סגור
באנר דסקטופ כלכליסט טק

תקיפת הסייבר הרוסית באוקראינה - נוזקה חדשה שעלולה להיות מופנית גם נגד המערב

במתקפה על אוקראינה רוסיה הפעילה נשק חדש, מהמסוכנים בארסנל הסייבר של הקרמלין, נוזקה מסוג Data Wiper, שמסוגלת למחוק ולהשבית כל מחשב שנדבק בה. החשש הוא שהשימוש בה יזיק למחשבים גם מחוץ לאוקראינה

לחימה היברידית היא המושג החדש שאפשר להצמיד למתקפה הרוסית על אוקראינה שהחלה ביום חמישי. זו לא הפעם הראשונה שרוסיה עושה שימוש בזירת הסייבר כאמצעי "לרכך" מטרה מדינתית - גיאורגיה ספגה את ניסוי הכלים בצורת הלוחמה הזו לפני כמעט 15 שנה. אבל הפעם רוסיה הפעילה נשק סייבר חדש שמתגלה כאחד המסוכנים שנחשפו בארסנל הסייבר של הקרמלין.
תחילה הצבא הרוסי עשה שימוש במתקפות סייבר פשוטות יחסית מסוג DDoS, מניעת שירות. אלה מייצרות במכוון עומס מקוון על שרתים ומונעות גישה לאתרים בשיטה זו. אולם במקביל מתברר שהופעלה גם נוזקה חדשה שמסוגלת למחוק ולהשבית כל מחשב שנדבק בה מסוג Data Wiper. את הנוזקה גילתה לראשונה חברת אבטחת המידע הסלובקית ESET, והיא מכנה אותה HermeticWiper.
לפי ESET, הנוזקה מנצלת תוכנה לתחזוקת מחשבים של חברה בשם Easus שפופולרית מאוד במחשבים ארגוניים באוקראינה. על פי הממצאים, התוקפים חדרו למחשבים בממשל ובשירותים חיוניים באוקראינה, ומחקו מהם מידע והשביתו אותם הלכה למעשה. ממידע שנאסף באמצעות הדגימות וחותמות הזמן שלהן ניתן לשער כי המתקפה היתה בהכנה כמעט חודשיים, מכיוון שתאריך ההרצה הראשון המצוין בהן הוא 28 בדצמבר 2021. כפי שזה נראה כעת, מדובר בחדירה למאות מחשבים במדינה לפחות.
4 צפייה בגלריה
עשן ב קייב אוקראינה לאחר מתקפה של רוסיה
עשן ב קייב אוקראינה לאחר מתקפה של רוסיה
עשן בקייב בירת אוקראינה לאחר מתקפה רוסית
(רויטרס)

השבתה גורפת

בחברת הסייבר הישראלית סייבריזן, העוקבת מקרוב אחרי האירועים, מסכימים עם הערכת ESET לגבי הנוזקה החדשה, אבל מוסיפים שישנה סכנה מוחשית שהשימוש בה עשוי לגרום נזק גם למחשבים מחוץ לאוקראינה. יוסי רחמן, ראש מחלקת המחקר בסייבריזן, מסביר: "נראה שהפוגען החדש, שהחל להתפשט בבוקר חמישי סביב ההכרזה של פוטין על הפלישה, הוא מסוג WIPER, שנועד להשבית באופן גורף מערכות מחשב מבוססות ווינדוס באמצעות מחיקה נרחבת של המידע שבמערכות אלו, ובין השאר עושה שימוש בכמה טכניקות שונות לצורך התחמקות מכלי הגנה ואמצעי זיהוי בסיסיים.
"לצערנו, ניסיון העבר הוכיח כי פוגענים שאותם מפעילה רוסיה אינם מוגבלים למדינה כזו או אחרת, ובדומה לאירועי 2017, ישנו סיכוי רב כי הפוגען החדש יתפשט מעבר לגבולות אוקראינה ויביא להשבתה של גופים ממשלתיים ואזרחיים רבים באירופה וברחבי העולם". רחמן מתייחס לאירוע ב־2017, שבמהלכו נוזקה שכונתה NotPetya, והתקיפה מחשבים אוקראיניים באותה שיטה כמו הנוזקה הנוכחית, זלגה למדינות נוספות וגרמה נזקים עצומים לחברות רבות בעולם. כבר אז ההערכה היתה שמדובר בניסוי כלים של נשק סייבר רוסי, וכפי הנראה אחד מהם הושמש כעת למלחמה של רוסיה באוקראינה.

