שנה למלחמה: 1:0 לאוקראינה בסייבר מול רוסיה
מלחמת הסייבר הרוסית נגד אוקראינה לא נוחלת הצלחה: המתקפות של הקרמלין לא מצליחות לשתק את המדינה, והאוקראינים הודפים אותן בדרך כלל בהצלחה, בזכות המערב ● למה זה קורה? ומה צופן העתיד? מומחים מנתחים
לפני שנה חסר יום, ב-24 בפברואר, פחות משעה לפני שטנקים רוסיים החלו לשעוט לאוקראינה – האקרים רוסים הפילו את מערכת התקשורת הלוויינית של ויאסאט, ושיתקו חלקים נרחבים של התקשורת הצבאית והאזרחית במדינה. הייתה זו מכת מחץ בשדה הקרב הקיברנטי לאוקראינה, שנערכה מבעוד מועד למתקפות סייבר. מי שנחלץ לעזרתה היה אילון מאסק: מערכת האינטרנט הלווייני סטארלינק של SpaceX נכנסה מיד לפעולה לטובת האוקראינים, ושלחה להם מאז תחילת המלחמה 22 אלף מודמים לווייניים. השנה היא תשלח עוד 10,000. העזרה הייתה חיונית לאוקראינים עד כדי כך ש-SpaceX כונתה על ידי הממשל בקייב "החמצן שלנו".
בחלוף שנה, מומחי הגנת סייבר ואבטחת מידע ששוחחו עם אנשים ומחשבים מסכימים שלמרות המאמץ שרוסיה השקיעה בזירת הסייבר, היא לא הצליחה ליצור את השיבושים הנדרשים, שיסייעו לה לנצח במלחמה הפיזית. על אף שלוחמת סייבר הייתה ובמידה רבה עודנה חלק קשה וחשוב במלחמה, לא הייתה בזירה "האפליקציה הרוצחת", שהיו שציפו שתכריע.
מה כן היה?
המתקפות הרוסיות בסייבר נחלקו לשניים: מתקפות נוזקה שמטרתן שיבוש והרס, ומתקפות ריגול ואיסוף מידע ומודיעין, סביב אירועים פוליטיים, גיאו-פוליטיים וצבאיים.
לדברי סרגיי שוקביץ', מנהל המודיעין בצ'ק פוינט, "הצלחת אוקראינה בסייבר אינה מובנת מאליה. היא הסתייעה רבות בשני גופים כבדי משקל: הממשל האמריקני וחברות הטק הגדולות, ובראשן מיקרוסופט וגוגל". הוא ציין כי "רוסיה הבינה, כבר בשלב מוקדם במלחמה, שהיא לא יכולה להגיע להישגים בסייבר, בין השאר בשל הסיוע הבינלאומי שאוקראינה קיבלה מהמערב. כך, לאחר כמה מתקפות מוצלחות, היו לרוסיה פחות נכסי סייבר לתקוף. עד אפריל-מאי 2022, כל המתקפות של רוסיה בסייבר היו מדודות – ומאז הן ספורדיות".
הוא ציין כי "ההצלחה החלקית של רוסיה הייתה בפגיעה משולבת, פיזית וקיברנטית, במטרות תשתיות קריטיות. באזורים שלמים באוקראינה אספקת החשמל מועטה, או מושבתת, בשל פגיעות אלה".
"המערב ניצח בוודאות בזירת הסייבר"
בועז דולב, מייסד ומנכ"ל קלירסקיי, אמר כי "רוסיה תקפה רבות בסייבר גופי ממשל, חברות אזרחיות ויחידות צבאיות. מיד עם פרוץ הלחימה, כל כנופיות הפשע בסייבר הרוסיות 'גויסו' לתמיכה בשדה הקרב – מרצונן או בכפייה. מטרות התקיפה שלהן תאמו את אסטרטגיית המתקפות של הקרמלין: כך, בין השאר, הותקפו בסייבר חברות תשתית קריטיות בארצות הברית. בשבועות האחרונים פושעי הסייבר הרוסים קיבלו 'שחרור מהמילואים' ושבו לתקוף את מי שהם רוצים". הוא ציין כי "חלק ניכר מהמתקפות בוצע באחד משני ערוצים – על שרשראות אספקה או על יישומי תוכנה לגיטימיים".
