נוזקה רוסית שביעית למחיקת מידע הופעלה נגד גורמים אוקראינים

בסוף חודש פברואר, עוד לפני פרוץ המלחמה באוקראינה, פגעה מתקפת סייבר במודמים של חברת הלוויינים Viasat הממוקמים במדינה. נזק "אגבי" מהמתקפה גרם לכך שכ-5,800 טורבינות רוח לייצור חשמל של אנרקון שנמצאות בגרמניה נותקו מהרשת.

חוקרי סנטינל וואן פרסמו בימים האחרונים ממצאים של בדיקה שערכו על ההצהרה ששחררה Viasat ב-30 במרץ, ומצאו שהיא לא נותנת הסבר מספק למהות המתקפה. הם חקרו ומצאו מוחקה – נוזקה שמטרתה מחיקת מידע – שהופעלה במתקפה, ונתנו לה את השם AcidRain (גשם חומצי).

מוחקה זו קשורה למוחקה אחרת, בשם VPNFilter, שזוהתה עוד ב-2018 על ידי משרד המשפטים האמריקני ככלי של גורמי תקיפה רוסיים, "מה שמצביע בסבירות גבוהה שמקור המתקפה הנוכחי גם הוא ברוסיה", לפי חוקרי סנטינל וואן. הם ציינו ש-AcidRain היא המוחקה הרוסית השביעית במספר שהופעלה נגד גורמים אוקראינים מאז תחילת המערכה הנוכחית.

"מוחקות – פעילות הסייבר המרכזית של הרוסים במשבר באוקראינה"

לדברי החוקרים, פעילות במרחב הסייבר ליוותה את המערכה בין רוסיה לאוקראינה מיומה הראשון ועוד לפני כן: פעילות סייבר התקפית החלה בטרם הכוחות הרוסיים על הקרקע החלו לנסות לכבוש את המדינה השכנה. הרוסים השתמשו במגוון טכניקות וטקטיקות – מתקפות מניעת שירות, פעולות הונאה והטעיה ברשתות, ופעילות איסוף מודיעין. "אבל הפעילות המרכזית שלהם התמקדה בהפעלת מוחקות – נוזקות אגרסיביות, שמאתרות מידע ומבצעות פעולות הרסניות שמונעות את הגישה למידע רגיש", ציינו אנשי סנטינל וואן.

לדבריהם, "המתקפה על חברת התקשורת הלוויינית Viasat חורגת מגבולות העימות המוכרים. הסיפור נחשף לתקשורת כאשר אנרקון הגרמנית דיווחה על תקלה בטורבינות רוח, שפגעה בחיבור התקשורת שלה, שהיה מבוסס על תקשורת לוויינית". התזמון של התקרית גרם לחששות כבדים שזהו חלק נוסף מלוחמת הספקטרום של רוסיה, שתקפה ופגעה בתשתיות תקשורת של צבא אוקראינה.

בסוף מרץ, יותר מחודש לאחר התקרית, שחררה Viasat הצהרה רשמית שסיפקה פרטית נוספים. לפי החברה, המתקפה בוצעה בשני שלבים: השלב הראשון היה מתקפת מניעת שירות, שהגיעה ממודמים שמוקמו באוקראינה. אלה מנעו גישה רגעית למודמים לווייניים של viasat בגרמניה. מאוחר יותר, המודמים הללו החלו להתנתק מהרשת, ועמם נותקו היכולות לתקשר ולשלוט עם טורבינות הרוח. לפי החברה, התוקפים ניצלו חיבור VPN פתוח כדי לחדור לרשת, לבצע מתקפת שרשרת אספקה ולשלוח עדכון גרסה למודם לווייני, שהוא זה שגרם לתקלה.

החוקרים איתרו דוגמה של הקובץ, ניתחו אותה והסיקו שבסבירות גבוהה היא קשורה למוחקה רוסית מוקדמת יותר, ושמדובר בעצם במתקפה מתוחכמת של שלוחי מוסקבה נגד ציוד התקשורת הלווייני. החוקרים מעריכים שלא הייתה כוונה לפגוע בטורבינות הרוח או בגופים אחרים שמשתמשים במודם הלוויני מדגם זה, ושפגיעה זו היא בבחינת "נזק אגבי".