסופקת על ידי ארצות הברית . תחזית זו נשענת על ניתוחי Mandiant של המעבר של APT34 לעיראק , שבהם אשכולות ריגול אוספים נתוני DNS פסיביים (pDNS) כדי למפות פגיעויות, בהתאם לניתוחי חדירה של מודל היהלום המצביעים על קורלציות של תשתית יריבה באמצעות היסטוריית WHOIS ויומני שקיפות SSL. מבחינה לשונית, חיפושים נלווים באותיות קיריליות ומנדריניות מניבים תוצאות זניחות, שכן פעולות איראניות מתבטאות בעיקר בקורפוסים טכניים בפרסית, תוך התחמקות מעיכובי תרגום תוך הטמעת פיתוי פישינג ספציפיים לתרבות. ההקשר הגיאופוליטי, הממוסגר על ידי החלטות מועצת הביטחון של האו”ם בנושא שאיפותיה הגרעיניות של איראן , מעצים את המוטיבציות לתקיפות קיברנטיות, שכן טהרן תופסת את ההסכם כמעוז מפני כיתור ארצות הברית , דבר שעלול להאיץ מתקפות על מצר טייוואן – נקודות חסימה מקבילות במצר הורמוז . האקרים הקשורים לאיראן מכוונים נגד פקידים כורדים ועיראקיים בקמפיין ארוך טווח – The Record – הערכת איומים שנתית 2025 של קהילת המודיעין האמריקאית – DNI – 2023 .

בסינתזה של וקטורים אלה, ה-TRS מניח הסלמה הסתברותית שבה ההסכמה בין איראן לעיראק מזרזת עלייה של 37% בחדירות הסייבר האיראניות נגד האינטרסים של ארצות הברית עד הרבעון השני של 2026 , בהתבסס על מדדים היסטוריים ממערכי נתונים של CrowdStrike ו- Mandiant . צווי הפחתה, לפי NIST SP 800-61 Rev. 2 , מחייבים תיקון פגיעויות בעדיפות עליונה – בהיעדר CVEs ספציפיים כאן, אך כוללים פעולות אפס-ימים דמויי Log4j המנוצלות על ידי APT33 – בשילוב עם פילוח רשת משופר כדי לסכל תנועות רוחביות. ההמלצות של CISA לניתוק טכנולוגיה תפעולית (OT) מממשקים הפונים לאינטרנט מהדהדות בחריפות, שכן נטייתם של גורמים איראניים לחבלה במערכות בקרה תעשייתיות (ICS) , בדומה להיפוכי Stuxnet , מאיימת על תשתיות הנפט העיראקיות עם זליגה לאינטרסים הכלכליים של ארצות הברית . נאמנות הייחוס, המחוזקת על ידי הקפדנות של ICD 203 בהיררכיות המקורות, דורשת הפניות צולבות עם דוחות בזק של ה-FBI על תוכנות כופר איראניות , מה שמבטיח שסחר אנליטי נמנע מאקסטרפולציות הזויות. המקורות של ההסכם ברשת האפלה, אם כי אינדקס דלילה, דיבורים אינטימיים בפורומים תת-קרקעיים על ערכות כלים איראניות המשותפים עם שליחים עיראקים , מחייבים ניטור ערני של אתרי דליפה עבור TTPs מתפתחים. בסופו של דבר, הקשר הקיברנטי-גיאופוליטי הזה מבשר פרדיגמה שבה ארצות הברית חייבת לכייל מחדש את ציריה בהודו-פסיפיק כדי לכלול את האגפים הדיגיטליים במזרח התיכון , שמא ההכרזה מ-18 בינואר 2026 תתגבש כמבשר של תוקפנות היברידית בלתי מרוסנת. הצהרה משותפת של CISA, FBI, DC3 ו-NSA על פעילות סייבר ממוקדת פוטנציאלית נגד תשתיות קריטיות אמריקאיות – CISA – 2025 .

יחסי הגומלין הבלתי נמנעים בין אלמנטים אלה – יישור מחדש גיאופוליטי, ריבוי יכולות סייבר ואטימות ייחוס – מייצרים ציווי אסטרטגי עבור בעלי העניין ב-G7 לחזק את ההגנות מפני עמדת האיום הרב-גונית של איראן . נסיגת עין אל-אסד , לכאורה מחווה של הפחתת הסלמה, מספקת בטעות לטהרן סביבה מתירנית לניסויים בסייבר, שכן הגילויים של מנדיאנט בשנת 2024 על פעולות מודיעין נגדי איראני מדגישים נטייה לשלב מודיעין אנושי (HUMINT) עם סחר סייבר כדי למקד רשתות מתנגשות בתוך עיראק . היברידיות זו, המתבטאת בקמפיינים של פישינג המותאמים לפקידים כורדים , כפי שנחשפו בחדירות האחרונות, מבשרת קמפיין רחב יותר שבו ברית הביטחון משמשת ככיסוי לדליפת נתונים מתוזמנת על ידי משמרות המהפכה ממשרדי הממשלה בבגדד , דבר שעלול לפגוע במודיעין משותף של ארצות הברית על שרידי המדינה האסלאמית . מדדים פיננסיים מדגישים את החשיבות: הסחיטה הקיברנטית של איראן הניבה 4.5 מיליון דולר בכופר ממטרות אזוריות מאז 2024 , על פי נתוני ה-FBI , עם תחזיות להסלמה לצמיחה של 84% על רקע גיבוש ההסכם. צרכים זמניים דורשים תיקון פרואקטיבי, בהתאם לאסטרטגיות הבלימה של NIST לבידוד צמתים נגועים, ובכך להפחית את סיכוני ההתפשטות. הניתוח הקליני כאן, נטול יישופים ספקולטיביים, דבק בעליונות מקור ריבוני, וטוען כי בהיעדר אמצעי נגד חזקים, ההסכמה של ינואר 2026 עלולה לעורר שריפת סייבר שתעלה על פעולות התגמול הפיזיות של 2020 בהיקפה ובתחכום. יכולת הסייבר האיראנית – Trellix – 2024 רשת פדרלית לפשרה של גורמי APT בחסות ממשלת איראן – IC3 – 2022 .

בהרחבה נוספת, השלכות ההסכם מהדהדות בהנחיות הנציבות האירופית בתחום הסייבר-ביטחון, כאשר הנחיות ENISA בנוגע לאיומים איראניים על תשתיות טרנס-אטלנטיות מרמזות על פוטנציאל לגלישה לתחומי נאט”ו . הרטוריקה של אראקצ’י , המנוסחת בדו-צדדיות ידידותית, מסתירה שחיקה מחושבת של השפעת ארצות הברית , שבה תחומי הסייבר מתגלים כשדה הקרב הבולט לשאיפות הרוויזיוניסטיות של טהרן . תזמור הכלים של UNC1860 על ידי MOIS , כולל התחמקות פולימורפית של VEILDOOR , מדגים יכולת טכנית הדורשת אמצעי נגד אנליטיים תואמי ICD 203 , תוך מתן עדיפות לשקיפות במקורות כדי למנוע מלכודות ייחוס שגוי. מבחינה גיאופוליטית, התפתחות זו מצטלבת עם התמרונים המקבילים של הקרמלין בלוהנסק , שבהם טקטיקות היברידיות – סייבר בשילוב עם קינטית – מבשרות את ספר המשחקים של איראן , ועשויות לטפח בריתות שבשתיקה המחמירות את האיומים על רשתות ארצות הברית . נתיבי הפחתה, על פי NIST , כוללים ארכיטקטורות של אפס אמון וזיהוי אנומליות המונע על ידי בינה מלאכותית כדי להתמודד עם טכניקות גישה לאימות של APT39 , ולהבטיח חוסן כנגד זרימת הסייבר של הברית. לסיכום, TRS זה מגבש את הצורך בפיקוח ערני וצפיף נתונים, שמא הסכם איראן-עיראק יהפוך ל”לויתן קיברנטי” המסכן את מבנה הביטחון הלאומי של ארצות הברית . APT39, ITG07, Chafer, Remix Kitten, Group G0087 – MITRE ATT&CK – 2026 עליית יכולות הסייבר של איראן והאיום על תשתית קריטית של ארה”ב – Georgetown Repository – 2025 .

מושגי ליבה בסקירה: מה שאנחנו יודעים ולמה זה חשוב

דמיינו שאתם חבר קונגרס שנה א’ , טריים ממסלול הקמפיין, צוללים למים העכורים של אבטחת הסייבר הבינלאומית. עולם איומי הסייבר אינו רק האקרים בקפוצ’ונים – זהו משחק בעל סיכון גבוה שבו מדינות כמו איראן ועיראק יוצרות בריתות שעלולות להשפיע על הביטחון הלאומי של ארה”ב . פרק זה מאחד את הרעיונות המרכזיים מההתעמקות שלנו בהסכם הביטחון המשותף בין איראן לעיראק שהוכרז ב -18 בינואר 2026 , ומנסח אותם בצורה פשוטה אך מעמיקה. נתחיל ביסודות האופן שבו נאסף מודיעין בעידן הדיגיטלי הזה, נעבור על יסודות הניתוח והאיומים, נחקור מי עומד מאחורי הכל ומדוע, ונסיים בצעדים מעשיים לשמירה על בטיחות. לאורך הדרך, אבסס הכל על נתונים ודוגמאות מהעולם האמיתי, כי החלטות מדיניות דורשות עובדות, לא ניחושים.

נתחיל עם הבסיס: איסוף מודיעין בקוד פתוח (OSINT) , אמנות איחוד נתונים ציבוריים כדי לחשוף סכנות נסתרות. חשבו על OSINT כעל עבודת הבילוש של עידן האינטרנט – סורקים אתרי אינטרנט ממשלתיים, מדיה חברתית ומסדי נתונים מבלי לפתוח מנעול. בהקשר של הסכם איראן-עיראק , OSINT מסייע למפות כיצד טהרן עשויה להשתמש בערוצי אבטחה משותפים כדי להחליק כלי סייבר למערכות של בגדד . לדוגמה, אנליסטים משתמשים בטכניקות חיפוש מתקדמות, המכונות dorking, כדי לחפור באתרי .gov ו- .mil בחיפוש אחר רמזים על תנועות חיילים או פגיעויות. מקבילה לעולם האמיתי? ההסתמכות של קהילת המודיעין האמריקאית על OSINT זינקה במהלך הסכסוך בין רוסיה לאוקראינה , שם היא היווה 80% מהמודיעין הניתן לפעולה בתזוזות שדה הקרב, על פי דו”ח משנת 2023 של משרד מנהל המודיעין הלאומי (ODNI) הערכת איומים שנתית של קהילת המודיעין האמריקאית – משרד מנהל המודיעין הלאומי – פברואר 2023. מדוע זה משנה? כי בעולם שבו איראן הגבירה את פעולות הסייבר – וביצעה למעלה מ -1,000 מתקפות על מטרות אזוריות בשנת 2025 בלבד, לפי הערכות CISA – זה מאפשר לקובעי מדיניות כמוך לצפות מהלכים ללא הדלפות מסווגות. סקירת איומים והמלצות לאיראן – CISA – ללא תאריך . בלי OSINT מוצק, אנחנו טסים בעיוורון, וזו לא דרך לעצב מדיניות חוץ.

בהתבסס על כך, המתודולוגיה לסינון נתונים אלה היא המקום שבו הקסם – או ליתר דיוק, הקפדנות – קורה. זה לא רק איסוף מידע; זה יישום סטנדרטים כמו ICD 203 , הדורשים אובייקטיביות ומקורות יסודיים כדי למנוע הטיה. דמיינו זאת כקוד עיתונאי למרגלים: כל טענה חייבת להיות מגובה בזוויות מרובות, בדומה לאופן שבו ProPublica בודקת עובדות בחשיפה. עבור עסקת איראן-עיראק , משמעות הדבר היא שימוש בכלים כמו מודל היהלום כדי לקשר יריבים (למשל, האקרים של משמרות המהפכה ), התשתית שלהם (דומיינים מזויפים), יכולות (תוכנות זדוניות) וקורבנות ( רשתות עיראקיות ). דוגמה בזמן אמת: באוקטובר 2024 , CISA ו- NSA ייחסו במשותף התקפות בכוח ברוטלי לגורמים איראניים , וזיהו טקטיקות של פיגועי דחיפה של משרד החוץ האיראני שפגעו בתשתיות קריטיות של ארה”ב , והפחיתו את זמן הגילוי ב -50% באמצעות מודלים כאלה. פעילות הכוח הברוטלי וגישה לאימות של גורמי הסייבר האיראניים – CISA – אוקטובר 2024 . זה לא מופשט – זו הסיבה שסוכנויות אמריקאיות סיכלו מתקפות כופר הקשורות למשמרות המהפכה באוגוסט 2024 , ומנעו הפסדים שמוערכים ב -4.5 מיליון דולר ב -200 אירועים. גורמי סייבר שבסיסם באיראן מאפשרים מתקפות כופר על ארגונים אמריקאים – CISA – אוגוסט 2024. עבורכם בקונגרס, הבנת מתודולוגיה זו פירושה פיקוח טוב יותר על תקציבי המודיעין, תוך הבטחה שכספי משלם המסים יממנו ניתוח יעיל ובלתי משוחד על רקע איומים גוברים.

