תשתיות קריטיות של ישראל נמצאת תחת איום מצד קבוצת סייבר איראניות הפועלת בלבנון. השותפות של איראן עם קבוצות מיליטנטיות חמושים ברחבי המזרח התיכון מתועדת היטב. פחות מתועד הוא שיתוף הפעולה של איראן עם פושעי סייבר מחוץ לאיראן, כמו Polonium (המכונה Plaid Rain), אשר מאז 2021 פועלת במטרה יחידה – לתקוף את ישראל. לפי מיקרוסופט, באביב 2022 ריגלה פולוניום אחרי יותר מ- 20 ארגונים ישראלים במגזרים מסחריים, תשתיות קריטיות וממשל כגון תחבורה, ייצור, IT, פיננסים, חקלאות ושירותי בריאות. כעת נראה שהקבוצה עלתה מדרגה. ב- 4 בדצמבר הזהירה מינהלת הסייבר הלאומית של ישראל כי פולוניום מכוונת למגזרי תשתיות קריטיות נוספות כמו מים ואנרגיה. מלבד ריגול, ציינה המינהלת כי זוהתה לאחרונה מגמה ליישום מתקפות סייבר הרסניות.
במדינה שיש בה רק מספר קבוצות סייבר התקפי שקטות יחסית – Cedar Volatile Cedar, Tempting Cedar ו- Dark Caracal – אפשר אולי להתפתות לזלזל בפולוניום. אולם מעבר לממצאים של מיקרוסופט אודות המטרות של פולוניום, באוקטובר 2022 מצאו חוקרים מחברת ESET עוד תריסר מתקפות סייבר שבוצעו על ידי אותה קבוצה, באותה שנה, על פני מגזרים נוספים כמו הנדסה, משפטים, תקשורת, שיווק, מדיה, ביטוח ושירותים חברתיים.
לצורך גישה ראשונית ניצלה פולוניום לרוב מכשירי Fortinet – באמצעות אישורי VPN של Fortinet שהודלפו, או באמצעות פגיעות קריטית במכשירי Fortinet, שתוקנה עוד לפני שהקבוצה נוצרה. עבור פיקוד ושליטה (C2), היא העדיפה שירותי ענן כמו Microsoft OneDrive או Dropbox. בשנה הראשונה לפעילותה פרסה הקבוצה לא פחות משבע דלתות אחוריות מותאמות אישית כנגד מטרות בישראל, המסוגלות לפרוס נוזקות, לגנוב קבצים, לצלם צילומי מסך, לרשום הקשות מקלדת, להשתלט על מצלמות אינטרנט ועוד. פושעי הסייבר של פולוניום חילקו את הדלתות האחריות לפרגמנטים – קבצים זעירים, שלכל אחד מהם פונקציונליות מוגבלת. לדוגמה, קובץ אחד של ספריית קישורים דינמיים (DLL) אחראי ללכידת צילומי מסך וקובץ אחר דואג להעלות אותם לשרת C2. "הרעיון הוא לפצל פונקציונליות לרכיבים שונים, כך שרכיבים בודדים ייראו פחות חשודים לתוכנת אבטחה", מסביר מתיאס פורולי – חוקר נוזקות בחברת ESET.
"בשנת 2023 התרחקה קבוצת הסייבר מקבצי הפעלה וקבצי DLL וכעת הם משתמשים בשפות סקריפטים עבור הנוזקות שלהם. צפינו בדלתות אחוריות של Python כמו גם בדלתות אחוריות של LUA", אומר פורולי ומציין שהאחרון די נדיר. כמו כן הוסיף: "הם עדיין שמים את התצורה של הנוזקה שלהם בקובץ נפרד והדבר מקשה על חוקרי סייבר להבין את זרימת הביצוע, באותם מקרים שאין בידי החוקרים את כל הקבצים שבהם השתמשו במתקפות הסייבר".
על רקע המלחמה בעזה מתמודדת ישראל עם עלייה משמעותית במתקפות סייבר. לדוגמה, שלושה שבועות מאז פרוץ המלחמה, כבר זיהתה מינהלת הסייבר יותר מ- 40 ניסיונות לפרוץ לספקי שירות ואחסון דיגיטליים: "חלה עלייה במתקפות סייבר נגד חברות כאלו ואף היו תקריות שגרמו נזק של ממש למספר חברות במקביל", כתבה המינהלת בהתראה שפרסמה. מינהלת הסייבר בישראל מדגישה כי מסוכן יותר הוא שפוטנציאל הנזק עלול להגיע גם לגופים חיוניים הקשורים לחברות אלו, שתפקידם בשגרה ואף יותר במקרי חירום הינו קריטי, לרבות בתי חולים, חברות שילוח, משרדי ממשלה ועוד. העובדה שפושעי הסייבר הללו הם לא תמיד אלו המושכים בחוטים, רק הופכת את ההגנה מפניהם לקשה יותר, אומרת מריה קנינגהם – מנהלת מחקר איומים בחברת ReliaQuest: "רוסיה היא לעתים קרובות מדינת הלאום הראשונה שעולה על הדעת במקרים אלו", היא אומרת, אם כי "אופן פעולה מעניין מוצג לעתים קרובות על ידי שחקני איום המיוחסים לצפון קוריאה, אשר עשויים להיראות פליליים במבט ראשון". לטענתה, מצב זה יכול לספק הכחשה סבירה עבור התוקף בעוד שעבור המגן הדבר יכול להגביל את הייחוס למקור המתקפה ובעקבות זאת לעכב את ההבנה של העלול לבוא בהמשך.
