וואלה
וואלה
וואלה
וואלה

וואלה האתר המוביל בישראל - עדכונים מסביב לשעון

הגיוס ההמוני של ההאקרים: רוסיה-אוקראינה, גזרת הסייבר

יותם גוטמן

עודכן לאחרונה: 1.3.2022 / 17:04

מה שהתחיל כמתקפה קלה וזניחה הלך והתעצם. כמו בעולם ה"אמיתי", גם לוחמת הסייבר בין אוקראינה לרוסיה עלתה מדרגה - והמילה האחרונה רחוקה מלהיאמר. דו"ח ביניים

בווידאו: תיעוד נזקי הלחימה בעיר בוצ'ה/צילום: רויטרס

כפי שכתבנו בעבר, כל עימות צבאי, בטח כזה שמערב את הכוחות המזויינים הרוסיים, "יתובל" בפעילות במרחב הסייבר. והנה, המלחמה בין רוסיה לאוקראינה מדגימה את ההנחה הזו בצורה מושלמת.

פעולות מקדימות

טרם המלחמה, בוצעו על ידי רוסיה פעולות מקדימות במרחב הסייבר שאפשר לחלקן ל-3 סוגים עיקריים: איסוף מודיעין, ביצוע פעולות שתומכות במתקפה עתידית ולוחמת פסיכולוגית. הפעולות הללו הורגשו אמנם בצד האוקראיני אך לא היה ניתן לייחס אותן ב-100% לרוסים (לדוגמא - גורמים האקטיביסטים בלארוסים הואשמו בחלק מהפעולות) והאימפקט שלהן היה זניח יחסית. אופן הפעולה הזה אפשר לרוסים גמישות והסתגלות למצב הצבאי-מדיני: אם ירצו בכך, יכלו להעצים את הפעילות, אם ירצו להוריד את גובה הלהבות תמיד יוכלו להתנער מהפעילות הזו.

מתקפת סייבר על אוקראינה. GettyImages
ההאקרים עובדים שעות נוספות בשני הצדדים/GettyImages

עם פרוץ פעולות האיבה, עברו הרוסים לֹמוד גלוי ואגרסיבי יותר. במקביל לתחילת המתקפה הרוסית הפיזית על יעדים באוקראינה, החלו דיווחים על מתקפות סייבר רוסיות שעושות שימוש במוחקה (רושעה שפוגעת ומוחקת מידע - Wiper). חוקרי חברת סנטינל וואן ניתחו את הרושעה שמטרגטת מערכות ווינדוס, ונתנו לה את השם Hermetic Wiper.

פרוץ פעולות האיבה

הדיווח הראשוני היה של חוקרים מהחברות סימנטק ו-ESET שחלקו עם קהילת החוקרים דוגמה (Sample) של הכלי. מניתוח פורנזי של הכלי עולה שהוא נחתם בחתימה אלקטרונית, שמעידה על כך שמדובר בכלי תוכנה לגיטימי (לכאורה) של חברה בשם Hermetica Digital Ltd, שרשומה בקפריסין. לא נמצאו תוכנות נוספות חתומות על ידי החברה הזו, ולכן ההשערה היא שמדובר בחברת קש או בחברה שאינה פעילה יותר. העובדה שהתוכנה חתומה מסייעת לה לעקוף מנגנוני אבטחה שבוחנים בין היתר האם מדובר בתוכנה לגיטימית וחתומה. הרושעה מותקנת דרך דרייבר שמשמש לניהול מחיצות (Partitions) בשם empntdrv.sys. משם היא מאתרת את הכוננים הפיזים במערכת ודרך מנגנון ה-MBR
Master boot record)) שמכיל רצף הפעולות הנחוצות לאתחול מערכת ההפעלה. המוחקה משחיתה את 512 הבתים הראשונים בכל כונן פיזי במחשב, ועל ידי כך מונעת גישה למידע השמור עליו.

החוקר חואן אנדרס גררו-סאדה מסנטינל וואן, שניתח את הרושעה, אמר שהשימוש בכלי הוא המשך לוגי של הפעילות הרוסית במימד הסייבר, שהתחילה בהתקפות "טורדניות" (שאינן גורמות נזק ממשי לתשתיות או מידע) של מניעת שירות והשחתת אתרי ממשל ובנקים. כעת כשעימות צבאי ממש פרץ הרוסים עלו מדרגה ומשתמשים במתקפות סייבר אגרסיביות יותר בכדי לגרום נזקים ממשים שמסייעים להם "לרכך" יעדים אוקראינים במקביל למהלך צבאי משמעותי יותר.

שימוש בגורמים האקטיביסטים ובפושעי סייבר

לאחר המעבר לשלב הלחימה הגלוי (גם במימד הסייבר), שני הצדדים גייסו כוחות נוספים לעזרה. הרוסים שחוששים מאוד מסנקציות כלכליות הפעילו את פושעי הסייבר שלהם על מנת שיגרמו נזקים כלכליים למדינות המערב.

כנופיית הכופרה קונטי (שלפי הטענות חוסלה על ידי גורמי אכיפת חוק רוסיים) חזרה לפעילות והצהירה על נאמנות למשטר הרוסי. אין ספק שנראה פעילות מוגברת שלה ושל גורמי פשיעת סייבר רוסים נוספים במידה והעימות יתמשך.

כתגובת נגד, חוקר סייבר אוקראיני שחרר מידע שאסף במשך יותר משנה על הקבוצה, על פעילותה ועל התשתית שלה, וזאת על מנת לסייע לגורמי שונים להגן על חברות במדינותיהן. הממשל האוקראיני קרא להאקרים מכל העולם להתגייס ולהילחם ברוסים. אנונימוס התגייסו למטרה ותקפו מספר אתרי ממשל רוסים, ביניהם אתר הקרמלין.

ולדימיר פוטין בעת ביקור בדרום קוריאה בשנת 2013. Chung Sung-Jun, GettyImages
לא אמר את המילה האחרונה. פוטין/GettyImages, Chung Sung-Jun

השלב הבא של העימות ישפיע באופן מהותי על הפעילות במרחב הסייבר. אם פניה של רוסיה להסדרה או הפסקת אש, הרי שהמתקפות הישירות יפסקו או לפחות יושהו. אם הלחימה תימשך (לדוגמא - אם רוסיה תנסה לכבוש את העיר קייב, מהלך שיכול לקחת שבועות רבים ולהיות מלווה בהרס רב), הרי שיכול להיות שהמתקפות שראינו הן רק קצה המזלג. הרוסים שכבר הדגימו בעבר יכולת לפגוע את מערכת החשמל של אוקראינה יכולים לשתק את אספקת החשמל לערים נצורות, לנטרל את הפיקוד והשליטה של הצבא והממשל האוקראיני ואף לפגוע בתשתיות האינטרנט במדינה ו"לנתק אותה מהעולם". בסופו של יום - כל היכולות האלו עומדות לרשות פוטין ופיקוד צבאו, ורק הוא שיודע איך ומתי ישתמשו בהן.

יותם גוטמן הוא מנהל השיווק של SentinelOne

  • עוד באותו נושא:
  • סייבר

טרם התפרסמו תגובות

הוסף תגובה חדשה

+
בשליחת תגובה אני מסכים/ה
    2
    walla_ssr_page_has_been_loaded_successfully