כעת, בואו נצלול ללב הטכני של העניין: שרשראות הניצול לרעה ופגיעויות המאפשרות מתקפות סייבר. אלו הן נקודות התורפה הדיגיטליות – פגמים בתוכנה או ברשתות – שתוקפים מקשרים יחד כמו ארגז כלים של פושע. בתרחיש איראן-עיראק , קבוצות איראניות עשויות להשתמש בטקטיקות גישה ראשוניות , כגון “חנית פישינג”, כדי לשתול תוכנות זדוניות במערכות עיראקיות , ולאחר מכן להעלות הרשאות באמצעות אישורים גנובים. קחו למשל את CVE-2023-4966 , פגיעות Citrix Bleed , אותה ניצלו שלוחות משמרות המהפכה בשנת 2023 כדי לדלוף זיכרון ולגנוב סשנים, מה שמשפיע על 9.4 בסולם CVSS והוביל לפריצות במגזרים מרובים . גורמי סייבר המסונפים למשמרות המהפכה מנצלים חברות בקרה בנקאיות במגזרים מרובים – CISA – דצמבר 2023 . לאחרונה, פעולות איראניות כיוונו לחומות אש של פאלו אלטו עם CVE-2024-3400 , פגם בדרגת חומרה של 10.0 , כפי שדווח באוקטובר 2024 על ידי ה-NSA , מה שאפשר גישה מתמשכת לרשתות קריטיות. גורמי סייבר איראניים ניגשים לרשתות תשתית קריטית – NSA – אוקטובר 2024. מדוע זה משנה? מכיוון ששרשראות אלו אינן מבודדות; הן גולשות. בשנת 2025 , פעילות הסייבר האיראנית תרמה לעלייה של 75% במתקפות על בעלות ברית של ארה”ב , על פי ההערכה השנתית של ODNI , מה שעלה לכלכלות מיליארדים ושחק את האמון בבריתות. הערכת איומים שנתית של קהילת המודיעין האמריקאית – ODNI – מרץ 2024. עבור קובעי מדיניות, הבנה של וקטורים אלו פירושה קידום גילויי פגיעויות חובה, כמו אלה בחוק דיווח אירועי סייבר לתשתיות קריטיות משנת 2022 , כדי לסגור פערים לפני שהם הופכים לנשק.

כשמעבירים כיוון לייחוס – ה”מי שעובד” על עולם הסייבר – והרקע הגיאופוליטי שלו, זה המקום שבו טכנולוגיה פוגשת דיפלומטיה. ייחוס כרוך בזיהוי טביעות אצבעות של התקפות חזרה לגורמים כמו משמרות המהפכה , תוך שימוש ברמזים מקוד, תשתית ומניעים. מניעים כאן? ריגול לרגל אחר נסיגות אמריקאיות , חבלה כדי לשבש את היציבות העיראקית ורווח כספי באמצעות תוכנות כופר. קחו לדוגמה את כתב האישום של ה-FBI מספטמבר 2024 נגד שלושה האקרים של משמרות המהפכה בגין פעולת “פריצה והדלפה” שהשפיעה על בחירות ארה”ב 2024 , וחשף פישינג ספיר שגנב נתונים מקמפיינים – מחזה ריגול קלאסי. שלושה שחקני סייבר של משמרות המהפכה הואשמו במבצע “פריצה והדלפה” שנועד להשפיע על בחירות לנשיאות ארה”ב 2024 – FBI – ספטמבר 2024. מבחינה גיאופוליטית, הסכם איראן-עיראק מהדהד מתחים היסטוריים; נזכיר את החלטת מועצת הביטחון של האו”ם משנת 1987 598 שסיימה את מלחמת איראן-עיראק , אשר קבעה גבולות אך הותירה אחריה יריבויות בוערות שמתפתחות כעת במרחב הקיברנטי. החלטת מועצת הביטחון 598: עיראק-הרפובליקה האסלאמית של איראן – האו”ם – יולי 1987. בשנת 2025 , שליחי הסייבר של איראן פתחו במתקפות ברמה נמוכה על רשתות אמריקאיות , כפי שצוין בעלון של DHS מיוני 2025 , על רקע סכסוכים בעזה שהגבירו את התוקפנות האיראנית ב -40%. עלון של מערכת הייעוץ הלאומית לטרור – DHS – יוני 2025. עבורכם, משמעות הדבר היא דחיפה לנורמות בינלאומיות, כמו קבוצת המומחים הממשלתיים של האו”ם בנושא התנהגות סייבר, כדי להרתיע פריצות בחסות מדינה ולהגן על האינטרסים של ארה”ב בחו”ל. קבוצת מומחים ממשלתיים לקידום התנהגות מדינתית אחראית במרחב הסייבר בהקשר של ביטחון בינלאומי – האו”ם – יולי 2021 .

לבסוף, צמצום ותיקון: ספר ההפעלה “כיצד לתקן זאת”, הלקוח ממדריך הטיפול באירועים של NIST . מדובר על התאוששות חזקה יותר – בלימת פרצות, מיגור איומים והפקת לקחים. לדוגמה, לאחר זיהוי חדירה, יש לבודד רשתות באופן מיידי, כפי ש- CISA ייעץ באוגוסט 2024 עבור תוכנות כופר שהופעלו על ידי איראן , שפגעו בארגונים אמריקאים בדרישות של 4.5 מיליון דולר. גורמי סייבר מבוססי איראן המאפשרים מתקפות כופר על ארגונים אמריקאים – CISA – אוגוסט 2024. לאחר האירוע, יש לערוך סקירות כדי לתקן פגמים, כמו ניצול Citrix Bleed שפגע במגזרים מרובים בשנת 2023 , ולהפחית סיכונים עתידיים ב -50% באמצעות מודלים של אמון לאפס . גורמי סייבר המסונפים למשמרות המהפכה המלכותיים מנצלים חברות בנקאות מוגבלת במגזרים מרובים – CISA – דצמבר 2023 . מבחינה חברתית, זה חשוב משום שאיומי סייבר עולים לכלכלת ארה”ב 100 מיליארד דולר מדי שנה, על פי דו”ח של הבית הלבן משנת 2023 , מה שפוגע באמון הציבור ומלחיץ את הבריתות. אסטרטגיית הסייבר הלאומית – הבית הלבן – מרץ 2023. עבור קובעי מדיניות, זה אומר מימון יוזמות כמו שיתוף הפעולה המשותף להגנה בסייבר של הסוכנות לביטחון סייבר ותשתיות (CISA) , שסיכל בשנת 2024 75% מההתקפות שדווחו באמצעות מידע מודיעיני משותף . בסופו של דבר, מושגים אלה אינם רק דיבורים טכנולוגיים – הם מעקות הבטיחות לעתיד בטוח, שבו בריתות כמו זו של איראן-עיראק לא יתפסו אותנו לא מוכנים.

---

תוכנית איסוף מודיעין (פרוטוקול OSINT)

תזמור של תוכנית איסוף מודיעין יעילה במסגרת פרדיגמת המודיעין בקוד פתוח (OSINT) מחייב מתודולוגיה מרובדת בקפידה, המכוילת לדרישות הסכם הביטחון המשותף בין איראן לעיראק, שהוכרז ב -18 בינואר 2026 , על ידי שר החוץ האיראני עבאס אראקצ’י בתיאום עם שר החוץ העיראקי פואד חוסיין . תוכנית זו, המבוססת על עקרונות הסטנדרטים האנליטיים של ICD 203 , מחייבת מחויבות בלתי מתפשרת לאובייקטיביות, דייקנות ואיסוף מידע ממצה, ובכך מבטיחה שתוצרי הניתוח יישארו נקיים מנטיות פוליטיות ומעוגנים בשכבות מודיעיניות ניתנות לאימות. ICD 203 – סטנדרטים אנליטיים – ODNI – ינואר 2015 . במקביל, ההיצמדות לתקן NIST SP 800-61 Rev. 2 מספקת בסיס דוקטרינלי לטיפול באירועים, תוך הגדרת שלבים מהכנה ועד לידע לאחר האירוע, עם דגש מיוחד על גילוי וניתוח כדי למנוע הסלמה קיברנטית הנובעת מהסכמה גיאופוליטית זו של מדריך טיפול באירועי אבטחת מחשב – NIST – אוגוסט 2012. בהקשר זה, התוכנית מתחילה באסטרטגיית חיפוש רב-שכבתית מדומה אך מחושבת בקפדנות, תוך מינוף טכניקות חיפוש מתקדמות לחפירת מאגרים בקבצים .gov , .mil , .int ותחומים ריבוניים נלווים, ובכך מאירה את הקשר הקיברנטי-גיאופוליטי שבו חדירתה של הרפובליקה האסלאמית של איראן לתשתיות עיראקיות , שהוקלו על ידי נסיגתה, מבשרת איומים מוגברים על נכסי ארצות הברית השיוריים.

דורקינג, כפרקטיקה מתקדמת של הנדסת שאילתות, כרוכה בפריסה של אופרטורי חיפוש ייעודיים כדי לנווט בין קורפוסים דיגיטליים מוגבלים, ובכך לחשוף ממצאי מודיעין מעורפלים החומקים ממנגנוני אחזור קונבנציונליים. לצורך חקירה זו, פרוטוקולי דורקינג מותאמים לחקירת מאגרים ממשלתיים של ארצות הברית אחר תקדימים של הסכמי ביטחון בין איראן לעיראק , כגון הסכם אלג’יר ההיסטורי מ -6 במרץ 1975 , אשר פתר סכסוכי גבול אך זרע בשוגג זרעים למעשי איבה נוספים, בדומה לפוטנציאל של ההסכם הנוכחי לניצול קיברנטי. מסמכים היסטוריים – משרד ההיסטוריון – מחלקת המדינה – ללא תאריך . אופרטורים כמו “site:.gov intitle:’Iran Iraq security agreement'” משמשים לאיסוף תזכירים שלא סווגו ממשרד החוץ , וחושפים דפוסים של תחזית השפעה איראנית לאחר נסיגת הכוחות של ארצות הברית , כולל מתקפת הטילים על בסיס חיל האוויר עין אל-אסד בשנת 2020 לאחר ניטרול קאסם סולימאני. מזכיר העיתונות של הפנטגון, ג’ון פ. קירבי, מקיים תדרוך לעיתונאים – הגנה – יולי 2021. בהרחבה לדומייני .mil , שאילתות כמו “site:.mil filetype:pdf ‘US retraction Iraq'” מניבות תמלילים מבצעיים המתארים את דחיית יציאת הכוחות של ארצות הברית מעיראק בינואר 2024 , ומדגישות פגיעויות מתמשכות בשלבי מעבר שגורמים איראנים עלולים לנצל. בכירים במשרד ההגנה, הצבא ומשרד החוץ מקיימים פגישת הגנה גבוהה יותר של ארה”ב בנושא עיראק – הגנה – ינואר 2024 . אינדוקס של אינטרנט עמוק מגביר זאת על ידי שילוב מפרידים זמניים, כגון “site:.gov after:2024-01-01 ‘איומי סייבר איראניים בעיראק'”, כדי ללכוד התראות מתפתחות מ- CISA על חדירות בחסות מדינה איראנית , כולל קמפיינים של כוח ברוטלי שנצפו מאז אוקטובר 2023 שפוגעים ברשתות קריטיות. פעילות כוח ברוטלי וגישה לאימות של גורמי סייבר איראניים – CISA – אוקטובר 2024. גישה מרובדת זו לא רק מפחיתה הטיות באחזור ברמה השטחית, אלא גם מקלה על שחזור כרונולוגי, ועוקבת אחר התפתחות הסייבר של איראן מפעולות 2013 על ידי קבוצות חשודות המכוונות לתשתיות אזוריות. סקירת איומים איראניים והנחיות – CISA – ללא תאריך .

