בתחילת מרץ 2026 פרסמה Symantec (חטיבת Threat Hunter של Broadcom) ניתוח של גל חדירות שיוחס לקבוצת התקיפה האיראנית Seedworm - המוכרת יותר בשם MuddyWater. הקמפיין פגע בשורת ארגונים בארה"ב, וביניהם - וזו הנקודה הקריטית לתעשייה הישראלית - המערך הישראלי של חברת תוכנה אמריקאית שמספקת שירותים לתעשיית הביטחון והאווירונאוטיקה. במילים אחרות: שחקן מדינתי איראני חדר לשרשרת האספקה הביטחונית דרך ספק תוכנה, לא דרך הקבלן הראשי.[1][2]
המאמר הזה מפרק מיהי Seedworm, מה בדיוק עשתה בקמפיין הנוכחי, למה ספק ביטחוני ישראלי הוא מטרה מועדפת גם אם הוא "רק" חוליה בשרשרת, ואילו צעדי הגנה מעשיים אפשר להתחיל ליישם כבר עכשיו. הניתוח נשען אך ורק על דיווחי Symantec והתקשורת המקצועית - ולא ננקוב בשמות קורבנות שלא פורסמו רשמית.
מיהי Seedworm / MuddyWater
Seedworm היא קבוצת ריגול סייבר מדינתית איראנית הפעילה לפחות מ-2017. בתעשייה היא מוכרת גם בשמות MuddyWater, Temp.Zagros ו-Static Kitten, ומתועדת ב-MITRE ATT&CK תחת המזהה G0069. הקבוצה קושרה בפומבי למשרד המודיעין האיראני (MOIS) - כלומר מדובר בזרוע ריגול ממשלתית, לא בכנופיית פשע כלכלי.[3][4]
המשמעות הזו חשובה: יעד של קבוצת פשע הוא כסף (כופר, סחיטה), והוא "עוזב" ברגע שקיבל תשלום. יעד של שחקן מדינתי הוא מודיעין וגישה מתמשכת - הבנת מערכות נשק, קווי ייצור, קשרים בין ספקים, ולעיתים מיצוב מוקדם (pre-positioning) לקראת עימות עתידי. Symantec ותקשורת מקצועית קשרו את גל הפעילות הזה להסלמה מול איראן, והעריכו שהוא נועד להשיג דריסת רגל ברשתות תשתית ולוגיסטיקה צבאית עוד לפני שהיא נדרשת.[5]
ההבדל מ"תקיפה רגילה"
שחקן מדינתי כמו Seedworm לא בהכרח מצפין קבצים או משבש שירות. הוא נכנס בשקט, שותל דלת אחורית, ויושב. הנזק אינו "השבתה" מיידית אלא דליפת ידע ומיצוב - ולכן קשה בהרבה לגלות אותו ולהצדיק תקציב הגנה מולו. זהו הבדל מהותי מאיומי הכופר שרוב הארגונים בונים סביבם את ההגנה.
מה קרה בקמפיין 2026 - השחזור לפי Symantec
לפי הדיווח, הפעילות החלה בתחילת פברואר 2026 ונמשכה אל תוך מרץ. בין הארגונים שנפגעו: בנק אמריקאי, נמל תעופה, ארגונים ללא מטרות רווח בארה"ב ובקנדה - והמערך הישראלי של ספק תוכנה אמריקאי לתעשיית הביטחון והאווירונאוטיקה. Symantec לא נקבה בשם הספק, ולכן גם אנחנו לא - אך הווקטור עצמו הוא הלקח המרכזי: התוקף לא ניסה לפרוץ ישירות לקבלן נשק, אלא לספק שירות שיושב בתוך שרשרת האספקה שלו.[1][2]
🔴 כלים חדשים: Dindoor ו-Fakeset
בקמפיין נצפו שתי דלתות אחוריות חדשות. Dindoor - דלת אחורית שמנצלת את סביבת הריצה Deno (JavaScript/TypeScript) להרצת פקודות, כלי לא-שגרתי שנועד להתחמק מזיהוי מבוסס-חתימות. Fakeset - דלת אחורית כתובה ב-Python. שילוב של runtime לגיטימי (Deno) עם כלים כתובים בשפות סקריפט מקשה על מנועי EDR קלאסיים.[2][6]
🟠 הוצאת מידע: Rclone אל אחסון ענן Wasabi
להוצאת המידע (exfiltration) השתמשה הקבוצה ב-Rclone - כלי קוד-פתוח לגיטימי לסנכרון קבצים לענן - כדי להעביר נתונים אל דלי אחסון ב-Wasabi. השימוש בכלי לגיטימי (Living off the Land) פירושו שהתעבורה נראית "רגילה" ולא מפעילה בהכרח התראה. זהו דפוס שחוזר על עצמו אצל שחקנים מדינתיים ומקשה על זיהוי מבוסס-רשת.[1]
🔵 היקף רחב יותר מ-2026
הקמפיין האמריקאי אינו אירוע מבודד. במקביל דיווחה Symantec על פעילות Seedworm רחבה ברבעון הראשון של 2026 - פגיעה ביצרנית אלקטרוניקה דרום-קוריאנית ובכ-9 ארגונים בארבע יבשות; ועוד קודם, קמפיין נגד 100+ גופים ממשלתיים במזרח התיכון ובצפון אפריקה. מדובר במכונת ריגול מתמשכת, לא במבצע חד-פעמי.[4][7]
למה ספק ביטחוני ישראלי הוא מטרה מועדפת
גם ספק קטן או בינוני, שרואה את עצמו "רחוק מהחזית", הוא יעד אטרקטיבי בדיוק בגלל מיקומו בשרשרת. שלושה מנגנונים הופכים אותו למטרה:
הספק הוא הדלת האחורית לקבלן הראשי
לקבלן הביטחוני הגדול יש מרכז הגנה, ניטור 24/7 ותקציב סייבר. לספק הקטן - לרוב אין. התוקף בוחר בחוליה החלשה: פורץ לספק, ומשם נע לרוחב אל הרשת של הלקוח הביטחוני דרך גישות VPN, חשבונות שירות או ממשקי אינטגרציה. בדיוק כך פעל הקמפיין הנוכחי - דרך ספק תוכנה.
