מלחמה בין רוסיה לאוקראינה? בסייבר זה כבר קורה

העולם סוער בימים אלה לקראת מלחמה אפשרית בין רוסיה לאוקראינה, לאחר שהמשטר של ולדימיר פוטין ריכז כוחות גדולים בגבול בין שתי המדינות, ובזה שבין אוקראינה לבלרוס. אלא שבממד אחר – הסייבר – כבר פרצה מלחמה בין שתי המדינות, או, יותר נכון, מצדה של רוסיה נגד אוקראינה.

חוקרי טאלוס, חטיבת מודיעין האיומים של סיסקו, מצאו שלנוזקה שפגעה מוקדם יותר החודש בעשרות מערכות מחשב ממשלתיות באוקראינה יש כמה "קווי דמיון אסטרטגיים" ל-NotPetya – קבוצת האקרים שמשויכת למשטר הרוסי. הקבוצה תקפה בכל העולם, ובפרט באוקראינה, ב-2017 – ובסופו של דבר הסבה נזקים כוללים בסך של כ-10 מיליארד דולר.

לפי החוקרים, "מתקפת NotPetya צריכה לשמש אזהרה לכל ארגון שמצוי בקשרים עם אוקראינה. כל ארגון שכזה צריך לשקול בזהירות כיצד לבודד ולנטר את הקשרים הללו, כדי להגן על עצמו מפני נזק נלווה פוטנציאלי".

רוסיה "פולשת" לאוקראינה – בסייבר

האזהרה של חוקרי האיומים של סיסקו מגיעה על רקע הדיווחים שלפיהם רוסיה ריכזה כוחות צבא לאורך גבול שלה עם אוקראינה, ובכוונתה לפלוש לשכנתה – טענה שממשלת רוסיה מכחישה.

לפני ימים אחדים, חוקרי מיקרוסופט דיווחו כי הם זיהו נוזקות הרסניות ב-IT של סוכנויות ממשל באוקראינה. החוקרים ציינו שקורבנות הנוזקות כוללים סוכנויות ממשלתיות אוקראיניות, המספקות פונקציות קריטיות לממשל, או גופי חירום והצלה. קורבן נוסף, ציינו, היא חברת IT שמנהלת אתרי אינטרנט עבור לקוחות במגזרים הציבורי והפרטי, כולל סוכנויות ממשלתיות שאתרי האינטרנט שלהן הושחתו באחרונה.

נשיא רוסיה, ולדימיר פוטין. צילום: BigStock

הודעת החוקרים הגיעה לאחר מתקפת סייבר מסיבית שבוצעה במחצית החודש נגד עשרות אתרי ממשלה באוקראינה, שבה ההאקרים כתבו באזהרה לאוקראינים כי עליהם "לפחד ולצפות לפגיעה הגרועה ביותר".

בקייב שייכו את מתקפת הסייבר לקבוצת האקרים שקשורה למודיעין של בלרוס – מדינה שמנהלת קשרי ידידות קרובים מאוד עם רוסיה וכאמור, רוסיה ריכזה כוחות צבא גדולים בשטחה, על הגבול עם אוקראינה. לפי בכיר ביטחוני באוקראינה, הקבוצה השתמשה בנוזקה הדומה לזו ששימשה קבוצה שקשורה למודיעין הרוסי. הנוזקה הוסוותה ופעלה ככופרה, ציינו חוקרי מיקרוסופט.

מתקפה פשוטה – ועדיין, היא הסבה נזק

המתקפה נגד היעדים האוקראיניים בוצעה באמצעות נוזקה בשם WhisperGate. היא הייתה פשוטה יחסית והאתרים שבו לפעול בתוך זמן קצר, אולם עדיין, היא הצליחה להסב נזק לכמה ארגוני IT באוקראינה. על פי חוקרי סיסקו, המתקפה כללה דרישה לתשלום דמי כופר בסך 10,000 דולר בביטקוין, אלא ש-"דרישות הכופר היו תחבולה על מנת לטשטש את כוונת ההרס של הנוזקה".