השכנות נדבקו

בינתיים, על פי דיווח נוסף של סימנטק האמריקאית, הנוזקה אכן זוהתה גם בכמה מחשבים בלטביה ובליטא. הסכנה העיקרית של הנוזקה אינה רק מחיקת מידע ברמת התוכנה אלא גם במחיקה של ה־Master Boot Record, שהוא הקובץ שמאפשר למחשב לטעון את מערכת ההפעלה והקבצים הנדרשים לפעולה. מחיקה שלו הופכת את המחשב לאבן שאין לה הופכין, מה שעשוי לגרום נזק רב בתשתיות תקשורת ומחשבים אזרחיות וגם צבאיות. שלא במפתיע, הנוזקה מנצלת את אחת מנקודות הכניסה הפופולריות ביותר בקרב האקרים - שירות ה־ActiveDirectory של ווינדוס. יוסי סאסי, סמנכ''ל הטכנולוגיות וממייסדי חברת הסייבר 10Root, הסביר ל”כלכליסט” שמדובר בשיטה נפוצה מאוד להחדיר נוזקות זה שנים רבות, והשירות כולל פרצות רבות שקשה מאוד לתקן, גם ובעיקר מפני שחברות רבות מתמהמהות בעדכוני האבטחה במחשבים שלהן.
4 צפייה בגלריה
רכב משוריין ו טנק פלישה ל אוקראינה רוסיה
רכב משוריין ו טנק פלישה ל אוקראינה רוסיה
רכב משוריין וטנק בפלישה הרוסית לאוקראינה
(צילום: רויטרס)
בתוך כך נוזקות הסייבר של רוסיה לא משמשות רק למלחמה, אלא גם ובעיקר למודיעין. דו''ח משותף של סוכנויות הביון האמריקאיות והבריטיות מצא שנוזקה חדשה, שמקורה ככל הנראה ב־GRU, המודיעין הצבאי הרוסי, הוחדרה למאות אלפי נתבים בגרסה ראשונה עוד ב־2018, וכעת שודרגה עם יכולות חדשות. הנוזקה, המכונה Cyclops Blink, מסוגלת לשדר מידע על המכונה שעליה היא מותקנת ולאפשר הורדה והתקנה ברקע של קבצים מרחוק. היא גם כוללת יכולת להוסיף פיצ'רים מרחוק בהמשך. זו שיטה מצוינת למנוע מסוכנויות הגנת סייבר לזהות את היכולות של הנוזקה ולשמור עליהן עד לשעת הכושר.
על פי הערכות חברת אבטחת המידע האמריקאית פאלו אלטו, רוסיה עשויה גם לעשות שימוש בנשק סייבר כדרך להעניש או לנקום במדינות מערביות שישתפו פעולה עם הסנקציות שיוטלו עליה. על פי דו”ח של יחידת מודיעין הסייבר של החברה Unit 42 - ישנה עלייה חדה בהיקף פעילות הסייבר של רוסיה בעולם, מה שעשוי לרמז על הצבה של כלים בנקודות מפתח אסטרטגיות.

שימוש חד־פעמי

אחת הבעיות העיקריות של מדינות שעושות שימוש בנשק סייבר היא שלרוב לא ניתן להשתמש בו יותר מפעם אחת, שכן מהרגע שהוא מזוהה ניתן לבצע הנדסה לאחור ולמצוא את נקודות התורפה שלו כדי לחסום אותו. איראן למשל השמישה גרסה מוקדמת של נוזקת Shamoon שפותחה, כך על פי פרסומים זרים, בידי ארה”ב וישראל, כדי לתקוף את מחשבי חברת הנפט הלאומית של סעודיה לפני עשור.