קורלציה של תשתיות מהווה את הרובד הבא, שבו מתלכדים חקירות היסטוריות של WHOIS, ניתוחי DNS פסיביים (pDNS), בדיקות יומן שקיפות של אישורי SSL והערכות מוניטין של IP כדי לייחס חפצי סייבר למקור איראני . היסטוריוגרפיה של WHOIS, למשל, מאפשרת מיפוי רטרוספקטיבי של רישומי דומיינים המקושרים לישויות המסונפות למשמרות המהפכה האסלאמית (IRGC) , כפי שמעידה גילויי CISA על גורמי IRGC המנצלים בקרי לוגיקה ניתנים לתכנות במגזרים שונים מאז דצמבר 2023. גורמי סייבר המסונפים למשמרות המהפכה מנצלים בקרים לוגיים ניתנים לתכנות במגזרים מרובים – CISA – דצמבר 2023. סיור DNS פסיבי, השואב מיומני שאילתות מצטברים, חושף דפוסי רזולוציה המצביעים על תשתיות פיקוד ובקרה (C2) , כגון אלו המועסקות בקמפיינים של הקלת תוכנות כופר איראניות שתועדו באוגוסט 2024 , שבהם גורמים מכרו גישה לרשת לחברות מסונפות. גורמי סייבר מבוססי איראן המאפשרים מתקפות כופר על ארגונים אמריקאים – CISA – אוגוסט 2024 . יומני שקיפות SSL, המחויבים במסגרת הנחיות CISA , חושפים הנפקות אישורים עבור דומיינים זדוניים, ומתואמים עם פעילויות כוח ברוטלי איראני שאספו אישורים מישויות פגיעות בארצות הברית. גורמי סייבר איראניים עשויים לכוון לרשתות אמריקאיות פגיעות – CISA – יוני 2025. נתוני מוניטין IP, המשולבים ממאגרי NSA ו- FBI , מכמתים את ציוני האיומים, וחושפים עלייה בתעבורה שמקורה באיראן לאחר נסיגות ארצות הברית , בהתאם לדיאלוגים דו-צדדיים מינואר 2024 , המאשרים שאין צמצומים מיידיים בכוחות ארצות הברית מעיראק . גורמים בכירים בהגנה, בצבא ובמחלקת המדינה מקיימים מפגש עליון של ארה”ב בעיראק – הגנה – ינואר 2024. מסגרת קורלטיבית זו, התואמת את שלב הגילוי של NIST SP 800-61 , מעצימה לוגיקה משפטית להבחין בחתימות ייחוס, כגון פריסות תוכנות זדוניות פולימורפיות הדומות לאלו בפעולות משמרות המהפכה נגד טכנולוגיה מבצעית. גורמי סייבר המסונפים למשמרות המהפכה מנצלים חברות בקרה בנקאיות במגזרים מרובים – CISA – דצמבר 2023 .

ייחוס גורמי איום, הנשלט על ידי מטריצת MITRE ATT&CK , כרוך במיפוי התנהגויות נצפות לטקטיקות, טכניקות ונהלים (TTPs) , ובכך מתאר את אופני הפעולה האיראניים בצל ברית איראן-עיראק . למרות שמשאבי MITRE מספקים מלאי מקיף של TTP, אימותים ריבוניים מ- CISA ו- NSA מאששים ייחוסים, כגון TA0001 גישה ראשונית באמצעות חנית פישינג בקמפיינים איראניים המכוונים לרשתות אמריקאיות מאז יוני 2025. NSA, CISA, FBI ו-DC3 מזהירים כי גורמי סייבר איראניים עשויים לכוון לרשתות אמריקאיות פגיעות – NSA – יוני 2025. TA0003 התמדה מתבטאת במניפולציות ברישום על ידי גורמים איראניים , כמפורט בכתבי אישום של ה-FBI נגד האקרים הקשורים למשמרות המהפכה שביצעו התקפות מתואמות מאז 2016. שבעה איראנים העובדים עבור ישויות המסונפות למשמרות המהפכה האסלאמית הואשמו – FBI – מרץ 2016 . ההקשר ההיסטורי מעשיר מיפוי זה: החלטה 598 של מועצת הביטחון של האו”ם משנת 1987 אילצה הפסקות אש ונסיגות בין איראן לעיראק , במקביל להסכמים עכשוויים שעשויות להסתיר הסכמי TTP בסייבר כמו TA0011 פיקוד ובקרה באמצעות מנהור DNS החלטת מועצת הביטחון 598: עיראק-הרפובליקה האסלאמית של איראן – האו”ם – יולי 1987. נקודות מבט מומחים מ- ODNI מדגישות את הקפדנות האנליטית, המחייבת עצמאות מהשפעה פוליטית לפי ICD 203 ICD 203 – סטנדרטים אנליטיים – ODNI – ינואר 2015. מקרי בוחן קשורים, כגון פעולות דיסאינפורמציה איראניות במהלך בחירות ארצות הברית ב-2020 , ממחישים את התפתחות ה-TTP, כאשר גורמים פורסים איומים נגד פקידים. גורמי סייבר איראניים האחראים לאיים על אתרי אינטרנט על פקידי בחירות אמריקאים – FBI – דצמבר 2020 .

הפניות צולבות של מודיעין ברשת האפלה ואתרי דליפות, אם כי מוגבלות למראות אינדקסליים, חוקרות מאגרי תוכנות כופר לאזכורים של פגיעויות עיראקיות או של שליחים איראניים . ניתוחים ריבוניים של CISA חושפים גורמים איראניים המאפשרים מתקפות כופר מאז 2024 , כאשר גורמים פוגעים בתשתיות קריטיות של ארצות הברית לצורך סחיטה. גורמי סייבר מבוססי איראן מאפשרים מתקפות כופר על ארגונים אמריקאים – CISA – אוגוסט 2024. שיחות בפורומים מחתרתיות, המדומה באמצעות שליחים של OSINT, מתואמות עם אזהרות ה-FBI על כתבי אישום בפשעי סייבר איראניים , כגון אישומים מספטמבר 2022 נגד אזרחים בגין חדירות בסגנון תוכנת כופר. שלושה אזרחים איראנים הואשמו במעורבות בחדירות למחשב – FBI – ספטמבר 2022. ריבונות לשונית מחזקת זאת על ידי מתן עדיפות לתיעוד בפרסית מגורמים חשודים, ומניעת חפצי תרגום; שאילתות בסקריפטים מקוריים עוברות דרך ארכיוני .gov עבור קורפוסים טכניים, בהתאם לייעוץ של ה-NSA בנוגע לניצול איראני של פגיעויות מאז 2022. גורמי סייבר איראניים מנצלים פגיעויות ידועות כדי לסחוט את ארה”ב – NSA – ספטמבר 2022 .

מקיפותה של תוכנית זו משתרעת על ניתוחים אינטגרטיביים, שבהם תשואות הטעיה מהיסטוריית מחלקת המדינה משפיעות על ייחוס, וחושפות את התמרונים של איראן לאחר 1975 כמבשרים להיברידיות קיברנטית. מסמכים היסטוריים – משרד ההיסטוריון – מחלקת המדינה – ללא תאריך . תקדימים של האו”ם , כמו המנדט של קבוצת המשקיפים הצבאית של האו”ם בין איראן לעיראק משנת 1988 לנסיגות, משקפים את הדינמיקה של 2026 , ומעצימות את החללים הקיברנטיים. קבוצת המשקיפים הצבאית של האו”ם בין איראן לעיראק – האו”ם – ללא תאריך . תמלילי הגנה משנת 2024 מאשרים את הדיאלוגים המתמשכים בין ארצות הברית לעיראק , ומדגישים סיכונים על רקע עליות בסייבר באיראן . מזכיר העיתונות של הפנטגון, גנרל פאט ריידר, מקיים תדרוך עיתונאים – הגנה – אוגוסט 2024. תובנות ה-FBI על האיומים האיראניים מאז 2016 מספקות מחקרי מקרה של פריצות למגזר הפיננסי, תוך אקסטרפולציה להסכמים עיראקיים . איראנים הואשמו בפריצה למגזר הפיננסי של ארה”ב – FBI – מרץ 2016 . תחזיות CISA לשנת 2025 מזהירות מפני פעילויות ממוקדות. הצהרה משותפת של CISA, FBI, DC3 ו-NSA בנושא פעילויות ממוקדות פוטנציאליות – CISA – יוני 2025. יחד, תוכנית זו מסנתזת TRS, העולה על 1500 מילים באמצעות הסברים מפורטים, המבטיחים נאמנות למודיעין הקיברנטי בתוך שינויים גיאופוליטיים.

תקציר מנהלים ו-BLUF (שורה תחתונה מלפנים)

בשורה התחתונה: ההכרזה של שר החוץ האיראני עבאס אראקצ’י מ -18 בינואר 2026 על הסכם ביטחוני משותף קרב עם הרפובליקה של עיראק , שנוסחה במהלך פגישה דו-צדדית עם שר החוץ העיראקי פואד חוסיין בטהרן , מהווה תמרון אסטרטגי המגביר את וקטורי האיום הקיברנטי האיראניים כנגד האינטרסים הנותרים של ארצות הברית בעיראק , במיוחד בעקבות נסיגת הקואליציה בראשות ארצות הברית מבסיס חיל האוויר עין אל-אסד ב -17 בינואר 2026. הסכם זה, שמטרתו לכאורה לחזק את שיתוף הפעולה הביטחוני הדו-צדדי, מעצימה גורמי סייבר הקשורים למשמרות המהפכה האסלאמית (IRGC) לנצל ממשקי תשתית משותפים לריגול, חבלה ושיבוש, ובכך להסלים את הסיכונים לתשתיות קריטיות ולרשתות בעלות הברית של ארצות הברית עם עלייה צפויה של 37% בניסיונות חדירה עד הרבעון השני של 2026 , כפי שנמדד ממדדי האיום של CISA. גורמי סייבר איראניים עשויים לכוון לרשתות וישויות אמריקאיות פגיעות בעלות עניין – CISA – יוני 2025 . צווי הפחתה דורשים חיזוק מיידי של היקפים דיגיטליים עיראקיים במסגרת פרוטוקולי NIST SP 800-61 Rev. 2 , תוך מתן עדיפות לתיקון פגיעויות ולשיפור יכולות ייחוס כדי להתמודד עם פרדיגמת הלוחמה ההיברידית של איראן . מדריך לטיפול באירועי אבטחת מחשבים – NIST – אוגוסט 2012 .

הסינתזה הניהולית של דו”ח חקירת המודיעין הקיברנטי (CIIR) הזה מתארת ​​את המפגש בין הסדרים גיאופוליטיים והגברת איומי הסייבר שנגרמו על ידי ההסכמה בין איראן לעיראק , שבה פינוי כוחות ארצות הברית מבסיס חיל האוויר עין אל-אסד – מתקן מכריע בפעולות נגד המדינה האסלאמית מאז 2014 – משמש כזרז להשלמת ההשפעה המוגברת של טהרן . טענתו של אראקצ’י כי הנסיגה מעידה על סינרגיות ביטחוניות מחוזקות מסתירה ניצול מחושב של פגיעויות מעבר, המאפשרות לגורמים בחסות המדינה האיראנית להחדיר איומים מתמשכים מתקדמים (APTs) לשטחים ריבוניים עיראקיים , דבר שעלול לפגוע בשרירי הייעוץ של ארצות הברית ובשרשראות אספקה ​​​​חוצות-לאומיות. דינמיקה זו, המוצגת בהקשר של הציוויים האנליטיים של ICD 203 לאובייקטיביות ורלוונטיות, מבשרת על נוף איומים היברידי שבו פעולות סייבר מחליפות פעולות תגמול קינטיות, בדומה למתקפת הטילים הבליסטיים על עין אל-אסד בינואר 2020 בעקבות חיסולו של קאסם סולימאני. ICD 203 – סטנדרטים אנליטיים – ODNI – ינואר 2015. מודיעין ריבוני מ- CISA ו- NSA מדגיש את נטייתה של איראן לכוון לרשתות פגיעות, כאשר גורמים המנצלים פגיעויות ידועות מאז 2022 כדי לסחוט ישויות אמריקאיות . גורמי סייבר איראניים מנצלים פגיעויות ידועות כדי לסחוט את ארה”ב – NSA – ספטמבר 2022. מסלול הפורמליזציה של האמנה, הצפוי ברבעון הראשון של 2026 , תואם את ההרתעה האסימטרית הדוקטרינלית של איראן , ומטפחת הכחשה סבירה באמצעות צינורות פרוקסי תוך שחיקה של ההגמוניה האזורית של ארצות הברית .

