הקוזאק הנגזל: רוסיה טוענת שסין וצפון קוריאה תוקפות אותה בסייבר

המקור של רוב מתקפות הסייבר בחסות מדינה שמכוונות נגד ארגונים וגופי ממשל ברוסיה הוא בצפון קוריאה ובסין, כך טוענים חוקרים רוסיים בדו"ח חדש שפורסם.

את המחקר עם התוצאות הלא שגרתיות ערכה חברת אבטחת הסייבר סולאר, שנמצאת בבעלות ספקית הטלקום הגדולה ברוסיה, רוסטלקום, שמקורבת לנשיא, ולדימיר פוטין. זאת אחת הסיבות שבגללה הממצאים הללו מפתיעים משהו, שהרי לרוסיה יש שותפויות פוליטיות ארוכות שנים עם סין וצפון קוריאה. כך, בחודש שעבר ביקר פוטין בבייג'ינג, ונפגש עם מקבילו הסיני, שי ג'ינפינג, ובשבוע שעבר רוסיה חתמה על הסכם עם צפון קוריאה להרחבת הקשרים בין שתי המדינות בשלל תחומים, וביניהם מסחר, טכנולוגיה ומדע.

ה-"נאשם" הראשון: נשיא סין, שי ג'ינפינג. צילום: ShutterStock

"הממצאים בדו"ח אינם מה שהייתי מצפה", אמר פסקל ג'ינס, חוקר איומים ברדוור. "עם זאת, לשחקני איומים במדינות לאום יש תמריץ לפעול גם ברשתות של בעלות הברית שלהן. הם ירצו לדעת מראש כשבעל הברית עומד 'להתחרפן', ולחילופין – לשמור על יחסים עם מדינה שנחשבת כלא ידידותית".

הרוסים חשפו טפח שחברות מערביות פחות יכולות לחשוף

אנליסטים ציינו כי דיווחים על מתקפות סייבר נגד רוסיה הם נדירים, כי לחברות מערביות רבות יש חשיפה מוגבלת למערכות המחשב שלה. מי שחשפו את המידע הפעם הם, כאמור, גורמים רוסיים. במהלך אירוע אבטחת מידע גדול בשם SOC Forum, שנערך בשבוע שעבר, פקידי מדינה רוסים וחברות אבטחת סייבר, כולל סולאר, סיפקו כמה תובנות לגבי המתרחש במרחב הסייבר של המדינה, ובכללם הטענה שבעלות הברית של רוסיה הן אלה שמהוות התוקפות העיקריות שלה בסייבר.

עם זאת, מומחי אבטחה מהמערב ציינו כי "בהתחשב בהיקף התעמולה הגבוה במדינה, יש להתייחס לדיווחים הרוסיים הללו בלא מעט ספקנות". אותם מומחים אף הדגישו שחלק מהטענות שהוצגו במהלך הכנס – סותרות: בעוד שסולאר טוענת שרוב מתקפות הסייבר, בחסות המדינה, נגד רוסיה – מקורן באסיה, הרי שרשויות אבטחת הסייבר במדינה מאשימות את "האויבים מהמערב" בתיאום מתקפות סייבר נגד מוסקבה.

התוקפות הבולטות: קבוצות APT סיניות ולזרוס הצפון קוריאנית

חוקרי סולאר ציינו במיוחד את קבוצות האיום העקבי והמתקדם (APT) שמגיעות מסין כאלה שמהוות את האיום העיקרי על מערכות ה-IT הרוסיות. לדבריהם, בספטמבר השנה האקרים שקשורים לסין פתחו בקמפיין ריגול סייבר רחב היקף נגד רוסיה, והדביקו מערכות של 20 עד 40 ארגונים רוסיים מדי יום. פעילותם שככה רק כעבור חודש, לאחר שספקיות אבטחה הבחינו במתקפות.

ה-"נאשם" השני: קים ג'ונג און, שליט צפון קוריאה. צילום: ShutterStock

דוגמה שיכולה לאשש את הטענות של החוקרים הרוסיים הגיעה מממצאים של חברה מערבית, ישראלית – צ'ק פוינט. בשנה שעברה זיהו חוקרי חברת האבטחה והסייבר מתקפה של קבוצת Twisted Panda, שקשורה לסין, על מכוני מחקר וביטחון שנמצאים בבעלות הממשל הרוסי. לדבריהם, מטרת הפעילות בסייבר הסינית הזו נגד רוסיה היא בעיקרה ריגול מסחרי, עם התמקדות בתעשיות ביטחוניות רגישות. מגמה זו, ציינו, הואצה מאז תחילת מלחמת רוסיה-אוקראינה.

קבוצת האקרים נוספת שתוקפת את רוסיה באופן פעיל היא לזרוס הצפון קוריאנית. חוקרי סולאר עקבו אחרי פעילות לזרוס במהלך השנתיים האחרונות, וקבעו כי היא תקפה כמה פעמים סוכנויות ממשל רוסיות. נכון לתחילת נובמבר, טענו, "להאקרים של לזרוס עדיין יש גישה לכמה מערכות רוסיות". כמה מהמתקפות הללו דווחו בפומבי, ביניהן חדירה של האקרים צפון קוריאנים לארגון הנדסת טילים רוסי, באוגוסט השנה.

חוקרים אחרים אמרו כי "ניתן לייחס את הפעילות המוגברת של קבוצות האיומים של סין וצפון קוריאה לקמפיינים הגלובליים הנרחבים והמהירים שלהן – שלא מכוונים רק לרוסיה". הם הוסיפו ש-"יש להבין ששחקני איום מסין ומצפון קוריאה משלבים לעתים קרובות בין מטרות הפריצה בסייבר השונות – פיננסיות וריגול".

מנגד, בכיר במרכז הלאומי לתיאום אירועי מחשבים של רוסיה חזר בפורום על הטענה הרווחת בקרב בכירי הקרמלין ואמר כי הוא "רואה במדינות המערב את האויב העיקרי שלנו במרחב הווירטואלי. מדינות המספקות נשק לאוקראינה גם מתאמות בקביעות את פעילות ההאקרים".