איך נראית מלחמת הסייבר החדשה?

שינוי דרמטי חל באחרונה במאזן הכוחות העולמי בזירת הסייבר: לוחמת הסייבר הפכה מערוץ ריגול מסורתי לעמוד תווך מרכזי בהישרדות לאומית ובדומיננטיות אזורית. מתקפות APT (מתקפות מתקדמות ועקביות, בחסות מדינות) הפכו חלק בלתי נפרד מאסטרטגיה גיאו-פוליטית, כשהבינה המלאכותית מאיצה את הקצב, ההיקף והתחכום שלהן לרמה חסרת תקדים.

המחקר, שנערך על ידי חוקרים מ-TrendAI – החטיבה העסקית של טרנד מיקרו, מצביע על עלייתו של ציר גיאו-פוליטי בסייבר, שמורכב מסין, רוסיה וצפון קוריאה, ועל שילוב עמוק של בינה מלאכותית בפעולות התקיפה של קבוצות האקרים מדינתיות. אלה משלבות בפעם הראשונה מודלי שפה גדולים (LLMs) בתוך שרשראות התקיפה, ומפתחות סוכני AI אוטונומיים, שמסוגלים להתאים את עצמם בזמן אמת. החוקרים הסבירו ש-"המשמעות היא שחלון התגובה של מגיני הסייבר מתקצר משמעותית, ולעיתים כמעט נעלם".

מתקפות APT מבוססות AI. צילום: ג'מיני (אילוסטרציה)

הבינה המלאכותית משנה את חוקי המשחק

"ה-AI היא כבר לא כלי עזר בלבד, אלא רכיב מובנה בליבת ההתקפה", כתבו חוקרי TrandAI. "קבוצות תקיפה מנצלות אותה לאיסוף מודיעין, אוטומציה של מתקפות ויצירת פישינג מותאם אישית בהיקפים גדולים".

במקביל, מתפתחת מגמה של שרשראות תקיפה אוטונומיות, שבהן ה-AI מבצעת כמה שלבים – מאיתור חולשות ועד לתנועה רוחבית, כמעט ללא התערבות אנושית. "התוצאה היא האצה משמעותית של קמפיינים והפחתת זמן התגובה של ארגונים", הסבירו החוקרים. לדבריהם, "ארגונים נדרשים לעבור מתפיסה ממוקדת מניעה לעבר חוסן במהירות מכונה. חוסן זה צריך לכלול יכולות זיהוי, הכלה והתאוששות מהירות, שמופעלות באמצעות AI הגנתית".

המחקר מצביע בנוסף על שינוי מבני בפעילות התוקפים: מעבר משיטות עבודה מבודדות לשיתופי פעולה מתקדמים בין קבוצות APT. מודלים כמו Premier Pass-as-a-Service מאפשרים לקבוצות שונות לשתף גישה למערכות שנפרצו, ובכך לדלג על שלב החדירה הראשוני. "גישה זו מגדילה את מהירות ההתקפות, מקשה על ייחוסן ומאפשרת פעילות מתמשכת מתחת לרדאר", כתבו החוקרים. "עבור ארגונים, מדובר באתגר משמעותי בזיהוי ובבלימת חדירות".

רוסיה, סין וצפון קוריאה – ציר הרשע, גם בסייבר. צילום: japelinium, ShutterStock

איך ציר נולד?

עוד ממצא בדו"ח הוא, כאמור, היווצרותו של ציר בין סין, רוסיה וצפון קוריאה. זהו ציר לא רשמי, "שפועל לקידום ריבונות דיגיטלית ולהגברת השפעתו באמצעות AI", כתבו אנשי TrendAI. המגזרים ה-"אהובים" על ההאקרים ממדינות אלה, ושהם מבצעים מתקפות רבות נגדם, הם ממשל, טכנולוגיה ותשתיות קריטיות והתקיפות מכוונות לאיסוף מודיעין, גניבת קניין רוחני והכנה לפעולות שיבוש עתידיות.

לפי החוקרים, כל שלוש המדינות הללו משתמשות בסייבר ובבינה מלאכותית ככלים אסטרטגיים להשגת יתרון מדיני וצבאי. סין מובילה את המרוץ באמצעות יוזמת AI Plus שלה ופיתוח אקו-סיסטם AI מלא, עם יכולת להתחרות במערב גם תחת סנקציות. קבוצות כמו Earth Preta ו-Earth Kasha מתמקדות בריגול תעשייתי ובחדירה לשרשרת האספקה, כולל ניסיונות להשתמש בשרתי חברות תוכנה בטייוון כנקודות הפצה לחולשות.

על צפון קוריאה כתבו החוקרים כי היא "הפכה ל-'ארגון גרילת דיגיטל', שמתמחה בגניבת קריפטו למימון תוכנית הטילים של המדינה. קבוצת Void Dokkaebi פועלת בשיטות הנדסה חברתית מתוחכמות, כמו הצעות עבודה מזויפות למפתחי תוכנה, כדי לשתול דלתות אחוריות בקהילות".

לפי המחקר, רוסיה משלבת בינה מלאכותית בלוחמה אלקטרונית ובפעילות צבאית ומסנכרנת את פעולות הסייבר עם המלחמה באוקראינה. "קבוצות כגון Sandworm ו-Ghost Blizzard ביצעו תקיפות הרסניות נגד תשתיות קריטיות – חשמל ומים – גם במדינות שכנות כמו פולין, תוך שימוש במוחקי מידע, 'מגבים' (Wipers), שמשמידים נתונים בלי יכולת שחזור", הוסיפו.

"בשנתיים הקרובות צפוי מרוץ עולמי להשגת חוסן במהירות מכונה"

החוקרים מ-TrendAI ציינו ש-"לא ניתן למנוע לחלוטין חדירה של שחקנים מדינתיים. בשנתיים הקרובות צפוי מרוץ עולמי להשגת חוסן במהירות מכונה: היכולת לזהות, להגיב ולהתאושש מאיומים במהירות מכונה. מניעה מוחלטת של חדירות אינה עוד יעד ריאלי, ולכן ארגונים חייבים להתמקד ביכולת להגביל נזק ולהתאושש במהירות. ההצלחה תימדד ביכולת לזהות מוקדם, לצמצם השפעה ולהמשיך לפעול".

"בעידן שבו הסייבר הופך לזירת לחימה מרכזית וה-AI מאיצה את קצב העימות, ארגונים שלא יתאימו את עצמם למציאות החדשה יישארו מאחור. המנצחים יהיו אלה שישכילו לשלב בין בינה מלאכותית לשיקול דעת אנושי, תוך הבנה שמרחב הסייבר הפך לשדה קרב מרכזי בעימותים בין מדינות", סיכמו החוקרים.