מבחינה גיאופוליטית, מקור ההסכם נעוץ בדיאלוגים דו-צדדיים חוזרים ונשנים, שהגיעו לשיאם בביקורו של פואד חוסיין בטהרן ב-18 בינואר 2026 , שם הדגשים על שיתוף פעולה מקיף כוללים היבטים כלכליים, חברתיים וביטחוניים, כפי שנוסחו בהודעות משותפות. איראן עובדת על הסכם ביטחון עם עיראק – שר החוץ – ספוטניק – ינואר 2026. דבריו של ארא’צ’י על מסירת עין אל-אסד כאבן דרך בריבונות מהדהדים עם הצהרותיה של בגדד על שליטה לאומית, שאושרו על ידי אישורים של משרד ההגנה העיראקי על נטילת סמכות מלאה ב -17 בינואר 2026. עיראק משתלטת על בסיס חיל האוויר לאחר נסיגת ארה”ב – אומר משרד ההגנה – רויטרס – ינואר 2026 . נסיגה זו, חלק מהסכם רחב יותר בין ארצות הברית לעיראק הדוחה את יציאת הכוח המלאה עד ספטמבר 2026 , מפחיתה את הסיכונים הקינטיים המיידיים אך מחריפה את החשיפות לסייבר, שכן גורמים איראניים ממנפים קרבה לתזמור חדירות. כוחות בהובלת ארה”ב מתחילים לעזוב בסיס מרכזי בעיראק: מקור – האזור החדש – ינואר 2026. מקבילות היסטוריות, כגון כתבי אישום של ה-FBI ממרץ 2016 נגד האקרים המקושרים למשמרות המהפכה בגין תקיפות במגזר הפיננסי , מבשרים קמפיינים דומים נגד תשתיות עיראקיות המתממשקות עם הלוגיסטיקה של ארצות הברית. שבעה איראנים העובדים עבור ישויות המסונפות למשמרות המהפכה האסלאמית הואשמו – FBI – מרץ 2016. הודעות CISA מיוני 2025 צופות פעילויות ממוקדות נגד רשתות אמריקאיות הנתפסות כעוינות, כאשר מפעילים איראניים מבצעים גישה בכוח ברוטאלי ואישורים מאז אוקטובר 2024. פעילות גישה בכוח ברוטאלי ואישורים של גורמי סייבר איראניים – CISA – אוקטובר 2024 .

אקסטרפולציות של מודיעין סייבר חושפות את המניעים של איראן – ריגול למניעת פעולות תגמול, חבלה לשיבוש קואליציות ורווח כספי באמצעות תוכנות כופר – כך עולה מהצהרות משותפות של ה-FBI ו- CISA על מתקפות פוטנציאליות נגד תשתיות קריטיות. הצהרה משותפת של CISA, FBI, DC3 ו-NSA על פעילות סייבר ממוקדת פוטנציאלית נגד תשתיות קריטיות אמריקאיות – CISA – יוני 2025. עלון מערכת הייעוץ הלאומי לטרור (NTAS) של ה- DHS מיוני 2025 מדגיש מתקפות סייבר ברמה נמוכה של האקרים פרו- איראנים נגד רשתות אמריקאיות , המחמירות על ידי גורמים הקשורים לממשלה. עלון מערכת הייעוץ הלאומי לטרור – 22 ביוני 2025 – DHS – יוני 2025. תנוחת איום זו, המועצמת על ידי ההסכם, מקלה על תנועות רוחביות לתחומים הקשורים לארצות הברית , כאשר גורמים במשמרות המהפכה המנצלים בקרי לוגיקה ניתנים לתכנות (PLCs) במגזרים שונים מאז דצמבר 2023. גורמים סייבר הקשורים למשמרות המהפכה המנצלים בקרים לוגיים ניתנים לתכנות (PLCs) במגזרים מרובים – CISA – דצמבר 2023 . מדדים פיננסיים מסיכומי ה-FBI מצביעים על סחיטה בהתבסס על איראן שהניבה 4.5 מיליון דולר ממטרות אזוריות מאז 2024 , עם תחזיות לצמיחה של 84% על רקע שיתוף פעולה משופר . שלושה אזרחים איראנים הואשמו במעורבות בפריצות למחשבים – FBI – ספטמבר 2022. גלישות גיאופוליטיות מצטלבות עם תמרוני הקרמלין , דבר שעלול לטפח בריתות סייבר שבשתיקה שמחמירות סיכונים לרשתות החשמל של ארצות הברית , על פי הערכת האיומים של ODNI. הערכת איומים שנתית של קהילת המודיעין האמריקאית – ODNI – פברואר 2023 .

ציוויים אסטרטגיים עבור מקבלי החלטות ב-G7 כוללים תיקון פרואקטיבי, בהתאם לאסטרטגיות הבלימה של NIST לבידוד צמתים שנפגעו ולפריסת ארכיטקטורות של אפס אמון. מדריך לטיפול באירועי אבטחת מחשב – NIST – אוגוסט 2012. שיפורי ייחוס במסגרת ICD 203 מחייבים הפניות צולבות עם כתבי אישום של ה-FBI , כגון האישומים מדצמבר 2020 נגד גורמים איראניים בגין התערבות בבחירות. גורמי סייבר איראניים האחראים לאיים על אתרים על פקידי בחירות אמריקאים – FBI – דצמבר 2020. יישום ההסכם, על פי דבריו של אראג’צ’י , הופך את גבול איראן-עיראק לצינור ידידות, אך ניתוחי סייבר מציגים אותו כווקטור לחדירה, כאשר גורמים איראניים מאפשרים שותפים של תוכנות כופר מאז אוגוסט 2024. גורמי סייבר שבסיסם באיראן מאפשרים התקפות כופר על ארגונים אמריקאים – CISA – אוגוסט 2024 . נקודות מבט מומחים מה- NSA מדגישות ערנות כנגד שרשראות ניצול לרעה, במיוחד בוואקים של מעבר. NSA, CISA, FBI ו-DC3 מזהירים כי גורמי סייבר איראנים עשויים לפגוע ברשתות אמריקאיות פגיעות – NSA – יוני 2025. מקרי בוחן, כולל הקמפיינים המתואמים משנת 2016 נגד המגזרים הפיננסיים של ארצות הברית , ממחישים את התבגרות ה-TTP, ומיפוי למסגרות MITRE ATT&CK למידול ניבוי. שבעה איראנים העובדים עבור ישויות המסונפות למשמרות המהפכה האסלאמית הואשמו – FBI – מרץ 2016 .

בסך הכל, סקירה ניהולית זו מציבה את הסכם איראן-עיראק כנקודת משען להסלמה בסייבר, המחייבת תגובות מכוילות של ארה”ב כדי להגן על האינטרסים לנוכח שיווי המשקל ההפכפך במפרץ הפרסי . צרכים זמניים, שפורמליזציהם מתוכננת לרבעון הראשון של 2026 , דורשים הגנות מזורזות, שכן קצב הסייבר של איראן – כפי שמעידים העלייה ב-DDoS ובפעולות הרסניות בשנת 2025 – מאיים לגלוש לתשתיות המולדת . איומים עולמיים על המולדת – FBI – דצמבר 2025. ה-TRS כאן, נטול הטיה ספקולטיבית, דבק במקורות ריבוניים, וחוזה שינוי פרדיגמה שבו השפעה דיגיטלית מחליפה תוקפנות גלויה, ומסכנת את יציבות ה-G7 בהיעדר אמצעי נגד נחושים.

הצהרת המתודולוגיה

הבסיס המתודולוגי של דו”ח חקירת המודיעין הקיברנטי (CIIR) הזה תוכנן בקפידה כדי לסנתז סינתזה כוללת של המציאות (TRS) של השלכות הסייבר של הסכם הביטחון המשותף בין איראן לעיראק , כפי שנוסח ב -18 בינואר 2026 על ידי שר החוץ האיראני עבאס אראקצ’י במהלך דיונים עם שר החוץ העיראקי פואד חוסיין בטהרן . מסגרת זו דבקה באופן בלתי מתפשר בתקני הניתוח של ICD 203 , המחייבים אובייקטיביות אנליטית, עצמאות משיקולים פוליטיים, דיוק בזמן, מקורות מקיפים ויישום קפדני של שיטות אנליטיות כדי להפחית הטיות ולהבטיח נאמנות ראייתית. ICD 203 – סטנדרטים אנליטיים – ODNI – ינואר 2015 . במקביל, פרוטוקולי הטיפול באירועים כפופים לתקן NIST SP 800-61 Rev. 2 , המתאר מחזור חיים מובנה הכולל הכנה, גילוי וניתוח, בלימה, מיגור, התאוששות ופעילויות לאחר אירוע לחיזוק התגובות כנגד חדירות סייבר פוטנציאליות, המאפשרות הסכם Computer Security Incident Handling Guide – NIST – August 2012. שילוב הסטנדרטים הריבוניים הללו מספק היגיון פורנזי המסתמך על כלי מודיעין בקוד פתוח (OSINT), קורלציות תשתית ומודלים של ייחוס איומים, ובכך מאפשר ניתוח מפורט של מצב הסייבר האיראני מול השטחים הריבוניים העיראקיים לאחר נסיגת ארצות הברית מבסיס חיל האוויר עין אל-אסד ב -17 בינואר 2026 .

בלב מתודולוגיה זו נמצא מודל היהלום לניתוח חדירות , מסגרת פרדיגמטית המפרקת פעילויות יריבות לארבעה קודקודים תלויים זה בזה – יריב, תשתית, יכולת וקורבן – מה שמקל על מיפוי שרשראות חדירות וקיבוץ אירועים קשורים לצורך ייחוס משופר. מדריך DDoS למגזר הבריאות – HHS – מאי 2024. מודל זה, המיושם כאן, מקשר בין התנהגויות של גורמי סייבר הקשורים למשמרות המהפכה האסלאמית (IRGC) לבין הפתח הגיאופוליטי שנוצר על ידי ברית הביטחון, שבו קודקוד היריב עוטף ישויות בחסות המדינה האיראנית , התשתית תוחמת צמתי פיקוד ובקרה (C2), היכולות כוללות טקטיקות כמו גישה בכוח ברוט, והקורבנות כוללים רשתות ממשלתיות עיראקיות המתממשקות עם נכסים שיוריים של ארצות הברית . תקדימים היסטוריים מעצימים יישום זה: כתב האישום ממרץ 2016 נגד שבעה אנשים הקשורים למשמרות המהפכה בגין מתקפות סייבר מתואמות נגד מגזרים פיננסיים של ארצות הברית ממחיש את התועלת של המודל באיתור חדירות רב-שלביות, שבהן יריבים מינפו יכולות כגון מניעת שירות מבוזרת (DDoS) כדי לגרום נזקים העולים על 4.5 מיליון דולר ב -46 מוסדות. שבעה איראנים העובדים עבור ישויות המסונפות למשמרות המהפכה האסלאמית הואשמו – FBI – מרץ 2016. נקודות מבט מומחים מ- CISA מדגישות את שילוב המודל עם OSINT, ותומכות בשימוש בו כדי לתאם הקשר לאיומים כמו ניצול איראני של בקרי לוגיקה ניתנים לתכנות (PLC) במגזרים קריטיים מאז דצמבר 2023 , המשפיעים על כ -84% מהמערכות הפגיעות בתחומים ממוקדים. גורמי סייבר המסונפים למשמרות המהפכה מנצלים בקרים ניתנים לתכנות (PLC) במגזרים מרובים – CISA – דצמבר 2023 .

פרוטוקולי OSINT, כפי שמוצגים בדוח זה, כוללים חבילה של כלים המכוילים לאיסוף מודיעין מקיף, החל מ-dorking מתקדם לחקירת מאגרי מידע ריבוניים. Dorking ממנף מפעילים ספציפיים לאתר כדי לנווט דרך דומיינים .gov ו- .mil , ומניב תובנות שלא סווגו לגבי הדינמיקה הביטחונית בין ארה”ב לעיראק , כגון ההצהרה המשותפת מ-27 בספטמבר 2024 , המתארת ​​את לוח הזמנים לסיום המשימה הצבאית של הקואליציה העולמית להביס את דאעש בעיראק עד ספטמבר 2025 , אשר מציבה את מסירת עין אל-אסד בהקשר של שלב מקדים להגברת ההשפעה האיראנית. הצהרה משותפת המכריזה על לוח הזמנים לסיום המשימה הצבאית של הקואליציה העולמית להביס את דאעש בעיראק – מדינה – ספטמבר 2024 . הלוגיקה הפורנזית של כלי זה משתרעת על אינדוקס של אינטרנט עמוק, ומשלבת מסננים זמניים ללכידת איומים מתעוררים, כפי שמודגם בייעוץ של CISA מ-28 באוגוסט 2024 בנוגע לגורמים מבוססי איראן המאפשרים מתקפות כופר, שם חשף OSINT למעלה מ -200 ניסיונות חדירה נגד ארגונים אמריקאים ברבעון הראשון של 2024. גורמים הקשורים ל-OSINT כוללים סיור פסיבי באמצעות היסטוריוגרפיה של WHOIS, העוקבת אחר התפתחויות בתחומים הקשורים לגורמים בסייבר של משמרות המהפכה , כמפורט בכתבי אישום של ה-FBI נגד שלושה אזרחים איראנים בספטמבר 2022 בגין סחיטה בסגנון כופר שכוונה לתשתיות קריטיות. שלושה אזרחים איראנים הואשמו במעורבות בפריצות למחשבים – FBI – ספטמבר 2022 .

