"פעם ראשונה שראינו אתר סחיטה בעברית": קבוצת ההאקרים "היהודית" שמנסה להפליל את ישראל

בחודשים האחרונים נתקלו חוקרי צ'ק פוינט בקבוצת כופרה חדשה (אותם ארגוני פשיעה שמשתלטים על מחשבים, מצפינים מידע ודורשים תשלום עבור שחרורו), בשם סיקרי (Sicarii), שמציגה את עצמה באופן חריג כקבוצה יהודית-ישראלית. בניגוד לרוב קבוצות הכופרה, שפועלות בזהות אנונימית ומנסות להימנע מכל שיוך לאומי או אידאולוגי, סיקרי עושה את ההפך: היא מדגישה זהות, משתמשת בעברית, משלבת סמלים קיצוניים, ואף נמנעת באופן יזום מלתקוף מערכות המזוהות כישראליות.

מדובר בקבוצה שכרגע הצהירה פומבית על תקיפה של חברות ביוון, ובתקשורת פנימית עם אנשיה הם טענו שהם הולכים לתקוף את ערב הסעודית, תוך התמקדות בעסקים קטנים.

חשוב להבין: בזירת הכופרה קיימת נורמה לא כתובה של “אל תתקוף את הבית”. קבוצות רבות, בעיקר ממזרח אירופה, נמנעות מתקיפת מדינת המקור שלהן - אך הן כמעט אף פעם לא אומרות זאת בקול רם. הן לא כותבות זאת באתר, לא מצהירות על זהות לאומית, ולא מטמיעות בקוד מנגנון שמכריז על כך בפועל. ההימנעות נעשית בשקט, מתוך אינטרס תפעולי.

במקרה של הקבוצה הזאת, כפי שמצאו חוקרי צ'ק פוינט, מדובר "במשהו אחר לגמרי". הקבוצה לא רק נמנעת מלתקוף ישראלים, אלא עושה זאת בצורה מוחצנת: היא בודקת אזור זמן ישראלי, מקלדת בעברית וכתובות IP ישראליות - ואם מזהה קשר לישראל, הכופרה פשוט לא פועלת. זו בחירה חריגה, כמעט הצהרתית, שמעלה שאלות לגבי המניע האמיתי.

במבט ראשון, ניתן לחשוב שמדובר בקבוצת האקרים אידיאולוגית פרו-ישראלית, אולי אפילו קיצונית, שפועלת מתוך אג'נדה פוליטית. הקבוצה משתמשת בדימויים המזוהים עם הימין הקיצוני בישראל, כמו של תנועת כך אך גם סמל של ארגון "ההגנה", מצהירה על כוונה לפגוע במדינות ערביות או מוסלמיות, ומציגה את עצמה כמי שפועלת “לטובת” ישראל.

אבל ככל שהחוקרים העמיקו בבדיקה, התמונה הסתבכה. העברית שבה משתמשת הקבוצה אינה עברית טבעית – היא כוללת שגיאות, ניסוחים מוזרים ותרגומים מילוליים מאנגלית. לעומת זאת, עיקר הפעילות של הקבוצה בפורומים מחתרתיים וברשתות כמו טלגרם מתבצעת ברוסית ובאנגלית שוטפות, עם סלנג והתנהלות שמאפיינים דוברים ברמת שפת אם. הפער הזה בין הזהות שמוצגת החוצה לבין השפה וההתנהלות בפועל הוא אחד מסימני האזהרה המרכזיים.

גם דפוסי ההתנהגות עצמם לא תואמים קבוצת כופרה “קלאסית”. יש פומביות יתר, סתירות בין הצהרות שונות של המפעילים, וחוסר משמעת אופרטיבית. קבוצות כופרה שמונעות מרווח כספי בדרך כלל פועלות בצורה מאוד מחושבת, מצמצמות חשיפה ומנסות להיראות כמה שיותר “עסקיות”. כאן, נראה שהמסר והזהות חשובים לפחות כמו הכסף, אם לא יותר.

כל זה הוביל את החוקרים לחשוב כי המטרה האמיתית של אותם האקרים היא דווקא לייצר נרטיב נגדי נוסף נגד ישראל, באמצעות הצגה עצמית כ”האקרים ישראלים” שתוקפים מדינות ערב.

