האקרים אוקראינים פרצו לחברת התעופה הרוסית אירופלוט

חברת התעופה הגדולה ברוסיה, אירופלוט, ביטלה אתמול (ב') עשרות טיסות לאחר שקבוצת האקרים פרו-אוקראינית תקפה את מערכות החברה בסייבר. מומחים העריכו את עלויות ההתאוששות מהמתקפה בעשרות מיליוני דולרים, וכי החזרה לשגרה תארך שבועות רבים, ואף חודשים. הבוקר חזרה העיתונות הטכנולוגית בארצות הברית על סכום ההפסדים הזה, לאחר שכמעט מחצית מהטיסות של אירופלוט אתמול בוטלו או נדחו. גם הערכת משך ההתאוששות גדלה, ולפי משרד התחבורה הרוסי היא תארך כשנה.

תחילה הודיעה אירופלוט כי היא חווה שיבושים בשירותים של כלל המערכות האלקטרוניות שלה ונאלצה להתאים את לוחות הזמנים של הטיסות. אלה בולטו כעבור זמן לא רב. הטיסות היו ברובן פנימיות, אולם גם למינסק, בירת בלרוס, ולירוואן, בירת ארמניה.

קבוצת האקרים פרו-אוקראינים המכנה את עצמה העורב השקט (Silent Crow) נטלה אחריות על המתקפה ומסרה שהיא בוצעה יחד עם קבוצה בלרוסית בשם Cyberpartisans BY. התוקפים כתבו כי "המתקפה קשורה ישירות לפלישה המתמשכת של רוסיה לאוקראינה" וסיימו את ההודעה שלהם במילים: "תהילה לאוקראינה! תחי בלרוס!". בהודעה נוספת, שאותה הם פרסמו בטלגרם, מסרו התוקפים כי "המבצע הממושך ורחב ההיקף… הרס לחלוטין את מערכות ה-IT של אירופלוט".

ההאקרים: "נפרסם את הנתונים של כל הרוסים שטסו אי פעם באירופלוט"

קבוצת העורב השקט קיבלה בעבר אחריות על מתקפות סייבר על מאגר נדל"ן רוסי, חברת טלקום ממשלתית, חברת ביטוח גדולה, מחלקת ה-IT של ממשלת מוסקבה והמשרד הרוסי של יצרנית הרכב הדרום קוריאנית קיה. חלק מהמתקפות הובילו לדליפות נתונים רחבות היקף.

לפי ההאקרים, הפעם, הם השביתו כ-7,000 שרתים של אירופלוט, השיגו גישה למאגרי היסטוריית הטיסות ופגעו במערכות ארגוניות קריטיות. לטענתם, הם קצרו לפחות 20 טרה-בייט של יומני טיסות, נתוני נוסעים ותקשורת פנימית. ההאקרים אף איימו לפרסם את "הנתונים האישיים של כל הרוסים שאי פעם טסו באירופלוט".

על פי חברי הקבוצה, הם חדרו למערכות אירופלוט כבר לפני כשנה באמצעות פישינג ממוקד, תוך ניצול פרצה מסוג יום אפס, והסלימו לאט לאט את ההרשאות, עד שהגיעו לבקרי דומיין Tier-0, שהם "יהלומי הכתר" של כל ארגון מבוסס Windows.

מבוכה נוספת, מעבר לזו של ההשבתה, נגרמה לחברת התעופה כאשר ההאקרים פרסמו כי הצליחו לחדור למערכות שלה בשל סיסמה שלא החולפה זה שלוש שנים. הם הוסיפו כי מנכ"ל החברה לא שינה סיסמה כבר שנתיים. עוד ציינו ההאקרים שהמערכות של אירופלוט מיושנות מאוד, והן מבוססות בחלקן על Windows XP ועל Windows Server 2003, שכבר מזמן אבד עליהן הכלח.

אמנם, במקרים רבים, התוקפים מתהדרים בטענות שווא מוגזמות, אלא שבמתקפה זו פרסמו חברי קבוצת העורב השקט צילומי מסך שמגבים את דבריהם. בין היתר, הצילומים מוכיחים השגת גישה לכמה מהמערכות של אירופלוט, כולל ספרייה של המשתמשים הפנימיים שלה וכמה שיתופי קבצים.

חברי Cyberpartisans הבלרוסית כתבו כי "אנחנו עוזרים לאוקראינים במאבקם נגד הכובש, מבצעים מתקפת סייבר על אירופלוט ומשתקים את חברת התעופה הגדולה ביותר ברוסיה". הקבוצה מבצעת מתקפות סייבר נגד מטרות ברוסיה ובבלרוס מאז 2022. היא מתארת את עצמה כ-"קולקטיב האקטיביסטי (של האקרים אקטיביסטים – י"ה) מאורגן מאוד, שנלחם לשחרור בלרוס משלטון דיקטטורי". הכוונה היא למשטרו של אלכסנדר לוקשנקו, ששולט במדינה מאז 1994.

"מחאת שיבוש"

רייף פילינג, מנהל מודיעין איומים בסופוס, אמר כי "המתקפה מונעת ממניעים פוליטיים. נראה שזה סוג של אירוע האקטיביסטי של שתי קבוצות המתנגדות לרוסיה. לא נראה שהמתקפה נבעה ממניעים כלכליים – בניגוד למתקפות כופרה. אני מתרשם שהמטרה שלהם אינה קבלת דמי כופר – זו כנראה יותר מחאת שיבוש".

כשרוסיה פלשה לאוקראינה ב-2022, האקרים הפכו לחלק מהמאבק של קייב והוקמה קבוצה בת 300 אלף איש בטלגרם, בשם "צבא ה-IT של אוקראינה".

דובר הקרמלין: מתקפה "מדאיגה למדי"

אירופלוט לא סיפקה פרטים על מתקפת הסייבר, וגם לא עדכנה כמה זמן ייקח עד שהשירותים ישובו לפעולה תקינה, אך הזהירה את הנוסעים מפני עיכובים וביטולים. "הצוותים הטכניים שלנו פועלים כדי למזער את ההשפעה על הטיסות ולהחזיר את כל השירותים לשגרה במהירות האפשרית", מסרה. משרד התחבורה במוסקבה מסר שחלק מהנוסעים הועברו לטיסות בחברות תעופה אחרות.

דמיטרי פסקוב, דובר הקרמלין, אמר כי המתקפה "מדאיגה למדי". התובע הכללי הרוסי אישר ש-"הבעיות של אירופלוט הן תוצאה של מתקפת סייבר. נפתחה חקירה פלילית". אנטון גורלקין, חבר פרלמנט רוסי, אמר כי "אסור לנו לשכוח שהמלחמה נגד ארצנו מתנהלת בכל החזיתות, כולל זו הדיגיטלית".