דולב קבע ש-"המערב ניצח בוודאות בזירת הסייבר במערכה הזו". לדבריו, "הניצחון הוא תולדה של היערכות מוקדמת ומשולבת של אוקראינה ובעלות בריתה. מרבית מתקפות הסייבר הרוסיות נהדפו באופן מוחלט. היה לכך אפקט הפוך: כשהרוסים ראו שהם לא נוחלים ניצחונות בסייבר, הם ערכו עוד מתקפות פיזיות. למרות זאת, הקואליציה המערבית הצליחה למנוע – חלקית – נזק בשל מתקפות הרס על תשתיות קריטיות".
זינוק של 300% במתקפות סייבר נגד מדינות נאט"ו
לא רק אוקראינה וארצות הברית היו מטרות התקיפה בסייבר של רוסיה בשנה האחרונה – גם מדינות נאט"ו (שארצות הברית היא אחת מהן ואוקראינה הייתה רוצה להצטרף אליהן). לפי מחקר האיומים (TAG) של גוגל, ב-2022 חל זינוק של 250% בהשוואה ל-2020 במספר מתקפות הסייבר הרוסיות, או כאלה שנתמכו על ידי רוסיה – נגד אוקראינה, והמספר של אלה שכוונו למדינות נאט"ו צמח ב-300%. "האסטרטגיה האגרסיבית ורבת הפנים של רוסיה נועדה להשיג יתרון מכריע במלחמה במרחב הווירטואלי, והחלה כבר ב-2019", נכתב במחקר.
החוקרים חילקו את ציר הזמן לכמה שלבים: בראשון, שנמשך בין 2019 לתחילת 2021, רוסיה ניהלה מסעות ריגול בסייבר נגד אוקראינה ומדינות נאט"ו. בשלב השני, מאפריל 2021, קבוצת ה-APT (איום עקבי ומתמשך) הרוסית UNC2589, שידועה גם בשם Frozenvista ושפועלת תחת הביון הצבאי הרוסי (GRU), החלה במתקפות פישינג ופריצות סייבר נגד ארגונים אוקראינים. במהלך 2021 נכנסו לזירה כמה קבוצות האקרים בחסות רוסית, ביניהן דוב מהודר (Fancy Bear), הידועה גם כ-APT28, ו-Frozenlake.
באמצע ינואר 2022 החל גל של מתקפות סייבר משבשות והרסניות, עם מתקפות מגב (מחיקת נתונים) שביצעו WhisperGate, שמכונה גם PayWipe, ותת קבוצה שלה, WhisperKill, שמכונה גם ShadyLook. בפברואר אשתקד, בעקבות הפלישה הקרקעית, צמח היקף מתקפות המגב – עד אפריל. אז הופיעו כמה משפחות חדשות של נוזקות, כולל הכופרה PartyTicket, מתקפת המגב CaddyWiper ו-Industroyer 2, גרסה מעודכנת של נוזקה הרסנית המכוונת למערכות בקרה תעשייתיות (ICS). זו, אגב, שימשה במתקפת הסייבר הרוסית על רשת החשמל האוקראינית בדצמבר 2016.
במאי 2022, שחקני איומים בגיבוי רוסיה נכנסו לשלב השלישי, והחלו לעשות שימוש חוזר בנוזקה CaddyWiper, ולתקוף ישויות באוקראינה ובמדינות נאט"ו. שלב זה נמשך עד יולי, כאשר באוגוסט ובספטמבר נרשמה הפוגה בפעילות. מתקפות הסייבר התחדשו באוקטובר, אז שחקני האיומים הרוסים תקפו עם CaddyWiper ונוזקות חדשות.
חוקרי מנדיאנט ציינו כי "בארבעת החודשים הראשונים של 2022 חוותה אוקראינה מתקפות בהיקף גדול בפער מאשר בשמונה השנים הקודמות, ושיאן התרכז סביב תחילת הפלישה. ניתן היה להבחין בניסיונות של ה-GRU לאזן בין סדרי עדיפויות מתנגשים".
חודש ספטמבר – נקודת מפנה בפעילות הסייבר
לפי חוקרי צ'ק פוינט, "בחלוף שנה למתקפה, מתקפות הסייבר על אוקראינה נמצאות במגמת ירידה, בעוד שהמתקפות על מדינות נאט"ו חוות עלייה חדה". החוקרים זיהו את ספטמבר 2022 כנקודת מפנה בסייבר. "מתקפות הסייבר נגד מדינות נאט"ו גדלו מאז בצורה משמעותית, בשיעור של עד 57%, ואילו אלה שמכוונות נגד אוקראינה פחתו ב-44%. אסטוניה, שגובלת ברוסיה, חוותה זינוק של 57% בכמות המתקפות נגדה, פולין ודנמרק חוו עלייה של 31% ורוסיה – של 9%".
