בתחילת מרץ 2026 פרסמה Symantec (חטיבת Threat Hunter של Broadcom) ניתוח של גל חדירות שיוחס לקבוצת התקיפה האיראנית Seedworm - המוכרת יותר בשם MuddyWater. הקמפיין פגע בשורת ארגונים בארה"ב, וביניהם - וזו הנקודה הקריטית לתעשייה הישראלית - המערך הישראלי של חברת תוכנה אמריקאית שמספקת שירותים לתעשיית הביטחון והאווירונאוטיקה. במילים אחרות: שחקן מדינתי איראני חדר לשרשרת האספקה הביטחונית דרך ספק תוכנה, לא דרך הקבלן הראשי.[1][2]

המאמר הזה מפרק מיהי Seedworm, מה בדיוק עשתה בקמפיין הנוכחי, למה ספק ביטחוני ישראלי הוא מטרה מועדפת גם אם הוא "רק" חוליה בשרשרת, ואילו צעדי הגנה מעשיים אפשר להתחיל ליישם כבר עכשיו. הניתוח נשען אך ורק על דיווחי Symantec והתקשורת המקצועית - ולא ננקוב בשמות קורבנות שלא פורסמו רשמית.

פבר׳ 2026
תחילת גל החדירות שחשפה Symantec (נמשך למרץ)
MOIS
שיוך: משרד המודיעין האיראני
2
דלתות אחוריות חדשות: Dindoor ו-Fakeset

מיהי Seedworm / MuddyWater

Seedworm היא קבוצת ריגול סייבר מדינתית איראנית הפעילה לפחות מ-2017. בתעשייה היא מוכרת גם בשמות MuddyWater, Temp.Zagros ו-Static Kitten, ומתועדת ב-MITRE ATT&CK תחת המזהה G0069. הקבוצה קושרה בפומבי למשרד המודיעין האיראני (MOIS) - כלומר מדובר בזרוע ריגול ממשלתית, לא בכנופיית פשע כלכלי.[3][4]

המשמעות הזו חשובה: יעד של קבוצת פשע הוא כסף (כופר, סחיטה), והוא "עוזב" ברגע שקיבל תשלום. יעד של שחקן מדינתי הוא מודיעין וגישה מתמשכת - הבנת מערכות נשק, קווי ייצור, קשרים בין ספקים, ולעיתים מיצוב מוקדם (pre-positioning) לקראת עימות עתידי. Symantec ותקשורת מקצועית קשרו את גל הפעילות הזה להסלמה מול איראן, והעריכו שהוא נועד להשיג דריסת רגל ברשתות תשתית ולוגיסטיקה צבאית עוד לפני שהיא נדרשת.[5]

ההבדל מ"תקיפה רגילה"

שחקן מדינתי כמו Seedworm לא בהכרח מצפין קבצים או משבש שירות. הוא נכנס בשקט, שותל דלת אחורית, ויושב. הנזק אינו "השבתה" מיידית אלא דליפת ידע ומיצוב - ולכן קשה בהרבה לגלות אותו ולהצדיק תקציב הגנה מולו. זהו הבדל מהותי מאיומי הכופר שרוב הארגונים בונים סביבם את ההגנה.

מה קרה בקמפיין 2026 - השחזור לפי Symantec

לפי הדיווח, הפעילות החלה בתחילת פברואר 2026 ונמשכה אל תוך מרץ. בין הארגונים שנפגעו: בנק אמריקאי, נמל תעופה, ארגונים ללא מטרות רווח בארה"ב ובקנדה - והמערך הישראלי של ספק תוכנה אמריקאי לתעשיית הביטחון והאווירונאוטיקה. Symantec לא נקבה בשם הספק, ולכן גם אנחנו לא - אך הווקטור עצמו הוא הלקח המרכזי: התוקף לא ניסה לפרוץ ישירות לקבלן נשק, אלא לספק שירות שיושב בתוך שרשרת האספקה שלו.[1][2]

