מלחמת צללים: יכולות הסייבר ההתקפי של רוסיה

17 בדצמבר 2016 היה לילה קר במיוחד בקייב בירת אוקראינה. מינוס 5 מעלות, אם לדייק. ואז, בעיצומם של הימים שלפני חג המולד, נפל החשמל. במשך יותר משעה הוחשכו חלקים גדולים מקייב ומהערים בסביבתה, עד שהרשויות האוקראיניות הצליחו לתקן את התקלה.

"ברור שאני זוכר את הלילה הזה, זה היה רגע כואב בעבור כולנו", מספר לי ולדימיר אריאב, חבר ועדת הטכנולוגיה בפרלמנט האוקראיני. האשמים ככל הנראה בהפסקת החשמל, ישבו במרחק של 900 קילומטרים מקייב. "הרוסים ניסו לפגוע במערכת החשמל שלנו ולנתק את הזרם. נגרם נזק מסוים למערכת, אבל די מהר המועצה לביטחון לאומי של אוקראינה השתלטה על המערכת ותיקנה את התקלה. עדיף היה שלא יקרה אירוע כזה, אבל זו הייתה הזדמנות טובה למומחי הסייבר שלנו ללמוד איך לזהות תקלה כזאת ואיך למנוע אותה".

זו לא הייתה הפעם הראשונה שבה הרוסים ניסו לפגוע ברשת החשמל של אוקראינה. שנה לפני המתקפה הגדולה על קייב, בדצמבר 2015, שתלו הרוסים נוזקה בשלוש תחנות כוח אוקראיניות. היא גרמה להפסקת החשמל לפרק זמן שבין שעה לשש שעות, בבתיהם של יותר מ־200 אלף תושבים. האירוע הזה נחשב למתקפת הסייבר הראשונה בעולם על רשת חשמל. "המתקפות האלה הוכיחו שאם לא נגן כמו שצריך על הנתונים, התשתיות והמידע שלנו, נהיה חשופים להתקפות מצד רוסיה. קל מאוד ליצור כאוס", אומר אריאב.

זה כשמונה שנים, מאז השתלטה רוסיה על חצי האי קרים ב־2014, מוסקבה תוקפת את אוקראינה באמצעות סייבר. "הרוסים הפכו את אוקראינה למעין מעבדה לטכנולוגיות הכי חדשות שלהם בתחום הסייבר. אנחנו נמצאים שנים במלחמה אמיתית וממשית, וגם במלחמת סייבר", כך מתאר את המצב איגור צ'רנב, סגן יו"ר ועדת הטכנולוגיה בפרלמנט האוקראיני. על פי האוקראינים, הם חוו יותר מאלף מתקפות סייבר מצד רוסיה. "חלקן היו מתקפות משמעותיות מאוד. מעולם לא נתקלנו בכמות כזאת של מתקפות, זה היה אתגר גדול בעבורנו".

המתקפה האחרונה אירעה רק השבוע. מתקפת מניעת שירות נרחבת על שורה של אתרי ממשל אוקראיניים, בהם משרד ההגנה והבנקים הגדולים במדינה, גרמה להשבתתם למשך שעות.

המתקפה הזו, אומר צ'רנב, "נועדה ליצור בלגן ואפקט פסיכולוגי, ולהראות לאזרחי אוקראינה שהממשלה שלהם לא יכולה להגן על עצמה מפני המתקפות האלה, אם כי חשוב לומר שלא נגרם נזק פיזי. אני מאמין שהמתקפות הפסיכולוגיות האלה רק יגברו. זה עוד כלי בידי רוסיה כדי לגרום לקרע בין הממשלה לעם".

