בנובמבר 2025 פרסמה קבוצת ההאקרים הפרו-איראנית Cyber Toufan בערוץ הטלגרם שלה תיעוד פנימי - הקלטות פגישות, סרטוני CCTV ושרטוטים הנדסיים - שלקוח, על פי טענתה, מ-MAYA Technologies, חברת שירותי הנדסה ישראלית. הנפח הכולל שתועד בפרסומים: עשרות טרה-בייט, 17 קבלני ביטחון ישראלים שנפגעו דרך הספק, ו-36 פרויקטים משותפים בין ישראל לאוסטרליה - בהם פרויקט Redback בשווי 7 מיליארד דולר אוסטרלי.[1][2]
הקבוצה לא חדרה לקבלנים הראשיים ישירות - היא מצאה את הדלת הצדדית הכי פחות מוגנת. הספק היה הציר הראשי, לא היעד הראשי. הניתוח הבא מתבסס על דיווחי תקשורת מאומתים ועל מסגרות הבקרה של רב מגן, NIST SP 800-161 ו-NIST SP 800-171, ומציג מה כל קבלן ראשי וכל ספק חייב לעשות עכשיו.
שחזור האירוע - איך ספק קטן הופך לציר ראשי
קבוצת Cyber Toufan פעילה מנובמבר 2023, מיד לאחר ה-7 באוקטובר, ומקושרת על ידי גורמי מודיעין מערביים לקבוצה האיראנית Emennet Pasargad (גם בשמות: Aria Sepehr Ayandehsazan / Cotton Sandstorm) - גורם תחת חסות IRGC.[3][4] בתקיפת MAYA Technologies נצפה דפוס פעולה עקבי בן ארבעה שלבים, שמופיע גם בתקיפות אחרות של ספקי שירותים לתעשייה הביטחונית הישראלית.
🔴 שלב 1: זיהוי הספק החלש בשרשרת
במקום לתקוף קבלן ראשי כמו Elbit או Rafael ישירות, הקבוצה ממפה את שרשרת הספקים: חברות הנדסה, מעצבי PCB, ספקי תוכנה הנדסית, חברות לוגיסטיקה. ספק קטן או בינוני שמחזיק תוכניות רגישות אך אינו מיישם רב מגן או NIST SP 800-171 הוא יעד אופטימלי.
🟠 שלב 2: כניסה ושהייה ממושכת
על פי הדיווחים, התוקפים נכנסו לרשת MAYA Technologies וצברו גישה למעלה משנה לפני הפרסום, כולל גישה לארכיון QNAP של החברה ולמכשירי קצה (ראוטרים, טלפונים, מדפסות, מצלמות) של חברות שותפות.[5] וקטור הכניסה לא פורסם, אך התבנית הרגילה אצל Emennet Pasargad כוללת brute-force, ניצול VPN/edge devices לא מעודכנים, ו-phishing מותאם.[4]
🟠 שלב 3: איסוף שיטתי של תוכן רגיש
לאורך תקופת השהייה - על פי הקבוצה - נאספו עשרות טרה-בייט: מסמכים אדמיניסטרטיביים וטכניים, סרטוני וידאו של עובדים שעובדים על מערכות הגנה, שרטוטי רכיבים רגישים, והקלטות שיחות. השלב הזה נעשה בשקט - בלי שיבוש, בלי הצפנה, רק קריאה.[1][2]
🔴 שלב 4: הדלפה הדרגתית - מינוף פסיכולוגי וחקירה
במקום פרסום חד-פעמי, הקבוצה הדליפה בגלים: ב-22 באוקטובר 2025 החל פרסום של פרטי 36 הפרויקטים, ובנובמבר 2025 הצטרפו פרסומי Redback ו-CCTV מהמתקנים. כל גל אילץ את הקבלן הראשי - וגורמי הביטחון הלאומי - להתמודד מחדש: מה דלף? מה הסיווג? אילו מדינות שותפות? המשמעות: אירוע שלא נסגר חודשים.[2][6]
למה זה לא זוהה אצל הקבלן הראשי
השאלה המתבקשת: איך 17 קבלני ביטחון, רובם עם SOC ו-SIEM וצוותי סייבר מקצועיים, לא זיהו שמסמכים שלהם דולפים דרך ספק? התשובה: הזיהוי לא היה אמור להיות אצלם. הוא היה אמור להיות מובנה במערך ה-flowdown של דרישות האבטחה שלהם לספקיהם. כשזה לא קורה, הקבלן הראשי תלוי כולו בספק שיגלה לבד שנפרץ - וזה נדיר.
חסר flowdown של דרישות אבטחה לספקים
הקבלן הראשי לא העביר לספק ההנדסה את הדרישות הביטחוניות שחלות עליו (רב מגן, NIST 800-171, ITAR/CMMC לפי העניין). הספק חתם על NDA - אך לא נדרש להוכיח עמידה בבקרות אבטחה מתועדות.