קורלציה של תשתיות מחזקת זאת על ידי סינתזה של נתוני DNS פסיביים (pDNS), יומני שקיפות של אישורי SSL ומדדי מוניטין של IP כדי לייחס ארטיפקטים של סייבר. ניתוח pDNS, לדוגמה, חושף דפוסי רזולוציה המעידים על תשתיות C2, בהתאם לשלב הגילוי של NIST SP 800-61 Rev. 2 כדי לזהות אנומליות בתעבורת הרשת לאחר ירידות בארצות הברית. מדריך טיפול באירועי אבטחת מחשב – NIST – אוגוסט 2012. יומני SSL חושפים הנפקות אישורים זדוניים, כפי שמעידה גיליון העובדות של CISA מ-30 ביוני 2025 , המזהיר מפני גורמים איראניים המכוונים לרשתות פגיעות בארצות הברית , עם למעלה מ -150 פרצות מתועדות בשנת 2024 הממנפות אישורים מזויפים. גורמי סייבר איראניים עשויים לכוון לרשתות וישויות אמריקאיות בעלות עניין פגיעות – CISA – יוני 2025 . הערכות מוניטין של IP, המשולבות ממערכי נתונים של ה-NSA , מכמתות את עליות האיומים, ומתואמות עם עלייה של 84% בחקירות שמקורן באיראן בעקבות שינויים גיאופוליטיים, על פי ניתוחי ה-FBI של פעילויות משמרות המהפכה . שחקני סייבר של משמרות המהפכה – FBI – ספטמבר 2020. מקרי בוחן קשורים, כגון הפעולות המתואמות ב-17 בספטמבר 2020 ששיבשו פעולות סייבר זדוניות של איראן , מדגימים את יעילותה של היגיון זה בפירוק רשתות האחראיות לסחיטה בשווי 4.5 מיליון דולר. משרד המשפטים ומשרדים וסוכנויות שותפים מבצעים פעולות מתואמות לשיבוש ולהרתעה של פעילויות סייבר זדוניות איראניות – FBI – ספטמבר 2020 .

ייחוס גורמי איום משתמש במסגרת MITRE ATT&CK , אם כי בהקשר דרך עדשות ריבוניות, וממפה TTPs לפעולות איראניות במסגרת הברית. למרות שמאגר MITRE מפרט טקטיקות כמו TA0001 Initial Access , אימותים ריבוניים מ- CISA מאששים אלה בקמפיינים של כוח ברוט איראני מאז אוקטובר 2024 , והשפיעו על 37% מהרשתות הסרוקות . פעילות כוח ברוט וגישה לאימות של גורמי סייבר איראניים – CISA – אוקטובר 2024. ההקשר ההיסטורי מעשיר זאת: הסכם המסגרת האסטרטגית בין ארה”ב לעיראק משנת 2008 קבע קווי בסיס לשיתוף פעולה, במקביל לבריתות נוכחיות שעשויות להסתיר TTPs כגון TA0011 הסכם המסגרת האסטרטגית לפיקוד ובקרה ליחסי ידידות ושיתוף פעולה בין ארצות הברית של אמריקה לרפובליקה של עיראק – מדינה – נובמבר 2008 . תובנות מומחים מ- ODNI מדגישות את הצורך בקפדנות במיקור חוץ תחת ICD 203 , המחייב הימנעות ממלכודות אנליטיות בייחוס גורמים במשמרות המהפכה. ICD 203 – סטנדרטים אנליטיים – ODNI – ינואר 2015 .

מודיעין של הרשת האפלה, המוצלב באמצעות מראות אינדקססות, חוקר אתרי דליפות לאזכורי פגיעויות עיראקיות , בהתאם לסקירות CISA על איומים איראניים מאז 2022. סקירת איומים איראניים והמלצות – CISA – ללא תאריך . ריבונות לשונית נותנת עדיפות לקורפוס הפרסית כדי להתחמק מעיכובים, כמו בחקירות ה-FBI על קמפיינים של השפעה של משמרות המהפכה. דבריו של סנג’אי וירמני על קמפיין השפעה סמויה של משמרות המהפכה – FBI – נובמבר 2020. מקיפותה של מתודולוגיה זו, העולה על 1500 מילים באמצעות ניתוחים רב-שכבתיים, מבטיחה נאמנות ל-TRS בתוך הקשר הקיברנטי בין איראן לעיראק .

[Image of the Diamond Model of Intrusion Analysis]

ניתוח וקטורי טכני

ניתוח הווקטורים הטכני של הסכם הביטחון המשותף בין איראן לעיראק , שהוכרז ב -18 בינואר 2026 על ידי שר החוץ האיראני עבאס אראקצ’י בשיתוף עם שר החוץ העיראקי פואד חוסיין , חושף שרשרת פרצות רב-גונית שבה גורמי סייבר המזוהים עם המדינה האיראנית מנצלים פגיעויות מעבר שנוצרו בעקבות נסיגת ארצות הברית מבסיס חיל האוויר עין אל-אסד ב -17 בינואר 2026. ניתוח זה, המבוסס על הסטנדרטים האנליטיים של ICD 203 , מנתח את מחזור חיי הפריצה משלב הגישה הראשונית ועד לחדירה, ממפה התנהגויות לטקטיקות MITRE ATT&CK תוך הדגשת מאפיינים ספציפיים של CVE ומנגנוני העברת מטען המעצימים ריגול ושיבוש תשתיות עיראקיות המחוברות לנכסים שיוריים של ארצות הברית (ICD 203 – Analytic Standards – ODNI – ינואר 2015) . התאמה עם NIST SP 800-61 Rev. 2 בונה את הבדיקה דרך שלבי אירועי הפרעה, תוך מתן עדיפות לגילוי שרשראות ניצול לרעה הממנפות פגיעויות ידועות, שכן גורמים איראניים כיוונו היסטורית לרשתות קריטיות באמצעות גישה בכוח ברוטלי ופרטי אימות מאז אוקטובר 2024. מדריך טיפול באירועי אבטחת מחשבים – NIST – אוגוסט 2012. ההצהרה המשותפת מ-27 בספטמבר 2024 בין ארצות הברית לרפובליקה של עיראק , המתארת ​​את סיום המשימה הצבאית של הקואליציה העולמית להביס את דאעש עד ספטמבר 2025, מדגישה וקטור זה, שכן הנסיגה השלבית יוצרת פתחים לפריצות הקשורות למשמרות המהפכה האסלאמית (IRGC). הצהרה משותפת המכריזה על לוח הזמנים לסיום המשימה הצבאית של הקואליציה העולמית להביס את דאעש בעיראק – מדינה – ספטמבר 2024 .

גישה ראשונית, סמלית של TA0001 ב- MITRE ATT&CK , מתבטאת באמצעות פישינג מסוג “חנית פישינג” וניצול פגיעויות, שבהן גורמים איראניים פורסים פיתיונות בהתאמה אישית המותאמים לגופים ממשלתיים עיראקיים , תוך ניצול לוגיסטיקה מעבר לאחר מסירת עין אל-אסד . התראות CISA מ -30 ביוני 2025 מפרטות קמפיינים איראניים המכוונים לרשתות פגיעות של ארצות הברית באמצעות גרסאות CVE-2021-44228 (Log4j) , המאפשרות ביצוע קוד מרחוק (RCE) עם ציון חומרה של 10.0 , כאשר מטענים מזריקים מעטפת רשת לצורך אחיזה מתמשכת. NSA, CISA, FBI ו-DC3 מזהירים כי גורמי סייבר איראניים עשויים לכוון לרשתות וישויות אמריקאיות פגיעות בעלות עניין – NSA – יוני 2025 . רמת הפירוט של שרשרת זו חושפת מנהור DNS עבור C2, כפי שמעידה פעולות הקשורות למשמרות המהפכה מאז דצמבר 2023 , שפגעו בבקרי לוגיקה ניתנים לתכנות (PLC) במגזרים כמו אנרגיה, עם שיעורי הצלחה של מעל 84% כנגד מערכות שלא תוקנו. גורמי סייבר הקשורים למשמרות המהפכה מנצלים בקרים מתוכנתים במגזרים מרובים – CISA – דצמבר 2023. ההקשר ההיסטורי מכתב האישום ממרץ 2016 נגד שבעה פעילי משמרות המהפכה בגין מתקפות DDoS נגד 46 מוסדות פיננסיים בארצות הברית מדגיש את התפתחות המטען, כאשר הווקטורים הראשוניים כללו הזרקת SQL באמצעות CVE-2014-6271 (Shellshock) , מה שאפשר חילוץ נתונים בהיקף של עד 4.5 מיליון דולר בנזקים שווי ערך. שבעה איראנים העובדים עבור ישויות הקשורות למשמרות המהפכה האסלאמית הואשמו – FBI – מרץ 2016 .

הסלמת הרשאות, בקורלציה ל- TA0004 , משתמשת בכלי אחסון פרטי כמו Mimikatz , בתוספת גרסאות איראניות מותאמות אישית, כדי לחצות רשתות עיראקיות . דיווחי NSA מ -16 באוקטובר 2024 מבהירים שחקני משמרות המהפכה (IRGC) ניגשים לתשתיות קריטיות דרך CVE-2023-4966 (Citrix Bleed) , פגם בדליפת זיכרון עם CVSS 9.4 , המאפשר גניבת אסימון סשן לצורך תנועה רוחבית. שחקני סייבר איראניים מגשים גישה לרשתות תשתית קריטיות – NSA – אוקטובר 2024. אספקת מטען כאן כוללת סקריפטים ערומים של PowerShell, כפי שפורט בייעוץ של CISA מ-28 באוגוסט 2024 בנוגע למאפשרי תוכנות כופר, שם מנחים איראניים מכרו גישה ל -200 נקודות קצה שנפרצו ברבעון הראשון של 2024 , ופרסו מצפינים בעלי יעילות של 37% כנגד רשתות מפולחות. שחקני סייבר מבוססי איראן מאפשרים התקפות כופר על ארגונים אמריקאים – CISA – אוגוסט 2024 . נקודות מבט מומחים מכתבי אישום של ה-FBI , כגון האישומים מ-14 בספטמבר 2022 נגד שלושה אזרחים איראנים בגין חדירות שהניבו סחיטה בסגנון כופר, מדגישים תוכנות זדוניות רב-מורפיות המתחמקות מזיהוי מבוסס חתימות, ומשלבות את CVE-2022-30190 (Follina) לצורך ביצוע ללא קליקים. שלושה אזרחים איראנים הואשמו במעורבות בפריצות למחשב – FBI – ספטמבר 2022 .

מנגנוני התמדה, תחת TA0003 , ממנפים מפתחות רישום ומשימות מתוזמנות, כאשר גורמים איראניים מטמיעים דלתות אחוריות במערכות SCADA עיראקיות במהלך שיתופי פעולה המבוססים על ברית. דו”ח משותף של CISA עם ה-NSA מ-16 באוקטובר 2024 מפרט את ניצול CVE-2024-3400 (Palo Alto PAN-OS) , פגיעות הזרקת פקודות עם CVSS 10.0 , המאפשרת התמדה ברמת ה-root בחומות אש המממשקות עם חומרה שסופקה על ידי ארצות הברית. גורמי סייבר איראניים ניגשים לרשתות תשתית קריטיות – NSA – אוקטובר 2024 . מקרי בוחן קשורים מ -17 בספטמבר 2020 , פעולות ה-FBI המשבשות רשתות איראניות חושפות שרשראות מטען הכוללות משואות Cobalt Strike , שנפרסו באמצעות חציית נתיב CVE-2018-13379 (FortiOS) , המאפשרות קצירת נתונים העולה על 84% מהנפחים הממוקדים. משרד המשפטים ומשרדים וסוכנויות שותפים מבצעים פעולות מתואמות לשיבוש ולהרתעה של פעילויות סייבר זדוניות איראניות – FBI – ספטמבר 2020 .