מתקפה בולטת אחרת, שחזרה אל יוצריה כבומרנג, התרחשה ביוני 2017. תוכנת הכופר הרוסית NotPetya, שנועדה לפגוע בכמה יעדים באוקראינה, הפכה בטעות, כן בטעות, למתקפת סייבר עולמית שגרמה לכמה חברות בינלאומיות הפסדי ענק של 10 מיליארד דולר. כפי שמסביר מומחה הסייבר דמיטרי אלפרוביץ', "זאת הייתה המתקפה הכלכלית הקשה ביותר בעולם, והיא יוחסה למודיעין הצבאי הרוסי (GRU). היא הייתה אמורה 'בסך הכול' לתקוף את האגף המרכזי של מס הכנסה האוקראיני ולהפיץ את הנוזקה למחשבים אחרים במדינה. אבל בסוף היא 'ברחה' להם מאוקראינה, יצאה משליטה ופגעה במקומות רבים, כולל ברוסיה עצמה".

בשלושים השנים האחרונות, עם התקדמותו של עולם האינטרנט, רוסיה הלכה ושיפרה את יכולות הסייבר ההתקפי שלה, ובהן התקנת נוזקות בתשתיות קריטיות שאפשר להפעילן מרחוק ביום הדין, ריגול אחרי מדינות, גניבת מידע והפצתו לצורך פגיעה באדם או במדינה, וכמובן פגיעה וחבלה בתשתיות עצמן.

נקודה מעניינת שמסבירה את השיפור הניכר ביכולות של רוסיה, היא העובדה ששום סוכנות ביטחון או ביון רוסית אינה מחזיקה באחריות בלעדית לפעולות הסייבר. מציאות זו גורמת לתחרות בין הסוכנויות על משאבים, כוח אדם והשפעה, והיא יוצרת גם מצבים שבהם יחידות סייבר רוסיות מבצעות פעולות דומות, בלי כל ידיעה על מעשיה של סוכנות אחרת.

בדו"ח שהוגש לקונגרס האמריקני מפורטות היחידות המרכזיות האחראיות למתקפות הסייבר מצד רוסיה: מדובר בשלוש יחידות שונות של המודיעין הצבאי הרוסי, המתוארות כ"בעלות יכולות מתקדמות ביותר לביצוע פעולות חבלה וריגול". מלבדן, שירות הביטחון הפדרלי (FSB) אחראי לפריצה לתשתיות אנרגיה וחשמל, ומגייס לשורותיו האקרים פליליים ואזרחיים.

חבר הפרלמנט האוקראיני איגור צ'רנב : "המתקפה על אתרי הממשל נועדה ליצור אפקט פסיכולוגי, ולהראות לאזרחי אוקראינה שממשלתם לא יכולה להגן על עצמה"

 

המדינה הראשונה שסבלה מנחת זרועו של הסייבר הרוסי הייתה גאורגיה. ב־7 באוגוסט 2008, עם פתיחת המשחקים האולימפיים בבייג'ינג, פלשו הטנקים הרוסיים אל גאורגיה כדי לסייע לבדלנים בחבל אוסטיה, שלטענת הקרמלין הותקפו בידי הגאורגים. המלחמה נמשכה כחודש, אבל המהלומה הרוסית לא התחילה באוגוסט אלא חודשיים לפני כן. "המתקפה נגד גאורגיה ב־2008 התרחשה בימים הראשונים של טכנולוגיית מתקפות הסייבר, ולכן היא הייתה חלשה יחסית", אומר לנו דמיטרי אלפרוביץ', מומחה לאבטחת מידע ויו"ר מכון המדיניות האמריקני Silverado Policy Accelerator. "זאת הייתה מתקפת תודעה נגד מערכות תקשורת ונגד אתרים. שמו תמונות של הנשיא דאז מיכאל סאקשווילי במדי נאצי, כמו היטלר. אבל זו לא הייתה מתקפה מתוחכמת במיוחד, אלא משהו שיכול היה לשמש כהכנה למתקפה של הצבא הרוסי עצמו".

מאז, כאמור, היכולות הרוסיות שוכללו והופנו כלפי שורה של מדינות. כך למשל, אסטוניה חוותה מתקפת מניעת שירות נרחבת על אתרי ממשל, בעקבות סכסוך עם רוסיה על הסרת אנדרטה שמהללת את השלטון הסובייטי; פגיעה במערכות המחשוב של אולימפיאדת החורף בפיונגצ'אנג שבקוריאה הדרומית ב־2018, גרמה לשיבושים במכירת הכרטיסים ובגלישה באינטרנט במתחם; וגם צרפת, ש־48 שעות לפני הבחירות לנשיאות ב־2017 גילתה כ־20 אלף מיילים שהודלפו ממטה עמנואל מקרון והופצו לתקשורת, במטרה לפגוע בסיכוייו לזכות בבחירות. גם גרמניה, פולין וקירגיזסטן חוו את יכולות הסייבר הרוסיות.

