המלחמה באוקראינה תופסת תאוצה בסייבר

על רקע התפתחות דרמטית במלחמה, בה רוסיה נסוגה מחרסון וצבא אוקראינה נכנס לעיר, הדוב הרוסי ממשיך להטיל חיתתו בסייבר: חוקרים ממיקרוסופט קבעו בסוף השבוע כי מתקפה על חברות תחבורה ולוגיסטיקה באוקראינה ובפולין בחודש שעבר, הייתה עבודתה של יחידת מודיעין צבאית רוסית, ידועה לשמצה.

המתקפה אירעה לפני חודש, ב-11 באוקטובר, וזכתה לכינוי "יוקרה" (Prestige) – ניסתה לשתק את הגישה למחשבים בכל הארגונים אותם היא תקפה. במקרים בהם המתקפה צלחה, היא מנעה מהחברות הקורבנות גישה למערכות המחשב שלהן.

אנליסטים ציינו כי בשל העובדה שהמתקפה התמקדה בחברות לוגיסטיקה ותחבורה, ייתכן שהאקרים של המודיעין הצבאי הרוסי ניסו לעצור את זרימת הסחורות והחומרים לאוקראינה, שם ספגו הכוחות הרוסיים בחודשים האחרונים שורה של כשלונות צבאיים.

זרימת סחורות לאוקראינה ממדינות שכנות היוותה ציר מפתח לאוקראינה להשיג את האספקה ​​הדרושה לה, ציינו החוקרים. תקיפת תשתיות מחשבים בפולין – שהיא חברת נאט"ו – מייצגת את אחת הדרכים הבודדות בהן רוסיה יכולה לנסות ולפגוע בשותפים הלוגיסטיים של אוקראינה.

מאחורי התקיפות – שמרכז המודיעין האיומים של מיקרוסופט, ה-MSTIC, עוקב אחריהן, עומדת קבוצת ההאקרים אירידיום (Iridium), שפעילות התקפית שלה זוהתה במהלך מלחמת רוסיה-אוקראינה. הממשלה בקייב כבר האשימה את הקבוצה, המזוהה עם GRU, סוכנות הביון הצבאית של רוסיה, בביצוע מתקפת נוזקה על רשת החשמל של אוקראינה באפריל השנה. הייתה זו המתקפה השלישית על מתקן אנרגיה אוקראיני בהיסטוריה של הקבוצה. הקבוצה, ידועה כ'תולעת חול' (Sandworm) – היא אותה קבוצה שניסתה לפגוע בכמה תחנות כוח חשמל וחלקים אחרים של רשת, המשרתת כשני מיליון אנשים באוקראינה.

מתלוות אסטרטגית לפלישת רוסיה לאוקראינה. מתקפות הסייבר. אילוסטרציה. צילום: BigStock

דמיון מחשיד

במהלך המעקב אחר המתקפה ונזקה, חוקרי מיקרוסופט עבדו בשיתוף פעולה עם צוות תגובת החירום הממוחשב של אוקראינה. החוקרים ציינו כי במהלך התקיפות הקורבנות היו דומים בזהותם למתקפות רוסיות אחרות, והדמיון "היה גם במיוחד בהיבט המיקום הגיאוגרפי והמדינתי". דמיון נוסף היה בין קורבנות מתקפה זו והנוזקה Hermetic Wiper, שהופעלה במסגרת כמה מתקפות נוזקה הרסניות שפגעו במטרות אוקראיניות מיד לאחר הפלישה הרוסית.

"מסע המתקפות האחרון מדגיש שינוי בפעילות ההרסנית של ההאקרים חברי אירידיום", כתבו חוקרי מיקרוסופט בדו"ח. "הוא מתריע על סיכון מוגבר לארגונים המספקים סיוע הומניטרי, או צבאי – ישירות לאוקראינה. ההאקרים עלולים להוות סיכון מוגבר לארגונים במזרח אירופה, שרוסיה תחליט שהם מספקים לאוקראינה תמיכה הקשורה למלחמה".

בעבר ציינו חוקרי האיומים של הענקית מרדמונד כי הרוסים מתאמים את מתקפות הסייבר שלהם על אוקראינה עם המציאות בשטח, וככלל, חלק ארי ממתקפות כוונו נגד מאות מערכות IT ארגוניות שבארגוני ממשל אוקראינים ובארגונים במגזר התשתיות הקריטיות. החוקרים ציינו שציר הזמן של מתקפות הסייבר הרוסיות מצביע על כך שהמדינה נערכה אליהן במשך פרק זמן כלשהו מראש, ופעלה כדי להשיג דריסת רגל במערכות IT אוקראיניות, כמו גם גישה לספקיות שרשרת אספקה קריטיות המשרתות את אוקראינה.

לפי חוקרי מיקרוסופט, רוסיה פרסה לפחות שמונה משפחות נוזקה הרסניות ברשתות תקשורת מחשבים ונתונים אוקראיניות, כולל נוזקה ספציפית, Industroyer2, שכוונה לפגוע בתפקוד של מערכת הבקרה התעשייתית ששימשה במתקפה על רשת החשמל.

מתקפות חוזרות ונשנות על רשת החשמל האוקראינית

לא הייתה זו הפעם הראשונה שבה האקרים רוסים תקפו את רשת החשמל האוקראינית. הם עשו זאת גם בחגי סוף השנה של 2015, וגרמו להפסקת חשמל. לדברי חוקרי אבטחת מידע, המהלך העיד, בזמנו, על הסלמה חדשה ומטרידה בעולם מתקפות הסייבר.

המתקפה ההיא גרמה לכך שמחצית מהבתים באזור איבנו-פרנקיבסק נותרו ללא חשמל למשך כמה שעות ב-23 בדצמבר. הפסקת החשמל, שפגעה בכמה מאות אלפי בני אדם, ולפי אחד הדיווחים ב-700 אלף מהם, נגרמה מווירוס שגרם לניתוק תחנות כוח מהרשת. החוקרים אמרו שניתוח הנוזקות שנמצאו במערכות של לפחות שלושה מפעילי חשמל אזוריים העלה כי "מתקפת סייבר הרסנית" היא שהובילה להפסקת החשמל. האוקראינים חוו עוד מתקפת סייבר על תשתיות אנרגיה בחגים של השנה שלאחר מכן. חוקרי ESET ציינו כי הם רואים "קשר ברור" בין שתי המתקפות – זו שבוצעה לפני יותר משש שנים וזו שבוצעה באפריל השנה.

'תולעת חול' מסווגת כקבוצה מסוג APT – איום מתמשך מתקדם. מונח זה משמש לתיאור תוקפים או קבוצות של תוקפים, שמקבלים גישה לרשתות מחשבים, בדרך כלל של ארגונים פרטיים או ממשלתיים גדולים. הם נוטים להישאר שם ללא זיהוי ולאורך זמן. במקרים רבים, פעילותם ממומנת על ידי מדינות.