רוסיה תקפה בסייבר תשתיות מים במערב – גם בטקסס

האקרים המקורבים לקרמלין תקפו בסייבר שלוש תשתיות מים במערב – בצרפת, בפולין ובטקסס, ארה"ב. מומחים ציינו כי המעשה "חלוצי" וחסר תקדים: קבוצות של מדינות לאום לא ביצעו, נכון לעכשיו, מתקפות סייבר משבשות על אדמת ארה"ב.

לפי חוקרי מנדיאנט (Mandiant), מתקפת סייבר שאירעה בינואר השנה גרמה לגלישת מים במתקן מים בעיירה בשם מולשו בצפון טקסס. במקביל למתקפה זו, לפחות שתי עיירות אחרות בצפון טקסס נקטו באמצעי הגנה, לאחר גילוי פעילות סייבר חשודה ברשתות שלהן. אחת מהן היא העיר לוקני, הנמצאת מזרחית למולשו, שם עובדים זיהו פעילות חשודה במערכת SCADA עירונית, המפקחת על מפעלי מים. בעיר הייל סנטר, ההאקרים ניסו לפרוץ, בלא הצלחה, את הפיירוול של העיר, וזו השביתה את הגישה מרחוק למערכת ה-SCADA שלה. ה-FBI חוקר את הפריצות.

ב-מולשו, המונה כ-5,000 איש, פרצו ההאקרים למערכת התחברות מרחוק לתוכנה תעשייתית המאפשרת למפעילים לקיים תקשורת עם מיכל מים. המיכל עלה על גדותיו במשך כ-30 עד 45 דקות, ומאות אלפי ליטרים של מים נשפכו ממנו – לפני שהוא הושבת ותשתית המים עברה לפעול באופן ידני.

שתי מתקפות סייבר נוספות אירעו כנגד תחנת כוח קטנה הממוקמת בסמוך לסכר בצרפת, ומתקן המטפל בשפכים בפולין.

מתקפות הסייבר בטקסס זכו לתשומת לב מועטה כשהתרחשו, אבל ביום ד' האחרון חוקרי מנדיאנט חשפו כי יש קשר בין נטילת האחריות של ההאקרים הרוסים בטלגרם – על המתקפה בטקסס – לבין פעילות פריצה בסייבר קודמת שבוצעה על ידם.

לא ברור, אמרו החוקרים, האם המודיעין הצבאי הרוסי, ה-GRU – הוא שעמד מאחורי מתקפת הסייבר על מתקן המים במולשו, או שמדובר בהאקרים אחרים, דוברי רוסית, העושים שימוש בישות שנטלה אחריות לפריצה.

מתשתיות באוקראינה לתשתיות בארה"ב? 

מומחים ציינו שאם אכן ה-GRU או שלוחיו היו מעורבים במתקפת הסייבר, "זה יסמן הסלמה במיקוד של קבוצת התקיפה הרוסית – על תשתית קריטית בארה"ב. הקבוצה הרוסית ידועה כמי שמתמקדת לעתים קרובות במתקפות באוקראינה".

לפי חוקרי מנדיאנט, יש קשרים רבים בין תולעת החול (Sandworm) – שמה של קבוצת האקרים, המהווים את זרוע החבלה והריגול של ה-GRU – לבין תשתית מקוונת המשמשת האקרים שמכנים את עצמם "צבא הסייבר של תחיית רוסיה", CARR (ר"ת The Cyber Army of Russia Reborn). אלה, לדעת החוקרים, הקימו ערוץ יוטיוב, בחסות הביון הרוסי. לפי החוקרים, 'תולעת חול' עומדת מאחורי קבוצה של ישויות מקוונות – כולל Xaknet ו-Solntsepek – אשר נקשרו למתקפות. 

קבוצת ההאקרים זכורה לרעה בשל סדרות של מתקפות סייבר משבשות שגרמו להפסקות חשמל נרחבות בחלקים מאוקראינה בשנים 2015 ו-2016. הקבוצה פגעה בסייבר בתשתיות אוקראיניות לאורך המלחמה המתמשכת בין שתי המדינות. לפי החוקרים, ההאקרים של 'תולעת חול' עושים שימוש גם בישויות מקוונות כדי להעצים ולהגזים את ההשפעות של הפריצות שלהם.

Mandiant reveals that a “hacktivist” persona created by APT44, has recently targeted & disrupted U.S. and Polish water utilities, as well as a French dam.

Read more on our latest findings here: https://t.co/sA5Cy1ckUB#Mandiant #APT44 pic.twitter.com/U3rHFZ47i1

— Mandiant (@Mandiant) April 17, 2024

"האיום שמציבה APT44 מתפתח במהירות"

בעבר, חוקרי מנדיאנט האמינו כי 'צבא הסייבר של תחיית רוסיה' היה מקושר לקבוצת הפריצה הרוסית APT28, הידועה גם בשם Fancy Bear ('דוב מהודר'). אלא, שלאחר שהם ניתחו מחדש את הנתונים, הם שינו את מסקנתם ומייחסים "במידה רבה של ביטחון", את פעילות הסייבר ל'תולעת חול'.

הקבוצה, המכונה כעת APT44, נחשבת בין קבוצות הפריצה בסייבר כבעלת יכולות גבוהות ומהמסוכנות ביותר – המגובות על ידי המדינה.

"APT44 היא שחקן איומים דינמי ייחודי, העוסק באופן פעיל בכל המנעד של ריגול, תקיפה והשפעה בסייבר", כתבו החוקרים. "היא שחקן האיום החצוף ביותר שיש, הנמצא בעיצומו של אחד הקמפיינים האינטנסיביים ביותר בסייבר שראינו אי פעם… אין היום שחקן אחר שראוי יותר לתשומת הלב הקולקטיבית שלנו. האיום שמציבה APT44 מתפתח במהירות".

לפי החוקרים, קבוצת APT44 היא יחידה 74455, ומהווה חלק מהמרכז הראשי לטכנולוגיות מיוחדות, בתוך ה-GRU. 

מתקפת סייבר נפרדת אירעה בנובמבר האחרון. היא כוונה כנגד מפעל מים בפנסילבניה, ובארה"ב האשימו בה את איראן. בעבר, הרפובליקה האיסלאמית תקפה בסייבר גם מתקני מים בישראל.

המתקפות מבהירות במידת מה את דבריו הפומביים הנדירים של ג'ייק סאליבן, היועץ לביטחון לאומי של ארה"ב. סאליבן פנה בחודש שעבר לפקידי מדינה ולרשויות המים והפציר בהם לחזק את הגנת הסייבר שלהם.