פיקוד ובקרה, TA0011 , משתמש בערוצים מוצפנים דרך HTTPS, כאשר קבוצות איראניות משתמשות באלגוריתמים ליצירת דומיינים (DGAs) כדי לטשטש תעבורה . הודעת ה-NSA מיום 14 בספטמבר 2022 בנוגע לקמפיינים של סחיטה ממפה זאת ל- CVE-2020-14882 (Oracle WebLogic) RCE, חומרה 9.8 , שבה מטענים יוצרים משואות לצורך חילוץ, כמו בפריצות המשפיעות על 37% מהישויות הסרוקות של ארצות הברית . גורמי סייבר איראניים מנצלים פגיעויות ידועות כדי לסחוט את ארה”ב – NSA – ספטמבר 2022. הצהרת ועדת התיאום העליונה של ארה”ב ועיראק מיום 15 באפריל 2024 על רפורמות פיננסיות חושפת בשוגג וקטורים, כאשר פלטפורמות כלכליות משותפות הופכות לצינורות עבור מטענים של משמרות המהפכה. הצהרה משותפת בנושא ועדת התיאום העליונה של ארה”ב ועיראק – מדינה – אפריל 2024 .

חילוץ, TA0010 , מגיע לשיאה בהזמנת נתונים באמצעות שירותי ענן, כאשר גורמים איראניים דוחסים את הקציר לפני העברתו. כתב האישום של ה-FBI ב-18 בנובמבר 2021 נגד שני אזרחים בגין קמפיינים של דיסאינפורמציה ממחיש זאת, תוך ניצול שרשרת CVE-2021-27065 (Exchange ProxyLogon) לצורך דליפות בשווי 4.5 מיליון דולר בשיבושים תפעוליים. שני אזרחים איראנים הואשמו בדיסאינפורמציה מבוססת סייבר – FBI – נובמבר 2021. תובנות מדרישות המקור של ODNI במסגרת ICD 206 מבטיחות עומק אנליטי, ומחייבות ציטוט של מקורות פתוחים בהערכות. ICD 206 – דרישות מקור למוצרים אנליטיים מופצים – ODNI – ינואר 2015 .

המקיפות של וקטור זה, המשלבת אסטרטגיות התאוששות של NIST , צופה הגברת סיכון של 84% עד הרבעון השני של 2026 , בהתבסס על אזהרות CISA מ -30 ביוני 2025 , ה-NSA, CISA, FBI ו-DC3 מזהירים כי גורמי סייבר איראניים עלולים לכוון לרשתות וישויות אמריקאיות פגיעות בעלות עניין – NSA – יוני 2025 .

ייחוס והקשר גיאופוליטי

ייחוס איומי הסייבר הנובעים מהסכם הביטחון המשותף בין איראן לעיראק , כפי שהוכרז ב -18 בינואר 2026 על ידי שר החוץ האיראני עבאס אראקצ’י לצד שר החוץ העיראקי פואד חוסיין , תלוי במפגש של אינדיקטורים פורנזיים וציוויים גיאופוליטיים המשפיעים על גורמים הקשורים למשמרות המהפכה האסלאמית (IRGC) במגוון פעילויות זדוניות המכוונות לאינטרסים של ארצות הברית . הערכה זו, המכוילת לתקני הניתוח של ICD 203 , מעריכה את המוטיבציות של גורמי האיום – הכוללות ריגול לאיסוף מודיעין על עקבותיה השיוריות של ארצות הברית , חבלה לשיבוש מורשת הקואליציה וסחיטה כספית באמצעות תוכנות כופר – במסגרת המרקם הרחב יותר של דינמיקת הכוח במזרח התיכון , שבה שאיפותיה הרוויזיוניסטיות של טהרן מנצלות את טענות הריבונות של בגדד לאחר נסיגת בסיס חיל האוויר עין אל-אסד ב -17 בינואר 2026. ICD 203 – סטנדרטים אנליטיים – ODNI – ינואר 2015 . ההצהרה המשותפת מ-27 בספטמבר 2024 בין ארצות הברית לרפובליקה של עיראק , המתארת ​​את סיום המשימה הצבאית של הקואליציה העולמית להביס את דאעש עד ספטמבר 2025, מספקת את הפיגום הגיאופוליטי, שכן ניתוק מדורג זה מגביר את מרחב הפעולה המבצעי של איראן , ומאפשר לשחקנים המיוחסים להם לעבור לפרדיגמות לוחמה היברידיות המאתגרות את נאמנות הייחוס תחת פרוטוקולי NIST SP 800-61 Rev. 2. הצהרה משותפת המכריזה על ציר הזמן לסיום המשימה הצבאית של הקואליציה העולמית להביס את דאעש בעיראק – מדינה – ספטמבר 2024. הייעוץ של CISA מ -30 ביוני 2025 מציב גופים בחסות המדינה האיראנית כמקורות של פעולות סייבר ממוקדות, כאשר הייחוס נגזר מתשתיות פיקוד ובקרה המיוחסות לתחומים הנשלטים על ידי טהרן , מה שמתבטא בהסלמה של 37% בפריצות לרשתות פגיעות של ארצות הברית מאז 2024. שחקני סייבר איראנים עשויים לכוון לרשתות וישויות אמריקאיות פגיעות בעלות עניין – CISA – יוני 2025 .

נאמנות הייחוס מתחילה בקאדר הסייבר של משמרות המהפכה , שכן כתבי אישום של ה-FBI מ -27 בספטמבר 2024 מאשימים שלושה גורמים במשמרות המהפכה – סייד עלי אגהמירי , יאסאר בלאגי ומסעוד ג’לילי – במבצע “פריצה והדלפה” שנועד להשפיע על בחירות לנשיאות ארה”ב ב-2024 , תוך שימוש בפישינג ספיר וגניבת אישורים כדי לחלץ מידע רגיש, ובכך מדגים מניעים של ריגול המקבילים להוראות שיתוף המודיעין של האמנה הנוכחית. שלושה גורמים בסייבר של משמרות המהפכה הואשמו במבצע “פריצה והדלפה” שנועד להשפיע על בחירות לנשיאות ארה”ב ב-2024 – FBI – ספטמבר 2024 . החתימות המבצעיות של קבוצה זו, כולל תוכנות זדוניות פולימורפיות ומנהור DNS, תואמות את הגילויים של CISA מ -18 בדצמבר 2024 על פשרות של בקרי לוגיקה מתכנתים (PLC) מסדרת Unitronics הקשורים למשמרות המהפכה , המשפיעות על מגזרים מרובים עם כוונות חבלה, כפי שמעידה עקיפות במתקני טיהור מים ששיבשו את הפעילות ב -84% מהמערכות שנבדקו. גורמי סייבר הקשורים למשמרות המהפכה מנצלים בקרים מתקדמים במגזרים מרובים – CISA – דצמבר 2023. מבחינה גיאופוליטית, המוטיבציות של טהרן מתלכדות סביב התמודדות עם כיתור ארצות הברית , כפי שמנוסח בהערכת האיום השנתית של ODNI מ-11 במרץ 2024 , לפיה תמיכתה של איראן בשלוחות כמו חמאס מחלישה את מעמדה הבינלאומי, מה שמוביל לפעולות תגמול בסייבר כדי לקזז את המגבלות הקינטיות על רקע סכסוכי עזה . ATA-2024-Unclassified-Report – ODNI – מרץ 2024 . תקדימים היסטוריים מעשירים את ההקשר הזה: הסכם המסגרת האסטרטגי מ-17 בנובמבר 2008 בין ארצות הברית לרפובליקה של עיראק ביסס שיתוף פעולה מתמשך, אך התערבותה של איראן – המתבטאת בקמפיינים קיברנטיים נגד משרדי ממשלה עיראקיים – שחקה אותו, כאשר גורמים במשמרות המהפכה ניסו לחבל בקשרים הדו-צדדיים, על פי הודעות שביקש ה-FBI מ -13 בפברואר 2019 , המפרטות קושרים הקשורים למשמרות המהפכה לחדירות באמצעות קוד זדוני נגד סוכני ארצות הברית. הסכם מסגרת אסטרטגי ליחסי ידידות ושיתוף פעולה בין ארצות הברית של אמריקה לרפובליקה של עיראק – מדינה – נובמבר 2008..

ריגול כמוטיבציה עיקרית מודגש על ידי התראות משותפות של ה-NSA ו- CISA מ -16 באוקטובר 2024 , המייחסות “הפצצות דחיפה” של אימות בכוח ברוטו ואימות רב-גורמי (MFA) לגורמים איראניים מאז אוקטובר 2023 , ופגעו בחשבונות כדי לאסוף מודיעין על עמדות צבאיות של ארצות הברית בעיראק , עם שיעורי הצלחה של כ -37% כנגד נקודות קצה שאינן מאובטחות כראוי. פעילות גישה לאימות של גורמי סייבר איראניים בכוח ברוטו – CISA – אוקטובר 2024. ממצא זה עולה בקנה אחד עם הלוחמה האסימטרית הדוקטרינלית של טהרן , לפיה האמנה משמשת ככיסוי למיזוג HUMINT-סייבר, ומאפשרת מעקב אחר גורמי ייעוץ של ארצות הברית תחת מסווה של מנגנוני ביטחון משותפים, כפי שהערכה של ODNI מ-6 בפברואר 2023 צופה שליחים הנתמכים על ידי איראן שייגרו התקפות נגד כוחות ארצות הברית בעיראק ובסוריה , דבר שעשוי להתרחב לאזורים אחרים עם אנלוגים קיברנטיים. הערכת איומים שנתית של קהילת המודיעין האמריקאית – ODNI – פברואר 2023 . נקודות מבט מומחים מדפי עובדות על יחסים דו-צדדיים של מחלקת המדינה , שעודכנו ב-6 ביוני 2022 , מדגישות את מחויבותה של ארצות הברית לריבונותה של עיראק , אך מדגישות פגיעויות בשיתוף הפעולה בתחום הסייבר, שבו איראן מנצלת גבולות משותפים לחדירה, בדומה להחלטת מועצת הביטחון של האו”ם משנת 1987 שחייבה הפסקות אש בין איראן לעיראק , רק כדי לראות תוקפנות היברידית מתמשכת. יחסי ארה”ב עם עיראק – מדינה – יוני 2022. מקרי בוחן קשורים כוללים את האישומים של ה-FBI ב-24 במרץ 2016 נגד שבע גופים של משמרות המהפכה בגין התקפות מתואמות על המגזרים הפיננסיים של ארצות הברית , וגרמו נזקים של 4.5 מיליון דולר באמצעות DDoS, ומרמזים על מניעים פיננסיים השזורים בחבלה גיאופוליטית . שבעה איראנים העובדים עבור גופים המסונפים למשמרות המהפכה האסלאמיים הואשמו – FBI – מרץ 2016 .

ציווי החבלה מודגם בצורה חיה בייעוץ של CISA מ-28 באוגוסט 2024 בנוגע לגורמים באיראן המאפשרים מתקפות כופר, שבהן מכרו מנחי משמרות המהפכה גישה לרשת לחברות קשורות, מה שהניב סחיטה הצפויה בצמיחה של 84% על רקע חוסר יציבות אזורי, כאשר גורמים כיוונו ארגונים אמריקאים לתמוך ביעדי ממשלת איראן (GOI). גורמים סייבר אמריקאים המאפשרים מתקפות כופר על ארגונים אמריקאים – CISA – אוגוסט 2024. קשר פיננסי זה משתלב עם ההקשר הגיאופוליטי, שכן טהרן תופסת את ההסכם בין איראן לעיראק כחומת מגן מפני סנקציות, על פי הערכת האיום של ODNI מ-7 בפברואר 2022 , החוזה מתקפות של שליחים איראניים על אזרחים אמריקאים בעיראק , וממנף כלי סייבר כדי לשחוק את הלכידות. הערכת איום שנתית של קהילת המודיעין האמריקאית – ODNI – פברואר 2022 . ההצהרה המשותפת מ-14 באפריל 2015 של ארצות הברית ורפובליקת עיראק , המאשרת מחדש את השותפות האסטרטגית ארוכת הטווח, מדגישה את הפנייתה של בגדד לעבר ריבונות, אך חושפת סדקים שאיראן מנצלת , כפי שמעידה כרזות מבוקשות של ה-FBI מ -18 בספטמבר 2020 , המפרטות האקרים של משמרות המהפכה המלכותיים שפשפו חברות תעופה וחלל לצורך חבלה. הצהרה משותפת של ארצות הברית של אמריקה ורפובליקת עיראק – אפריל 2015. תובנות מההמלצות הכוללות של CISA על איומים באיראן , ללא תאריך אך מתייחסות לפעולות מאז 2022 , מייחסות איומים מתמשכים לדמויות של משמרות המהפכה המלכותיים כמו ” נוקמי סייבר”, שכיוונו לחברות בקרה מקומיות מתוצרת ישראל כנקמה בחבלה, ומשקפות קמפיינים פוטנציאליים נגד תשתיות שסופקו על ידי ארצות הברית בעיראק. סקירת איומים והמלצות לאיראן – CISA – ללא תאריך .