"פעם ראשונה שראינו אתר סחיטה בעברית"

"ההתחלה הייתה בסוף דצמבר, מפרסום שמצאנו כשעקבנו אחרי קבוצות טלגרם בדארק-ווב (הרשת האפלה)", מספר ל-mako סרגיי שוקביץ', מנהל קבוצת מודיעין הסייבר בצ'ק פוינט. "בהתחלה הסתכלנו על זה כעוד קבוצת כופרה חדשה, אבל אז ראינו את אתר הסחיטה שלהם. זו הייתה הפעם הראשונה שראינו קבוצת כופרה שמפעילה אתר בעברית".

השם שנבחר, "סיקרי", אינו מקרי. הוא מתייחס לקבוצת קנאים יהודים מימי בית שני, שהיו ידועים כמתנקשים הנושאים פגיונות. "זה ישר שלח אותנו לבדוק את ההיסטוריה היהודית הקדומה ולהבין מה המסר כאן", מסביר שוקביץ'. "זה שונה מאוד מרוב הקבוצות, שהן בדרך כלל דוברות רוסית ומגיעות ממזרח אירופה. כאן היה משהו אחר".

"ניסינו להבין מי הם, אז פנינו אליהם בעברית", משחזר שוקביץ'. "בהתחלה הם התחמקו, אבל כשעברו לעברית, זה היה מוזר מאוד. קיבלנו הודעות כמו 'שלום, זה יצחק, על מה אתה רוצה לשוחח?'. אני לא מכיר ישראלים שמדברים ככה בטלגרם או בוואטסאפ. השפה לא הייתה טבעית, והיה ברור שזה לא ישראלי בצד השני".

בדיקה של הטקסטים באתר ובצ'אטים חשפה שגיאות מביכות שאינן אופייניות לדוברי שפת אם, כמו כתיבת המילה "לכבות" עם האות ח', ושימוש בניסוחים שנראים כתרגום מכונה גרוע. לעומת זאת, בפורומים הפנימיים שלהם, חברי הקבוצה התנהלו ברוסית ובאנגלית, כולל שימוש בסלנג מקצועי ברמת שפת אם.

"מאוד קשה להוכיח שזאת פעילות תודעה, אבל המסקנה שלנו שיש סיכוי סביר שמדובר בשחקן מזרח-תיכוני, שרוצה לעורר גל שלילי נגד ישראל, להראות שיש גורמים ישראלים תוקפנים גם בסייבר", אומר שוקביץ'.

מדובר באיראנים?

"אין לי דרך להצביע על האיראנים, אבל האיראנים הכי טובים בפעילות תודעה. בסך הכול יש פה פעילות יחסית מושקעת – טלגרם, אתר, כופרה עצמה שהיא עובדת. גם לא מצאנו דמיון מובהק לכופרה אחרת. ראינו הבנה של מה זה אומר ימין כהניסטי. יש פה השקעה, לא בנו את זה ביום-יומיים".

חלק ממלחמת התודעה

"המקרה של 'סיקרי' הוא רק קצה הקרחון של מלחמת תודעה רחבה, המובלת ברובה על ידי איראן", מוסיף שוקביץ'. באשר לקבוצת "חנדלה" (Handala), שעלתה לכותרות לאחרונה לאחר שפרצה למכשירי טלפון או טלגרם של אישי ציבור, הוא אומר: "כולם יודעים שמאחורי המותג הזה עומד למעשה המודיעין האיראני. זו קבוצה דומיננטית ואופורטוניסטית, שמנסה לייצר כמה שיותר רעש בכל מחיר".

"ברוב המקרים לא מדובר בפריצה מתוחכמת לטלפון עצמו", מרגיע שוקביץ', אך מחדד: "הם משתמשים בפישינג כדי לגנוב את הקוד החד-פעמי (OTP) מהמשתמש, וכך משתלטים על האפליקציה - טלגרם או וואטסאפ - או על הגיבויים של הטלפון".

המטרה האמיתית, הוא מסכם, אינה בהכרח הטכנולוגיה או המידע, אלא האפקט הפסיכולוגי: "הם רוצים לקעקע את אמון הציבור הישראלי ביכולת של המדינה להגן עליו. בדיוק כפי שטילים גורמים לאזרח לתהות אם הוא מוגן פיזית, מתקפות הסייבר הללו נועדו לגרום לו לפקפק בביטחון הדיגיטלי שלו. זהו עוד כלי בארסנל המלחמה על התודעה".