אין סקרי ספקים תקופתיים
ספק שעובד עם הקבלן הראשי שנים לא נדרש לעבור סקר ביטחון מאז ההסכם הראשוני. גם כש-CVE קריטיים פורסמו, אין מנגנון שמוודא שהספק טיפל. שנה של גישה לא-מורשית מצביעה ישירות על העדר הניטור הזה.
אין ניטור דליפות בערוצי הדלפה
צוותי הקבלן הראשי לא עוקבים אחר ערוצי טלגרם, פורומים מחתרתיים ושירותי dark-web monitoring שבהם קבוצות כמו Cyber Toufan מפרסמות. גילוי הדליפה הראשונה בכל המקרים האלה הגיע מהתקשורת או מהקבוצה עצמה - לא מהארגון.
אין סיווג ברור של מה שעובר לספק
תוכניות הנדסיות שעוברות לספק חיצוני אמורות להיות מתויגות (DLP), והעברתן מתועדת. ללא תיוג, אין כיצד לדעת בדיעבד מה דלף ולמי - והאירוע הופך ל"כל מה שאי-פעם שלחנו לספק".
בקרות רב מגן ו-NIST שהיו תופסות את זה
כל אחד משלבי התקיפה היה זוהה - או שלא היה מתממש כלל - אם בקרות ספציפיות ממסגרות רב מגן ו-NIST SP 800-171 היו מיושמות אצל הספק וכ-flowdown מהקבלן הראשי. להלן מיפוי הבקרות לשלבי התקיפה:
שווה להבליט: אף אחת מהבקרות הללו אינה חדשה או יוקרתית. כולן מתועדות, מבוססות ומחויבות בתקנים מזה שנים. מה שחסר אצל הספקים שנפרצו זה לא ידע - זה אכיפה ויישום, ובעיקר flowdown מצד הקבלן הראשי.
מה לעשות עכשיו - תוכנית פעולה לקבלן ראשי
אם אתם קבלן ראשי שמעביר תוכניות, הצעות או IP לספקי משנה, להלן רשימת המשימות שצריך לסגור עכשיו - לפני הופעה אפשרית בגל ההדלפה הבא:
- מיפוי מלא של כל ספקי המשנה שיש להם גישה ל-CUI, IP או תוכניות פרויקטים. כולל ספקי משנה של ספקי משנה (4th party).
- שאלון אבטחה מתועד מבוסס רב מגן/NIST 800-171, כולל הוכחות (לא הצהרות בלבד) וסריקה חיצונית של נכסי הספק.
- תוספת חוזית של flowdown - חיוב הספק ביישום הבקרות, חובת דיווח על אירועים בתוך 24 שעות, וזכות הקבלן הראשי לבצע ביקורת.
- סקר ביטחון תקופתי לספקים קריטיים - לפחות אחת לשנה, או לאחר אירוע מהותי בענף.
- ניטור פעיל של פלטפורמות הדלפה (Telegram channels, dark-web, paste sites) על שם הארגון, שמות פרויקטים מרכזיים ו-IP מותגי.
- תרחיש IR ייעודי לאירוע חוצה-ספק - מי מודיע ללקוחות, מה הסיווג של מה שעבר, מי מטפל מול הרגולטור.
- הקטנת היקף הגישה: לא כל ספק צריך הכל. עברו על ההרשאות, צמצמו, ובמיוחד - העבירו רק מה שנדרש לפרויקט הספציפי, לא את כל המאגר.
השורה התחתונה
תקיפת MAYA Technologies על ידי Cyber Toufan היא לא תופעה חולפת - היא אופן הפעולה הסטנדרטי החדש של תוקפי APT איראניים מול התעשייה הביטחונית הישראלית. הספק הוא הדלת האחורית, והקבלן הראשי הוא היעד.
קבלן ראשי שאינו מבצע flowdown של דרישות אבטחה ולא מנטר את ספקיו אינו עומד בדרישות הרגולציה, חשוף לתביעות מצד לקוחותיו הסופיים, ובמקרה של פרויקטים בינלאומיים - מסכן הסכמי שיתוף פעולה ביטחוני.
הזמן לסגור את הפער הוא לפני שמופיעים בערוץ Telegram - לא אחרי.
מקורות
- The Jerusalem Post — Hackers target Israeli-Australian defense projects (2025-11-09)
- The Defense Post — Australia's Redback Program Data Leaked by Iran-Backed Hackers (2025-11-10)
- CISA — FBI Releases PIN on Iranian Cyber Group Emennet Pasargad (2022-01-27)
- CISA Advisory AA24-290A — Iranian Cyber Actors' Brute Force and Credential Access Activity
- The Cyber Express — Threat Group Claims Breach Of Israeli Defense Contractor
- Iran International — Iran-linked hackers leak plans for Australia's $7bn Redback program
- NIST SP 800-161 Rev. 1 — Cybersecurity Supply Chain Risk Management Practices
- NIST SP 800-171 Rev. 3 — Protecting Controlled Unclassified Information