וכמובן המתקפה המפורסמת ביותר, שהתרחשה בבחירות לנשיאות ארה"ב ב־2016, שבהן התמודדו הילארי קלינטון ודונלד טראמפ. פוטין לא השאיר דבר ליד המקרה: בחודשים שקדמו ליום הבוחר, דלפו תכתובות דוא"ל סודיות של בכירים במפלגה הדמוקרטית. בהמשך התברר כי קבוצות ההאקרים cozy bear ו־fancy bear פרצו לשרתים של המפלגה הדמוקרטית והדליפו לוויקיליקס מיילים שבהם גורמים במפלגה כונו בשמות שונים, וכן רשימות תורמים.

בחזרה למשבר הנוכחי באוקראינה, שיש לו גם ביטוי על הקרקע. רוסיה "עוטפת" בימים אלה את גבולות אוקראינה ביותר מ־100 אלף חיילים. השאלה היא אם רגע לפני המתקפה הצבאית שתבוא (או שלא), תתבצע גם מתקפה קיברנטית. "ברור לנו שרוסיה תתחיל כל מבצע במתקפת סייבר", קובע חבר הפרלמנט אריאב. "היא תנסה לפגוע במערכות החשמל ובקווי התקשורת ובהם רשתות הסלולר, הבנקים והתחבורה. הם יהיו היעדים הראשונים, ורוסיה שמה אותם על הכוונת במטרה ליצור כאוס לפני המבצע".

מומחה הסייבר אלפרוביץ' מציג אפשרות אחרת בעניין סוג המתקפה שהרוסים יבחרו לבצע: "ייתכן שהרוסים יעדיפו להפיל את רשת התקשורת במדינה ולתקוף את ספקי האינטרנט האוקראיניים, אפילו מהאוויר, כדי להקשות על הציבור לקבל מידע או למנוע הוצאת מידע החוצה על מה שהרוסים יעשו במבצע הצבאי. אם הם ירצו, הם יכולים בקלות יחסית לחסל את האינטרנט באוקראינה. ייתכן גם שהם יבצעו מתקפות באמצעות סייבר כדי לסייע לצבא הרוסי להתקדם ללא הפרעה: לעקוב אחרי תנועות הצבא האוקראיני, ולפגוע במרכזי דלק ומזון של הצבא".

בשנים האחרונות אוקראינה שיפרה משמעותית את יכולות הגנת הסייבר שלה, בין השאר באמצעות ישראל, כפי שסיפר לי לפני כשבועיים שר החוץ האוקראיני דמיטרו קולבה: "יש לנו שיתוף פעולה נרחב עם ישראל, וסייבר הגנתי הוא אחד הנושאים שנמצא בדיונים איתם".

"לנוכח האיומים והמתקפות הגדלנו את ההשקעה בתחום הסייבר ההגנתי, במיוחד בשנתיים האחרונות", אומר צ'רנב. "הרשויות שאחראיות לתחום חיזקו מאוד את יכולות התגובה שלהן למתקפות כאלה, ויש שיפור גדול מבחינת המוכנות. אבל אני לא יכול להגיד שאנחנו מאה אחוז מוכנים, כי אני בטוח שגם רוסיה מפתחת כלים חדשים ויכולות חדשות. שיפור ההגנה שלנו הוא תהליך ארוך".