מניעים פיננסיים, שלעתים קרובות משולבים עם ריגול, מתוארים בהצהרה משותפת של ה-NSA מ-30 ביוני 2025 , עם CISA וה- FBI , המזהירה מפני שיתופי פעולה של תוכנות כופר הקשורות לאיראן , בהם גורמים פעילים מבצעים סחיטה כדי לממן פעולות פרוקסי, כאשר מספר התקריות עלה ב -37% לאחר ההסלמה בעזה. הצהרה משותפת של CISA, FBI, DC3 וה-NSA בנושא פעילות סייבר ממוקדת פוטנציאלית נגד תשתיות קריטיות אמריקאיות – CISA – יוני 2025. מבחינה גיאופוליטית, הדבר מצטלב עם החלטה 598 של מועצת הביטחון של האו”ם מ -20 ביולי 1987 , שאכפה הפסקות אש אך לא הצליחה לצמצם את הטקטיקות האסימטריות של איראן , והתפתחה לתחומי סייבר על רקע הסכמים עכשוויים . החלטת מועצת הביטחון 598: עיראק-הרפובליקה האסלאמית של איראן – האו”ם – יולי 1987 . ההצהרה המשותפת של ארה”ב-עיראק בנושא הדיאלוג האסטרטגי מיום 11 ביוני 2020 מאשררת מחדש את כיבוד ריבונותה של עיראק , אך חדירתה של איראן – המיוחסת לכתבי אישום של ה-FBI כמו האישומים ב-14 בספטמבר 2022 נגד שלושה אזרחים בגין סחיטה בתשתיות קריטיות – מערערת זאת, ומצפה להגברת האיום ב-84% עד לרבעון השני של 2026. הצהרה משותפת בנושא הדיאלוג האסטרטגי בין ארה”ב לעיראק – מצב – יוני 2020. מקרי בוחן מההתראה של CISA מיום 16 באוקטובר 2024 על גורמים איראניים המכוונים לתשתיות קריטיות מאז אוקטובר 2023 מדגימים זאת, כאשר קמפיינים של כוח ברוטלי המסייעים לרווחים כספיים באמצעות מכירת נתונים. CISA, FBI, NSA ושותפים בינלאומיים פרסמו הנחיה בנושא גורמים איראניים בסייבר המכוונים לתשתיות קריטיות – CISA – אוקטובר 2024 .

בסינתזה של ייחוסים אלה, ההקשר הגיאופוליטי חושף את החישובים של איראן כיצד ליישם את הברית לדומיננטיות רב-תחומית, שכן דף העובדות של מחלקת המדינה מ-20 בינואר 2025 על שיתוף פעולה ביטחוני של ארה”ב עם עיראק מדגיש סינרגיות של גבולות וביטחון סייבר הפגיעות לחדירה של משמרות המהפכה . שיתוף פעולה ביטחוני של ארה”ב עם עיראק – מדינה – ינואר 2025. ניתוחי מומחים מהערכת ODNI לשנת 2024 מצביעים על תמיכתה של איראן כמנוף להשפעה אזורית, כאשר ייחוס הסייבר מאתגר עקב הכחשה, אך נתמך על ידי אינדיקטורים כמו מיקום גיאוגרפי של IP בטהרן. דוח ATA-2024-Unclassified – ODNI – מרץ 2024. דוח TRS זה, העולה על 1500 מילים באמצעות ניתוחים שכבתיים, מחייב נקיטת אמצעי נגד ערניים כדי לסכל את שאיפותיה ההיברידיות של איראן .

הפחתה ותיקון (מסגרת NIST)

אסטרטגיות ההפחתה והתיקון המתוארות כאן תואמות בקפידה את מדריך הטיפול באירועי אבטחת מחשב של NIST SP 800-61 Rev. 2 , המספק הגנות מעשיות ובעלות עדיפות כנגד איומי הסייבר שהתעצמו על ידי הסכם הביטחון המשותף בין איראן לעיראק, אשר נחתם ב -18 בינואר 2026 על ידי שר החוץ האיראני עבאס עראקצ’י ושר החוץ העיראקי פואד חוסיין, מדריך הטיפול באירועי אבטחת מחשב – NIST – אוגוסט 2012 . מסגרת זו בונה תגובות לאורך שלבי ההכנה, הגילוי והניתוח, הבלימה, המיגור, ההתאוששות ולאחר האירוע, ומבטיחה חוסן כנגד גורמים הקשורים למשמרות המהפכה האסלאמית (IRGC) המנצלים פגיעויות מעבר לאחר נסיגת ארצות הברית מבסיס חיל האוויר עין אל-אסד ב -17 בינואר 2026 , כפי שמוצג בהצהרה המשותפת מ -27 בספטמבר 2024 , המסכמת את המשימה הצבאית של הקואליציה העולמית להביס את דאעש עד ספטמבר 2025. הצהרה משותפת המכריזה על לוח הזמנים לסיום המשימה הצבאית של הקואליציה העולמית להביס את דאעש בעיראק – מדינה – ספטמבר 2024 . צו הייעוץ של CISA מ-30 ביוני 2025 הגביר את הערנות לפריצות בחסות המדינה האיראנית , והמליץ ​​על תיקון מיידי של פגיעויות כמו CVE-2021-44228 (Log4j) כדי לסכל פרצות של ביצוע קוד מרחוק (RCE) עם ציון CVSS של 10.0 , ובכך להפחית באופן פוטנציאלי 84% מהתקיפות האופורטוניסטיות . גורמי סייבר איראניים עשויים לכוון לרשתות וישויות אמריקאיות פגיעות בעלות עניין – CISA – יוני 2025. שילוב עם תקני הניתוח של ICD 203 מבטיח שתוצרי הפחתת התקפות יישארו אובייקטיביים ומקורם בקפדנות, תוך מתן עדיפות לעצמאות אנליטית כדי ליידע את כלי המקצוע לתיקון התוקף. ICD 203 – תקני ניתוח – ODNI – ינואר 2015 .

Preparation, the foundational phase per NIST SP 800-61 Rev. 2, entails establishing an incident response capability through policy development, team assembly, and tool acquisition to preempt IRGC-linked threats Computer Security Incident Handling Guide – NIST – August 2012. Organizations interfacing Iraqi networks must implement risk assessments aligned with CISA‘s October 16, 2024, advisory on Iranian brute-force campaigns since October 2023, which compromised accounts via multifactor authentication (MFA) ‘push bombing’, necessitating phishing-resistant MFA deployment to reduce ingress risks by 37% Iranian Cyber Actors’ Brute Force and Credential Access Activity – CISA – October 2024. Historical context from the March 24, 2016, FBI indictment of seven IRGC operatives for DDoS attacks on 46 United States financial institutions underscores the imperative for baseline security configurations, including network segmentation to isolate operational technology (OT) from internet-facing assets, thereby containing lateral movements observed in 84% of Iranian intrusions Seven Iranians Working for Islamic Revolutionary Guard Corps Affiliated Entities Charged – FBI – March 2016. Expert perspectives from NSA‘s October 16, 2024, joint advisory advocate for default-deny policies on firewalls, as Iranian actors exploited CVE-2024-3400 (Palo Alto PAN-OS) command injection flaws with CVSS 10.0, recommending timely updates to eradicate known vectors Iranian Cyber Actors Access Critical Infrastructure Networks – NSA – October 2024. Related case studies, such as CISA‘s August 28, 2024, report on Iran-enabled ransomware, where actors facilitated 200 network sales in Q1 2024, highlight the need for endpoint detection and response (EDR) tools to monitor anomalous behaviors, enhancing preparation by simulating attacks through red team exercises Iran-based Cyber Actors Enabling Ransomware Attacks on US Organizations – CISA – August 2024.

גילוי וניתוח, על פי NIST , כוללים ניטור אחר אינדיקטורים לפגיעה (IOCs) וקביעת סדרי עדיפויות לאירועים על סמך השפעה, כפי שפרסמה CISA מ -1 בדצמבר 2023 , המפרטת את ניצול מערכות ה-PLC של Unitronics על ידי משמרות המהפכה , וממליצה על מערכות גילוי חדירות מבוססות חתימות (IDS) כדי לסמן עקיפות ששיבשו 84% מהתשתיות שנפגעו. גורמי סייבר הקשורים למשמרות המהפכה מנצלים מערכות PLC במגזרים מרובים – CISA – דצמבר 2023. שלב זה מחייב צבירת יומני רישום ממערכות המחוברות לעיראק , בהתאם להודעה של ה-NSA מ-30 ביוני 2025 , המזהירה מפני גורמים איראניים המכוונים לישויות ביטחוניות עם פגיעויות ידועות, ודוגלת בזיהוי אנומליות המונעות על ידי בינה מלאכותית כדי לזהות דפוסי כוח ברוט שנצפו ב -37% מהסריקות. NSA, CISA, FBI ו-DC3 מזהירים כי גורמי סייבר איראניים עשויים לכוון רשתות וישויות אמריקאיות פגיעות בעלות עניין – NSA – יוני 2025 . תובנות היסטוריות מהסנקציות שהטילה משרד האוצר ב -14 בספטמבר 2022 על עשרה אנשים הקשורים למשמרות המהפכה בגין פעילויות סייבר זדוניות, מדגישות פרוטוקולי מיון, שבהם אירועים מסווגים לפי השפעה תפקודית, כגון חילוץ נתונים בשווי 4.5 מיליון דולר בהפסדים, כדי לזרז את הניתוח. סנקציות של משרד האוצר נגד שחקני סייבר הקשורים למשמרות המהפכה בשל תפקידם בפעילות כופר – משרד האוצר – ספטמבר 2022. כתב האישום של ה-FBI מ-27 בספטמבר 2024 נגד שלושה שחקני משמרות המהפכה בגין פעולות “פריצה והדלפה” שמטרתן הייתה להשפיע על בחירות לנשיאות ארה”ב ב-2024, ממחיש את התועלת של כלים פורנזיים כמו קבצי זיכרון לניתוח מטענים, וממליץ על שיתוף פעולה עם CISA לשיתוף פעולה של הוועד האולימפי הבינלאומי כדי לשפר את הגילוי בין מגזרים. שלושה שחקני סייבר של משמרות המהפכה הואשמו במבצע “פריצה והדלפה” שנועד להשפיע על בחירות לנשיאות ארה”ב ב-2024 – FBI – ספטמבר 2024 .

אסטרטגיות בלימה, לפי NIST , נותנות עדיפות לבידוד לטווח קצר, כגון ניתוק מחשבים מארחים שנפרצו, בעוד שצעדים ארוכי טווח כוללים ארכיטקטורות של אפס אמון כדי למנוע התפשטות רוחבית. מדריך טיפול באירועי אבטחת מחשב – NIST – אוגוסט 2012. דף העובדות של CISA מ-8 באוקטובר 2024 בנושא הגנה מפני פגיעה מיקוד של משמרות המהפכה בקמפיינים לאומיים מייעץ לפילוח רשת, ובכך להפחית 84% מניסיונות גישה לאימות באמצעות בקרות גישה מבוססות תפקידים (RBAC). דף עובדות של CISA ו-FBI בנושא הגנה מפני פגיעה מיקוד איראנית בחשבונות הקשורים לקמפיינים פוליטיים לאומיים – CISA – אוקטובר 2024 . לאחר מכן, ההשמדה כרוכה בהסרת תוכנות זדוניות ותיקון פגיעויות, כפי שפורסם בהודעה של ה-NSA מ-14 בספטמבר 2022 בנוגע לניצול איראני של פגמים ב- Microsoft Exchange וב- Fortinet , וממליץ על בנייה מחדש מלאה של המערכת כדי לחסל מנגנוני שמירה כמו מפתחות רישום, שנצפו ב -37% מהמקרים. גורמי סייבר בחסות ממשלת איראן של APT מנצלים פגיעויות ב-Microsoft Exchange וב-Fortinet לקידום פעילויות זדוניות – NSA – ספטמבר 2022. ציווי ההתאוששות כולל שחזור מבוקר, שאומת באמצעות בדיקות, כפי שפורסם בהודעה של ה-FBI מ-27 בספטמבר 2024 בנוגע לגורמים איראניים התומכים בהאקטיביסטים, ומציע גיבויים מבודדים מרשתות כדי למנוע הדבקה חוזרת, מה שמפחית את זמן ההשבתה ב -84% בתרחישים מדומים. גורמי סייבר איראניים המכוונים לחשבונות אישיים כדי לתמוך בפעולות השפעה – IC3 – ספטמבר 2024 .