🔴 כלים חדשים: Dindoor ו-Fakeset

בקמפיין נצפו שתי דלתות אחוריות חדשות. Dindoor - דלת אחורית שמנצלת את סביבת הריצה Deno (JavaScript/TypeScript) להרצת פקודות, כלי לא-שגרתי שנועד להתחמק מזיהוי מבוסס-חתימות. Fakeset - דלת אחורית כתובה ב-Python. שילוב של runtime לגיטימי (Deno) עם כלים כתובים בשפות סקריפט מקשה על מנועי EDR קלאסיים.[2][6]

🟠 הוצאת מידע: Rclone אל אחסון ענן Wasabi

להוצאת המידע (exfiltration) השתמשה הקבוצה ב-Rclone - כלי קוד-פתוח לגיטימי לסנכרון קבצים לענן - כדי להעביר נתונים אל דלי אחסון ב-Wasabi. השימוש בכלי לגיטימי (Living off the Land) פירושו שהתעבורה נראית "רגילה" ולא מפעילה בהכרח התראה. זהו דפוס שחוזר על עצמו אצל שחקנים מדינתיים ומקשה על זיהוי מבוסס-רשת.[1]

🔵 היקף רחב יותר מ-2026

הקמפיין האמריקאי אינו אירוע מבודד. במקביל דיווחה Symantec על פעילות Seedworm רחבה ברבעון הראשון של 2026 - פגיעה ביצרנית אלקטרוניקה דרום-קוריאנית ובכ-9 ארגונים בארבע יבשות; ועוד קודם, קמפיין נגד 100+ גופים ממשלתיים במזרח התיכון ובצפון אפריקה. מדובר במכונת ריגול מתמשכת, לא במבצע חד-פעמי.[4][7]

למה ספק ביטחוני ישראלי הוא מטרה מועדפת

גם ספק קטן או בינוני, שרואה את עצמו "רחוק מהחזית", הוא יעד אטרקטיבי בדיוק בגלל מיקומו בשרשרת. שלושה מנגנונים הופכים אותו למטרה:

🔴

הספק הוא הדלת האחורית לקבלן הראשי

לקבלן הביטחוני הגדול יש מרכז הגנה, ניטור 24/7 ותקציב סייבר. לספק הקטן - לרוב אין. התוקף בוחר בחוליה החלשה: פורץ לספק, ומשם נע לרוחב אל הרשת של הלקוח הביטחוני דרך גישות VPN, חשבונות שירות או ממשקי אינטגרציה. בדיוק כך פעל הקמפיין הנוכחי - דרך ספק תוכנה.

🟠

לספק יש נכסי מודיעין ששווים לתקוף

קבצי CAD, שרטוטים, מפרטים טכניים, לוחות זמנים של פרויקטים, רשימות ספקי-משנה, והתכתבויות - כל אלה יושבים אצל הספק ומספקים לשחקן המדינתי תמונת מודיעין על מערכת הנשק כולה, גם בלי לגעת בקבלן הראשי.

🟠

מיצוב מוקדם לעת עימות

ההערכה שגל 2026 קשור להסלמה מול איראן ממחישה שהמטרה אינה בהכרח "עכשיו". שחקן שמשיג גישה מתמשכת אצל ספק לוגיסטיקה או תוכנה שומר אותה כנכס - להפעלה בעיתוי שבו שיבוש שרשרת האספקה הביטחונית יהיה בעל ערך אסטרטגי מרבי.

עמדנו על ההיגיון הזה כבר בניתוח חדירה לקבלן ביטחוני - 18 חודשי ריגול שלא זוהו: אותו דפוס "low and slow" של שהייה שקטה, שרואים כאן שוב עם Seedworm. את המחיר המצטבר של פערי הגנה בשרשרת פירטנו במחיר האמיתי של הזנחת שרשרת אספקה.