לספק יש נכסי מודיעין ששווים לתקוף
קבצי CAD, שרטוטים, מפרטים טכניים, לוחות זמנים של פרויקטים, רשימות ספקי-משנה, והתכתבויות - כל אלה יושבים אצל הספק ומספקים לשחקן המדינתי תמונת מודיעין על מערכת הנשק כולה, גם בלי לגעת בקבלן הראשי.
מיצוב מוקדם לעת עימות
ההערכה שגל 2026 קשור להסלמה מול איראן ממחישה שהמטרה אינה בהכרח "עכשיו". שחקן שמשיג גישה מתמשכת אצל ספק לוגיסטיקה או תוכנה שומר אותה כנכס - להפעלה בעיתוי שבו שיבוש שרשרת האספקה הביטחונית יהיה בעל ערך אסטרטגי מרבי.
עמדנו על ההיגיון הזה כבר בניתוח חדירה לקבלן ביטחוני - 18 חודשי ריגול שלא זוהו: אותו דפוס "low and slow" של שהייה שקטה, שרואים כאן שוב עם Seedworm. את המחיר המצטבר של פערי הגנה בשרשרת פירטנו במחיר האמיתי של הזנחת שרשרת אספקה.
מסגרת הגנה בחמש שכבות מול איום מסוג Seedworm
אין "כפתור קסם" מול שחקן מדינתי, אבל יש היגיון ברור: לצמצם משטח תקיפה, לזהות תנועה לרוחב, ולנטר את ערוצי ההוצאה. חמש השכבות הבאות ממופות ישירות מול ה-TTPs שנצפו בקמפיין:
עומק היישום של מסגרת "רב מגן" - השכבה החמישית - מפורט אצלנו במדריך רב מגן המעשי לקבלן ביטחוני.
צ׳קליסט מיידי לספק ביטחוני - מה לבדוק השבוע
- ודאו שכל שרתי ה-VPN וממשקי הגישה מרחוק מעודכנים לגרסה האחרונה, ושכל חשבון גישה מוגן ב-MFA עמיד-פישינג.
- חפשו בתחנות ובשרתים נוכחות של Rclone או כלי סנכרון-ענן שלא הותקנו על ידכם - וחסמו יעדי ענן לא-מאושרים.
- בדקו האם ה-EDR/XDR שלכם מזהה הרצה של runtime מסוג Deno או סקריפטים לא-חתומים; אם לא - הוסיפו כלל התנהגותי.
- מפו את כל נקודות החיבור בינכם לבין הקבלן הראשי (VPN, API, חשבונות שירות) והגבילו כל אחת למינימום ההכרחי.
- ודאו שלוגים של הוצאת מידע ותנועה לרוחב נשמרים לפחות 90 יום - שחקן מדינתי שוהה חודשים, ובלי לוגים אין חקירה.
- הריצו בדיקת threat hunting ממוקדת ל-IOCs של Seedworm/MuddyWater מדיווח Symantec העדכני.
- בנו נוהל תגובה לאירוע (IR) עם ערוץ דיווח מוגדר למערך הסייבר וללקוח הביטחוני, ותרגלו אותו לפחות פעם בשנה.
השורה התחתונה
קמפיין Seedworm של 2026 הוא תזכורת חדה: האיום האיראני על ספקים ביטחוניים אינו תיאורטי, והוא מגיע דרך שרשרת האספקה - ספק תוכנה, ספק שירות, קבלן משנה - ולא דרך החזית המבוצרת של הקבלן הראשי. שחקן מדינתי מסוג MOIS מחפש גישה מתמשכת ומודיעין, לא כופר מהיר, ולכן הוא שוהה בשקט חודשים ומוציא מידע בכלים לגיטימיים.
ספק ביטחוני ישראלי שרוצה להישאר בשרשרת חייב להתייחס לעצמו כמטרה, לא כצופה מהצד. KPLNS מבצעת סקר ביטחון 360° שממפה בדיוק את משטח התקיפה מול איומים מסוג Seedworm - נקודות הגישה מול הקבלן הראשי, ערוצי ההוצאה, ופערי הזיהוי - ומתרגמת זאת לתוכנית בקרות מדורגת לפי מסגרת רב מגן.
מקורות
- Symantec (Broadcom) — Seedworm: Iranian APT on Networks of U.S. Bank, Airport, Software Company
- Industrial Cyber — Symantec Reports Iranian Seedworm Hackers Infiltrate US Infrastructure and Defense Supply Chain Networks
- MITRE ATT&CK — MuddyWater (G0069)
- Help Net Security — Iran-linked APT (Seedworm/MuddyWater) Targets US Critical Sectors with New Backdoors
- Cybersecurity Dive — State-linked Actors Targeted US Networks in Lead-up to Iran War
- The Hacker News — Iran-Linked MuddyWater Hackers Target U.S. Networks with New Dindoor Backdoor
- Symantec (Broadcom) — Seedworm: Iran-Linked Hackers Breached Korean Electronics Maker in Global Spying Campaign
- מערך הסייבר הלאומי (INCD) — אתר רשמי