בהקשר האוקראיני, תרמה לכך העובדה שבמהלך 2022 שירות הביטחון של המדינה – ה-SBU – נטרל יותר מ-4,500 מתקפות סייבר, שהמקור של רובן היה רוסי. ובכל זאת, היקף המתקפות הרוסיות על המדינה זינק אשתקד ביותר מפי שלושה מאשר הנתון שנרשם ב-2021, שעמד על 1,400. רוסיה מיקדה את מתקפות הסייבר שלה באזורים ספציפיים: מתקני אנרגיה, מתחמי לוגיסטיקה, מתקנים צבאיים, מאגרי מידע ומשאבי מידע של הרשויות.
ההיחלצות של החברות האמריקניות לטובת אוקראינה
כבר צוינה כאן ההירתמות של SpaceX לעזרת האוקראינים, בתחום הלוויינים. בתחום הסייבר, חברות טכנולוגיה אמריקניות רבות גויסו להגנה על אוקראינה, והעמידו לצורך כך כחצי מיליארד דולר. כבר באוגוסט 2021, כחצי שנה לפני הפלישה של רוסיה לשכנתה, הקים המודיעין האמריקני חדר מצב משולב להדיפות מתקפות סייבר רוסיות שכוונו נגד יעדים באוקראינה. מומחים קבעו שחדר המצב סייע משמעותית לצמצום היקף המתקפות הרוסיות, כמו גם למזעור נזקיהן.
באילו חברות מדובר? מיקרוסופט הקימה צוותי הגנה בסייבר מיוחדים לסיוע לאוקראינה, והשקיעה בכך סכום לא מבוטל של 300 מיליון דולר. השנה היא תשקיע בכך עוד 100 מיליון. גם אמזון תרמה רבות למאמץ המלחמתי: היא ערכה גיבוי חירום של מערכות המידע הממשלתיות האוקראיניות בענן שלה, AWS. במסגרת המבצע נשלחו אנשים מטעם אמזון עם מזוודות גיבוי מיוחדות, דרך הגבול הפולני, כדי לגבות את המידע של האוקראינים, במבצע בהשקעה של 75 מיליון דולר.
דולב ציין כי "ארצות הברית וענקיות הטק האמריקניות הקימו מערך הגנה חסר תקדים: הן בנו מסך ברזל, חומה בסייבר על ה-'גבול' הקיברנטי שבין רוסיה לאוקראינה".
"לוחמת שוחות" – גם בסייבר
מוחמד פייזל בן עבדול רחמן, עמית בכיר ב-RSIS, המכון למחקרי הגנה אסטרטגיים בסינגפור, היטיב לתאר את הקשר בסייבר של המערב לאוקראינה: "בינואר 2022, האקרים הקשורים לרוסיה ערכו מתקפת סייבר גדולה באתרי האינטרנט של הממשלה בקייב. הם פרסמו הודעה מבשרת רעות: 'אוקראינים!… כל המידע עליכם הפך לפומבי. פחדו וצפו לגרוע יותר. זה העבר, ההווה והעתיד שלכם'. ברקע התקרית הזו, נאט"ו ואוקראינה חתמו על הסכם להעמקת שיתוף הפעולה בסייבר".
"מתקפות סייבר נתפסות כרווח לתוקפן", אמר. "עם זאת, לא רוסיה ולא אוקראינה השיגו רווח אסטרטגי. במקום זה, המלחמה ניפצה את המיתוס של ניצחון מהיר ומכריע – הן בתחום הפיזי והן בסייבר. קיבלנו במקום זאת עידן חדש של 'לוחמת שוחות', בשני התחומים".
מה הלאה?
במבט קדימה, גוגל מאמינה ש-"יש ודאות רבה שהתוקפים הנתמכים על ידי הממשלה הרוסית ימשיכו לבצע מתקפות סייבר נגד אוקראינה ומדינות נאט"ו, ואף יגבירו את המתקפות המשבשות וההרסניות". גם שוקביץ' אוחז בדעה הזו: "רוסיה מביטה על נאט"ו, שם היא סבורה שיש לה יותר יכולת להשפיע תודעתית ואף לפגוע".
תגובות
(0)