לדברי החוקרים, "WhisperGate דומה למתקפה מ-2017 בכך שגם היא נחזתה לכופרה, בה בעת שהיא שימשה להרס של רשומת האתחול הראשית (MBR) – במקום להצפין אותה. ל-WhisperGate יש רכיבים נוספים, שנועדו לגרום נזק נוסף".

התוקפים שמאחורי WhisperGate השתמשו באישורים גנובים כדי לקבל גישה ראשונית למערכות, העריכו החוקרים, וככל הנראה הייתה להם גישה לרשת הקורבן במשך חודשים לפני המתקפה. הם ציינו שזהו עוד "דפוס פעולה אופייני לפעולות מתוחכמות של גורמי איום מתמשך (APT). לתוקפים הייתה גישה למערכות היעד כבר בסוף הקיץ האחרון".

החוקרים ציינו, אולי באירוניה, כי "השחתת 80 אתרים ממשלתיים ואפילו מתקפות מחיקת הקבצים לא מדאיגות לכשעצמן, בהתחשב בעובדה שאוקראינה נחשבה ל-'מעבדת ניסויים' למתקפות סייבר רוסיות במשך שנים. למעשה, אלמלא העלייה הברורה במתיחות הגיאו-פוליטית באזור, היינו מפרשים את המתקפות כחלק מאירועי החורף באוקראינה. ראינו כבר פעילות מסוג זה נערכת לפרקים משך שנים. אנחנו לא רואים סיבה להיכנס לפאניקה בגלל האירועים האלה".

"כעת, במבט על הנזק שנגרם על ידי NotPetya, אנחנו מבינים עד כמה הוא מאלף", הוסיפו החוקרים מסיסקו. "אז, המתקפה נועדה להעניש את אוקראינה, והייתה לה השפעה גלובלית רחבה. כל ארגון שיש לו כל סוג של קשר עסקי לאוקראינה עלול להיות מושפע".

גם המערב מזהיר ממתקפות סייבר רוסיות

יצוין כי CISA, הסוכנות האמריקנית הפדרלית לאבטחת סייבר ותשתיות, הנפיקה מוקדם יותר החודש התרעה שלפיה על אנשי אבטחת מידע והגנת סייבר להיות ערניים יותר מתמיד, בשל חשש ממתקפות של האקרים בחסות רוסית. האזהרה פורסמה במשותף עם NSA, הסוכנות לביטחון לאומי של הממשל בוושינגטון, וה-FBI. לפי ההודעה, מערכות IT של תשתיות קריטיות נמצאות בסיכון מיוחד למתקפה. מרכז אבטחת הסייבר הלאומי של בריטניה והמרכז הקנדי לאבטחת סייבר פרסמו אזהרות דומות בימים האחרונים.

לרוסיה – או, יותר נכון, להאקרים שפועלים בחסותה – יש היסטוריה של מתקפות סייבר גם נגד מדינות מערביות, ובמיוחד נגד ארצות הברית. בעבר הם הצליחו להשיג גישה לרשתות של מתקני אנרגיה בארצות הברית ומחוצה לה.

גם אוקראינה סבלה ממתקפות על מתקני אנרגיה מעשה ידי מוסקבה: בסוף דצמבר 2015, האקרים שפעלו כשלוחי הקרמלין גרמו להפסקת חשמל ברחבי המדינה בחגי סוף השנה. חוקרי אבטחת מידע ציינו אז כי המהלך מעיד על "הסלמה חדשה ומטרידה" בעולם מתקפות הסייבר. כחלק מאותה מתקפה, רבים מתושבי אוקראינה נותרו ללא חשמל למשך כמה שעות ב-23 בדצמבר – יום לפני חג המולד. הפסקת החשמל, שפגעה בכמה מאות אלפי בני אדם – ולפי אחד הדיווחים ב-700 אלף איש – נגרמה מווירוס שגרם לניתוק תחנות כוח מהרשת. חוקרים אמרו שניתוח הנוזקות שנמצאו במערכות של מפעילי חשמל אזוריים העלה כי "מתקפת סייבר הרסנית" היא שהובילה להפסקת החשמל.