4 צפייה בגלריה
טנקים של צבא אוקראינה עשן מיתמר מבסיס צבאי ליד חרקוב לאחר התקפה של רוסיה
טנקים של צבא אוקראינה עשן מיתמר מבסיס צבאי ליד חרקוב לאחר התקפה של רוסיה
טנקים של צבא אוקראינה ובסיס צבאי ליד חרקוב לאחר התקפה רוסית
(צילום: רויטרס, איי אף פי)
באוקראינה המצב בינתיים לא ברור. ידוע שגם לאוקראינים יש תשתית סייבר או לפחות ידע טכנולוגי כדי לתקוף, אך אם רוסיה מצליחה להשבית את תשתיות התקשורת במדינה במהירות, יכול מאוד להיות שאוקראינה לא תצליח לעשות בהן שימוש. קשה להעריך עד כמה הנזק שייגרם לאוקראינה ימנע ממנה להגיב, אך הוא בוודאות יחליש את ההגנות שלה ויקל על צבא רוסיה להשלים את ההשתלטות על המדינה.
מטוס הקרב הופל או לא? מתכון בטוח לפייק ניוז
לרשתות התקשורת כמעט שאין כתבים וצלמים בחזית, והסרטונים מגיעים דרך המדיה החברתית. אך שם כל צד עושה בהם שימוש לצרכיו וקשה לאמת את המידע
אף שהפלישה היתה צפויה חודשים רבים, נראה שהיא תפסה את רשתות התקשורת הבינלאומיות לא מוכנות, בלי צלמים או כתבים בחזית, משדרות במתכונת של רדיו מצולם. האקשן האמיתי נמצא במדיה החברתית, שם התמונות והסרטונים מהחזית מופיעים בזמן אמת.
הקרב הוא לא רק על הקרקע אלא גם על דעת הקהל, כשלכל צד יש אינטרס לעצב נרטיב שמיטיב איתו. תוסיפו לכך את הבלבול והכאוס שקיימים בשטח ואת הקושי לגשת למידע אמין בזמן אמת – ויש מתכון בטוח למתקפת פייק ניוז שכמוה לא ראינו מעולם.
כבר בחמישי קיבלנו טעימה לכך כשאוקראינה טענה שהפילה מטוס קרב רוסי, יש גם סרטון שלכאורה מאשש את זה. אבל רוסיה טענה שלא היו דברים מעולם. צד אחד בטוח לא דובר אמת, אבל לנו אין דרך לדעת באיזה צד מדובר. גם את הסרטונים האלה צריך לקחת בעירבון מוגבל, מוקדם לדעת האם מדובר בצילומים אותנטיים מהשטח או אולי בסרטונים ישנים שלא קשורים למלחמה הנוכחית.
הפייק ניוז, משני הצדדים, רק יתגבר בשעות ובימים הקרובים, יציף את הרשתות החברתיות ויחדור גם למדיה המסורתית. דיווחים על מעשי זוועה, הישגים או כישלונות צבאיים, כיבושים או שחרורים של אזורי מפתח – נראה את הכל ומעבר לכך, ולכל יהיה צורך להתייחס בספקנות. מה קורה באמת, מי ניצח ומי הפסיד, לזה לא תהיה תשובה מיידית בטוויטר, פייסבוק או טיקטוק. המדיה החברתית מגיבה מהר וביעילות, אבל כדי לגלות מה קורה באמת נצטרך להיעזר בסבלנות. המידע האמין יגיע, כנראה, דווקא מהמדיה המסורתית.
עומר כביר

4 צפייה בגלריה
נזק לציוד של צבא אוקראינה בעקבות תקיפה של רוסיה
נזק לציוד של צבא אוקראינה בעקבות תקיפה של רוסיה
נזק לציוד של צבא אוקראינה בעקבות תקיפה של רוסיה
(AP)