מסגרת הגנה בחמש שכבות מול איום מסוג Seedworm

אין "כפתור קסם" מול שחקן מדינתי, אבל יש היגיון ברור: לצמצם משטח תקיפה, לזהות תנועה לרוחב, ולנטר את ערוצי ההוצאה. חמש השכבות הבאות ממופות ישירות מול ה-TTPs שנצפו בקמפיין:

01
חיזוק שער הכניסה - VPN, זהויות וגישה מרחוק
עדכון שרתי VPN וממשקי גישה מרחוק, אכיפת MFA עמיד-פישינג על כל חשבון, וביטול חשבונות שירות ישנים. שער הכניסה הנפוץ לרשת ספק הוא נכס גישה מרחוק שלא עודכן או חשבון ללא MFA.
02
ניטור התנהגותי מעבר לחתימות (Anti-LOLBin)
Dindoor מנצל את Deno ו-Fakeset כתוב ב-Python - כלים לגיטימיים. נדרש ניטור התנהגותי (EDR/XDR) שמזהה שימוש חריג ב-runtime, הרצת סקריפטים לא-מוכרים, ותהליכי parent-child חשודים - ולא רק חתימות של תוכנה זדונית ידועה.
03
בקרת הוצאת מידע - חסימת Rclone וענני צד-ג׳
הגדרת allow-list ליעדי ענן, זיהוי וחסימה של כלי סנכרון כמו Rclone בתחנות שאינן אמורות להריצם, וניטור העברות נתונים חריגות ביעד או בנפח. יעד כמו Wasabi שאינו בשימוש עסקי - צריך להדליק נורה אדומה.
04
בידוד רשת ותנועה לרוחב (Segmentation)
הפרדת סביבות פיתוח/ייצור מרשת המשרד, הגבלת גישת הספק אל רשת הלקוח הביטחוני למינימום ההכרחי, ומודל Zero-Trust בין מקטעים. גם אם התוקף נכנס - בידוד עוצר את המעבר אל הנכסים הרגישים.
05
התאמה למסגרות הרגולטוריות של הענף
יישום מסגרת "רב מגן" של מערך הסייבר לספק ביטחוני, לצד NIS2 (EU) ו-CMMC (US) עבור מי שעובד מול prime זר. אלו נותנות שלד בקרות שמכסה את רוב השכבות שלמעלה - ומוכיחות תאימות מול הקבלן הראשי.

עומק היישום של מסגרת "רב מגן" - השכבה החמישית - מפורט אצלנו במדריך רב מגן המעשי לקבלן ביטחוני.

צ׳קליסט מיידי לספק ביטחוני - מה לבדוק השבוע

השורה התחתונה

קמפיין Seedworm של 2026 הוא תזכורת חדה: האיום האיראני על ספקים ביטחוניים אינו תיאורטי, והוא מגיע דרך שרשרת האספקה - ספק תוכנה, ספק שירות, קבלן משנה - ולא דרך החזית המבוצרת של הקבלן הראשי. שחקן מדינתי מסוג MOIS מחפש גישה מתמשכת ומודיעין, לא כופר מהיר, ולכן הוא שוהה בשקט חודשים ומוציא מידע בכלים לגיטימיים.

ספק ביטחוני ישראלי שרוצה להישאר בשרשרת חייב להתייחס לעצמו כמטרה, לא כצופה מהצד. KPLNS מבצעת סקר ביטחון 360° שממפה בדיוק את משטח התקיפה מול איומים מסוג Seedworm - נקודות הגישה מול הקבלן הראשי, ערוצי ההוצאה, ופערי הזיהוי - ומתרגמת זאת לתוכנית בקרות מדורגת לפי מסגרת רב מגן.

מקורות

  1. Symantec (Broadcom) — Seedworm: Iranian APT on Networks of U.S. Bank, Airport, Software Company
  2. Industrial Cyber — Symantec Reports Iranian Seedworm Hackers Infiltrate US Infrastructure and Defense Supply Chain Networks
  3. MITRE ATT&CK — MuddyWater (G0069)
  4. Help Net Security — Iran-linked APT (Seedworm/MuddyWater) Targets US Critical Sectors with New Backdoors
  5. Cybersecurity Dive — State-linked Actors Targeted US Networks in Lead-up to Iran War
  6. The Hacker News — Iran-Linked MuddyWater Hackers Target U.S. Networks with New Dindoor Backdoor
  7. Symantec (Broadcom) — Seedworm: Iran-Linked Hackers Breached Korean Electronics Maker in Global Spying Campaign
  8. מערך הסייבר הלאומי (INCD) — אתר רשמי