"רוסיה מתזמנת את מתקפות הסייבר על אוקראינה עם הלוחמה בשטח"

מיקרוסופט פרסמה אתמול (ד') כמה ממצאים מעניינים, שמאירים זרקור על מתקפות הסייבר של רוסיה נגד יעדים אוקראינים. המסקנה המרכזית שעולה מהממצאים האלה היא שהרוסים מתאמים את מתקפות הסייבר שלהם על אוקראינה עם המציאות בשטח – לפני תחילת המלחמה ואחריה.

כך, הענקית מרדמונד פרסמה כי קבוצת הסייבר הרוסית הידועה לשמצה Sandworm (תולעי חול) היא זו שביצעה מתקפת נוזקות למחיקת נתונים שאירעה בינואר על יעדים אוקראינים. מומחי אבטחה ציינו כי "השיוך החדש ממחיש את פעילותה של הקבוצה", שמוכרת גם בשם אירידיום (Iridium), ושפעילות התקפית שלה זוהתה במהלך מלחמת רוסיה-אוקראינה. הממשלה בקייב כבר האשימה את הקבוצה, המזוהה עם GRU, סוכנות הביון הצבאית של רוסיה, בביצוע מתקפת נוזקה על רשת החשמל של אוקראינה מוקדם יותר החודש. הייתה זו המתקפה השלישית על מתקן אנרגיה אוקראיני בהיסטוריה של הקבוצה.

חוקרי הענקית מרדמונד דווחו בבלוג שלהם שמאז פרוץ הסכסוך הם צפו בקרוב ל-40 מתקפות הרסניות, שכוונו נגד מאות מערכות IT ארגוניות. לדבריהם, כ-32% מהמתקפות כוונו נגד ארגוני ממשל אוקראינים, בעוד יותר מ-40% מהן כוונו נגד ארגונים במגזר התשתיות הקריטיות. החוקרים ציינו שציר הזמן של מתקפות הסייבר הרוסיות מצביע על כך שהיא נערכה אליהן במשך פרק זמן כלשהו מראש, ופעלה כדי להשיג דריסת רגל במערכות IT אוקראיניות, כמו גם גישה לספקיות שרשרת אספקה קריטיות המשרתות את אוקראינה.

מתקפת סייבר בד בבד עם הפלישה למריופול

לדברי החוקרים, "השימוש של רוסיה במתקפות סייבר מתוזמן לפעמים עם הלוחמה הפיזית שלה". כך, למשל, באותו הזמן שבו כוחות צבא רוסיה פלשו לעיר מריופול, האקרים רוסים החלו לשלוח מיילים שהתחזו לתושב מריופול, שבהם נכתב כי הממשלה האוקראינית נטשה את אנשיה. החוקרים אף הבחינו בכמה מתקפות, מוגבלות, שמטרתן הייתה ריגול בסייבר נגד מדינות החברות בנאט"ו, וכמה מתקפות שמטרתן הייתה להפיץ פייק ניוז.

בית במריופול לאחר עוד מתקפה (פיזית) רוסית על העיר. צילום: BigStock

ויקטור ז'ורה, סגן יו"ר השירות הממלכתי לתקשורת והגנה על מידע באוקראינה, אמר אתמול כי "מתקפות הסייבר של רוסיה עלו מדרגה בחומרה שלהן". לדבריו, "אם הם רצו לארגן משהו מאוד הרסני (בסייבר – י"ה), היו להם חודשיים לעשות זאת".

לפחות שמונה משפחות נוזקה שתקפו רשתות ICT אוקראיניות

לפי חוקרי מיקרוסופט, רוסיה פרסה לפחות שמונה משפחות נוזקה הרסניות ברשתות תקשורת מחשבים ונתונים אוקראיניות, כולל נוזקה ספציפית, Industroyer2, שכוונה לפגוע בתפקוד של מערכת הבקרה התעשייתית ששימשה במתקפה על רשת החשמל. ז'ורה אמר כי ממשלת אוקראינה לא הבחינה בסימנים לשימוש ב-Industroyer2 נגד חברות אנרגיה אחרות, אך אין לשלול את האפשרות הזו.

מומחי אבטחה, שאינם מטעם מיקרוסופט, ציינו כי בדו"חות אבטחה קודמים שלה, הענקית מרדמונד הייתה ביקורתית ושלילית יותר לגבי פוטנציאל הרחבת השימוש בסייבר התקפי של רוסיה. "אם גורמי איומים יכולים לשמור על קצב הפיתוח והפריסה הנוכחיים, אנחנו צופים שנוזקות הרסניות יותר יתגלו ככל שהקונפליקט יימשך", הזהיר בעבר טום ברט, סגן נשיא מיקרוסופט.

מתקפות חוזרות ונשנות על רשת החשמל האוקראינית

זאת לא הפעם הראשונה שבה האקרים רוסים תקפו את רשת החשמל האוקראינית. הם עשו זאת גם בחגי סוף השנה של 2015, וגרמו להפסקת חשמל. לדברי חוקרי אבטחת מידע, המהלך העיד, בזמנו, על הסלמה חדשה ומטרידה בעולם מתקפות הסייבר. המתקפה ההיא גרמה לכך שמחצית מהבתים באזור איבנו-פרנקיבסק נותרו ללא חשמל למשך כמה שעות ב-23 בדצמבר. הפסקת החשמל, שפגעה בכמה מאות אלפי בני אדם, ולפי אחד הדיווחים ב-700 אלף מהם, נגרמה מווירוס שגרם לניתוק תחנות כוח מהרשת. החוקרים אמרו שניתוח הנוזקות שנמצאו במערכות של לפחות שלושה מפעילי חשמל אזוריים העלה כי "מתקפת סייבר הרסנית" היא שהובילה להפסקת החשמל. האוקראינים חוו עוד מתקפת סייבר על תשתיות אנרגיה בחגים של השנה שלאחר מכן. חוקרי ESET ציינו כי הם רואים "קשר ברור" בין שתי המתקפות – זו שבוצעה לפני יותר משש שנים וזו שבוצעה באחרונה.

Sandworm מסווגת כקבוצה מסוג APT – איום מתמשך מתקדם. מונח זה משמש לתיאור תוקפים או קבוצות של תוקפים, שמקבלים גישה לרשתות מחשבים, בדרך כלל של ארגונים פרטיים או ממשלתיים גדולים. הם נוטים להישאר שם ללא זיהוי ולאורך זמן. במקרים רבים, פעילותם ממומנת על ידי מדינות.