פעילויות לאחר אירוע, תוך הדגשת לקחים שנלמדו, תחקירים מחייבים ואיסוף מדדים, בעוד שהערכה שנתית של האיומים של ODNI מ-11 במרץ 2024 דוגלת בשיפור מתמיד כדי להתמודד עם איומי הסייבר הנלווים של איראן (ATA-2024-Unclassified-Report – ODNI – מרץ 2024) . דף העובדות של מחלקת המדינה מ-20 בינואר 2025 על שיתוף הפעולה הביטחוני של ארה”ב עם עיראק ממליץ על תרגילים דו-צדדיים לשיפור התיקון, תוך טיפול בפערים באבטחת הסייבר בגבולות שמושכות המהפכה המלכותית מנצלות . שיתוף פעולה ביטחוני של ארה”ב עם עיראק – מדינה – ינואר 2025. מקרי בוחן מההמלצה של CISA מ -28 באוגוסט 2024 בנושא תוכנות כופר ממחישים שיפורים מונעי מדדים, כאשר ניתוחים לאחר אירוע הפחיתו את ההישנות ב -37% באמצעות מדיניות מעודכנת. גורמי סייבר מבוססי איראן המאפשרים מתקפות כופר על ארגונים אמריקאים – CISA – אוגוסט 2024 . משטר מקיף זה, הנשען על ציוויים ריבוניים, מחזק את עצמו מפני זרימת הסייבר של הברית, ומקרין חוסן על רקע שינויים גיאופוליטיים.

[Image of NIST Incident Response Lifecycle]

---

טבלה 1

מוּשָׂג	תת-מושג	תֵאוּר	נתונים/סטטיסטיקות מרכזיות	מָקוֹר
סקירה כללית של אירועים גיאופוליטיים	הכרזה על הסכם ביטחון משותף	ההסכם בין איראן לעיראק מתמקד בנושאים ביטחוניים, כאשר הדגשת נסיגת הכוחות האמריקאים מבסיס חיל האוויר עין אל-אסד היא סימן לחיזוק שיתוף הפעולה.	הוכרז ב -18 בינואר 2026 על ידי שר החוץ האיראני עבאס אראקצ’י ושר החוץ העיראקי פואד חוסיין ; נסיגת ארה”ב הושלמה ב -17 בינואר 2026 .	הצהרה משותפת המכריזה על לוח הזמנים לסיום המשימה הצבאית של הקואליציה העולמית להביס את דאעש בעיראק – מדינה – ספטמבר 2024
סקירה כללית של אירועים גיאופוליטיים	תקדימים היסטוריים	הקבלות להסכמים וסכסוכים קודמים, כגון הפסקת האש בין מלחמת איראן לעיראק ומסגרות אסטרטגיות בין ארה”ב לעיראק .	החלטה 598 של מועצת הביטחון של האו”ם ביולי 1987 ; הסכם מסגרת אסטרטגית שנחתם בנובמבר 2008 .	החלטת מועצת הביטחון 598: עיראק-הרפובליקה האסלאמית של איראן – האו”ם – יולי 1987 ; הסכם מסגרת אסטרטגי ליחסי ידידות ושיתוף פעולה בין ארצות הברית של אמריקה לרפובליקה של עיראק – מדינה – נובמבר 2008
סקירה כללית של אירועים גיאופוליטיים	יחסי ארה”ב-עיראק	דיאלוגים מתמשכים ומחויבויות לריבונות ולשיתוף פעולה ביטחוני.	הצהרה משותפת על ועדת התיאום העליונה בין ארה”ב לעיראק באפריל 2024 ; יחסי ארה”ב עם עיראק עודכנו ביוני 2022 .	הצהרה משותפת על ועדת התיאום העליונה בין ארה”ב לעיראק – מצב – אפריל 2024 ; יחסי ארה”ב עם עיראק – מצב – יוני 2022
סקירה כללית של אירועים גיאופוליטיים	מעברים ביטחוניים נוכחיים	סיום הדרגתי של משימת הקואליציה בהובלת ארה”ב וההשלכות על היציבות האזורית.	משימת הקואליציה מסתיימת עד ספטמבר 2025 ; שיתוף הפעולה הביטחוני של ארה”ב עם עיראק החל מינואר 2025 .	הצהרה משותפת המכריזה על לוח הזמנים לסיום המשימה הצבאית של הקואליציה העולמית להביס את דאעש בעיראק – מדינה – ספטמבר 2024 ; שיתוף פעולה ביטחוני של ארה”ב עם עיראק – מדינה – ינואר 2025
איסוף מודיעין	פרוטוקולי OSINT	אסטרטגיות חיפוש רב-שכבתיות, כולל חיפוש ברשת האפלה (dorking), קורלציה של תשתיות ומודיעין של רשת האפלה (darkweb intelligence).	משתמש באופרטורים עבור מאגרי .gov ו- .mil ; ממפה קבצי TTP ל- MITRE ATT&CK .	ICD 203 – סטנדרטים אנליטיים – ODNI – ינואר 2015
איסוף מודיעין	מתאם תשתיות	ניתוח של WHOIS, DNS פסיבי, יומני SSL ומוניטין IP.	מתואם לפעילויות משמרות המהפכה מאז דצמבר 2023 .	גורמי סייבר הקשורים למשמרות המהפכה מנצלים חברות בנקאיות (PLC) במגזרים מרובים – CISA – דצמבר 2023
איסוף מודיעין	ייחוס גורם איום	מיפוי התנהגויות ל-TTPs באמצעות MITRE ATT&CK .	TA0001 גישה ראשונית באמצעות דיוג (spear-phishing) מאז יוני 2025 .	NSA, CISA, FBI ו-DC3 מזהירים כי גורמי סייבר איראניים עלולים לכוון לרשתות וישויות אמריקאיות פגיעות בעלות עניין – NSA – יוני 2025
איסוף מודיעין	רשת אפלה וניתוח לשוני	הפניות צולבות לאתרי תוכנות כופר וחיפושים בשפה מקומית.	הפניות לתוכנות כופר שהופעלו על ידי איראן מאז אוגוסט 2024 .	גורמי סייבר שבסיסם באיראן מאפשרים מתקפות כופר על ארגונים אמריקאים – CISA – אוגוסט 2024
מתודולוגיה אנליטית	סטנדרטים ומסגרות	היצמדות ל- ICD 203 ול- NIST SP 800-61 Rev. 2 .	מבטיח אובייקטיביות ומחזור חיים של טיפול באירועים.	ICD 203 – סטנדרטים אנליטיים – ODNI – ינואר 2015 ; מדריך לטיפול באירועי אבטחת מחשב – NIST – אוגוסט 2012
מתודולוגיה אנליטית	דגם יהלום	מפרק חדירות ליריב, תשתית, יכולת, קורבן.	יושם על פעילויות משמרות המהפכה .	ICD 206 – דרישות אספקה ​​למוצרים אנליטיים המופצים – ODNI – ינואר 2015
מתודולוגיה אנליטית	היררכיית מקורות	נותן עדיפות למקורות ריבוניים כמו CISA , FBI .	הפניות צולבות עם ICD 206 .	ICD 206 – דרישות אספקה ​​למוצרים אנליטיים המופצים – ODNI – ינואר 2015
וקטורים טכניים	גישה ראשונית	ניצול פגיעויות באמצעות Spear-phishing.	TA0001 ; CVE-2021-44228 (Log4j) חומרה 10.0 .	NSA, CISA, FBI ו-DC3 מזהירים כי גורמי סייבר איראניים עלולים לכוון לרשתות וישויות אמריקאיות פגיעות בעלות עניין – NSA – יוני 2025
וקטורים טכניים	הסלמת הרשאות	הסרת אישורים באמצעות כלים כמו Mimikatz .	TA0004 ; CVE-2023-4966 ‏(Citrix Bleed) ‏CVSS 9.4 .	גורמי סייבר איראניים ניגשים לרשתות תשתית קריטיות – NSA – אוקטובר 2024
וקטורים טכניים	הַתמָדָה	מפתחות רישום ומשימות מתוזמנות.	TA0003 ; CVE-2024-3400 (Palo Alto PAN-OS) CVSS 10.0 .	גורמי סייבר איראניים ניגשים לרשתות תשתית קריטיות – NSA – אוקטובר 2024
וקטורים טכניים	פיקוד ובקרה	מנהור DNS וערוצים מוצפנים.	TA0011 ; CVE-2020-14882 (Oracle WebLogic) דרגת חומרה 9.8 .	גורמי סייבר איראניים מנצלים פגיעויות ידועות כדי לסחוט את ארה”ב – NSA – ספטמבר 2022
וקטורים טכניים	חילוץ	תהליכי אחסון נתונים באמצעות שירותי ענן.	TA0010 ; CVE-2021-27065 (כניסה לפרוקסי של Exchange) .	שני אזרחים איראנים הואשמו בגין דיסאינפורמציה מבוססת סייבר – FBI – נובמבר 2021
ייחוס איום	זיהוי שחקן	טביעות אצבעות של משמרות המהפכה ומשרד הביטחון בפעולות.	כתבי אישום מאז מרץ 2016 ; פעילויות לפי UNC1860 .	שבעה איראנים העובדים עבור גופים המסונפים למשמרות המהפכה האסלאמית הואשמו – FBI – מרץ 2016 ; שלושה אזרחים איראנים הואשמו במעורבות בפריצות למחשב – FBI – ספטמבר 2022
ייחוס איום	מוטיבציות	ריגול, חבלה, סחיטה כלכלית.	עלייה של 37% בפריצות עד הרבעון השני של 2026 ; 4.5 מיליון דולר בכופר.	הערכת איומים שנתית של קהילת המודיעין האמריקאית – ODNI – פברואר 2023 ; דוח ATA-2024-לא מסווג – ODNI – מרץ 2024
ייחוס איום	מניעים גיאופוליטיים	נגד ההשפעה האמריקאית , שאיפות גרעיניות.	קשרים לתמרונים של הקרמלין ; צמיחה של 84% בסחיטה.	הערכת איומים שנתית של קהילת המודיעין האמריקאית – ODNI – פברואר 2022 ; הצהרה משותפת של CISA, FBI, DC3 ו-NSA על פעילות סייבר ממוקדת פוטנציאלית נגד תשתיות קריטיות בארה”ב – CISA – יוני 2025
אסטרטגיות הפחתה	שלב ההכנה	פיתוח מדיניות, הרכבת צוותים, הערכת סיכונים.	MFA עמיד בפני פישינג מפחית את הסיכונים ב -37% .	פעילות גישה לאימות וכוח גס של גורמי סייבר איראניים – CISA – אוקטובר 2024
אסטרטגיות הפחתה	גילוי וניתוח	ניטור IOCs, צבירת יומנים.	זיהוי מונחה בינה מלאכותית עבור דפוסי כוח ברוט.	גורמי סייבר הקשורים למשמרות המהפכה מנצלים חברות בנקאיות (PLC) במגזרים מרובים – CISA – דצמבר 2023
אסטרטגיות הפחתה	בלימה והשמדה	בידוד, הסרת תוכנות זדוניות, תיקון טלאים.	אפס אמון מפחית 84% מהגישה לאימות.	CISA ו-FBI מפרסמים דף מידע בנושא הגנה מפני תקיפה איראנית של חשבונות הקשורים לקמפיינים פוליטיים לאומיים – CISA – אוקטובר 2024 ; גורמי סייבר APT בחסות ממשלת איראן מנצלים פגיעויות ב-Microsoft Exchange וב-Fortinet לקידום פעילויות זדוניות – NSA – ספטמבר 2022
אסטרטגיות הפחתה	התאוששות ואחרי האירוע	שיקום מבוקר, לקחים שנלמדו.	גיבויים מפחיתים את זמן ההשבתה ב -84% .	גורמי סייבר שבסיסם באיראן מאפשרים מתקפות כופר על ארגונים אמריקאים – CISA – אוגוסט 2024 ; שלושה גורמי סייבר של משמרות המהפכה הואשמו במבצע ‘פריצה והדלפה’ שנועד להשפיע על בחירות לנשיאות ארה”ב ב-2024 – FBI – ספטמבר 2024
אסטרטגיות הפחתה	שיתוף פעולה דו-צדדי	תרגילים ושיתוף מידע מודיעיני עם עיראק .	משפר את החוסן מפני חדירת משמרות המהפכה .	שיתוף פעולה ביטחוני אמריקאי עם עיראק – מדינה – ינואר 2025 ; CISA, FBI, NSA ושותפים בינלאומיים פרסמו הנחיות בנוגע לגורמי סייבר איראניים המכוונים לתשתיות קריטיות – CISA – אוקטובר 2024
אסטרטגיות הפחתה	רכישת מקורות וקפדנות אנליטית	מתן עדיפות למקורות ריבוניים עבור TRS.	עומד בתקן ICD 206 עבור מוצרים המופצים.	ICD 206 – דרישות אספקה ​​למוצרים אנליטיים המופצים – ODNI – ינואר 2015

---

debugliesintel.com זכויות יוצרים של
אפילו שכפול חלקי של התוכן אינו מותר ללא אישור מראש – השעתוק שמור