כשמדינה הופכת לשודד בנק

"בסוף כולם עושים את זה", אומר לוטם פינקלשטיין, ראש מחלקת מחקר ומודיעין בחברת אבטחת המידע צ'ק פוינט. הוא מתכוון לכך שכמעט כל מדינות העולם, או לפחות אלה שהטכנולוגיה הזו עומדת לרשותן, משתמשות בסייבר כנשק התקפי. רוב מתקפות הסייבר המדינתיות הן פעולות שאנחנו לא שומעים עליהן ביום־יום; מדינות רבות שוקדות על הכנת היכולות ליום פקודה, או לחלופין פורצות לתשתיות חיוניות, שותלות נוזקה ליום פקודה, וממתינות.

ויש גם מדינות שהחליטו לנצל את המרחב הקיברנטי כדי להפוך לשודדי בנקים. "בנגלדש בנק" הוא הבנק המרכזי של המדינה הדרום־אסייתית, שנחשבת לאחת העניות בעולם. באחד הימים בפברואר 2016 גילו עובדי הבנק שאחת המדפסות איננה פועלת. הם לא שיערו שהתקלה הזו מסתירה נזק גדול במיוחד. ממש כאשר הם זיהו את התקלה וניסו לטפל בה, האקרים מקוריאה הצפונית גנבו מהבנק מיליארד דולר, באירוע שנחשב לשוד הבנק הווירטואלי הראשון. קבוצת לזרוס, שעמדה מאחורי הפעולה, ביצעה בשנים שלאחר מכן את מתקפת הכופרה הגדולה בעולם, wannacry, השביתה 230 אלף מחשבים ופרצה למאגרי ביטקוין כדי להעשיר את חשבונו של קים ג'ונג און.

"זאת השיטה של קוריאה הצפונית לממן את פעילות הסייבר ההתקפי שלה. אבל האמת היא שאנחנו רואים סוג כזה של תקיפה מצד מדינות מעטות מאוד", אומר פינקלשטיין. "מה שאנחנו כן רואים זה למשל קבוצה סינית שגנבה כסף מסטארטאפ, שחיכה למימון שהיה אמור לקבל מקרנות הון סיכון. ההאקרים הסינים לקחו את חשבונות הבנק שאליהם הכסף היה אמור להגיע, ושינו אותם לחשבונות שלהם".

לא תמיד אפשר לדעת מי עומד מאחורי מתקפת סייבר. "השיטה הזו של שימוש בארגוני פרוקסי, כדי שהמדינות יוכלו להרחיק את עצמן מהמתקפות, צוברת פופולריות", אומר פינקלשטיין. "יש מקרים שאפילו התוקפים עצמם לא יודעים שהם פועלים מטעם מדינה, ויש גם מקרים של ארגוני אופוזיציה או ארגונים אידיאליסטיים שפועלים כדי לפגוע בתשתיות. כל זה מקשה על זיהוי התוקפים".

קחו לדוגמה את שורת אירועי הסייבר שהתרחשו באיראן בשנה האחרונה, ובהם השבתה של רוב תחנות הדלק במדינה, הודעות נגד המשטר שהופיעו לפתע בשלטי חוצות אלקטרוניים, פגיעה באחד הנמלים הגדולים במדינה ובכמה סכרים, פרסום סרטוני אבטחה מבתי הכלא השמורים ביותר, והשתלטות זמנית על השידורים במדינה ושידור מסרים נגד הממשל. האם ישראל עומדת מאחורי המתקפות הללו? ייתכן, בינתיים מי שמקבל אחריות הם ארגונים מסתוריים.

אז היכולות קיימות, המתקפות מתרחשות, אבל האם הן משיגות את המטרה? כדי להשיב על השאלה הזו, נחזור שוב לאוקראינה. האם הניסיונות האינסופיים של רוסיה לפרוץ למחשבים ולגופים שונים באוקראינה הצליחו? התשובה שמספק לנו דמיטרי אלפרוביץ' מעניינת במיוחד: "אם מסתכלים על המתקפות עצמן, הרוסים הצליחו בניסיונות החדירה ולא פעם גם שיבשו את החיים באוקראינה. אבל השאלה היא אם אסטרטגית הם הגיעו למשהו. והתשובה היא שלמרות מאות המתקפות נגד אוקראינה, הם לא ממש הצליחו. אוקראינה עדיין עם המערב, ולא התקרבה אליהם. אם מערכת הסייבר הממושכת של רוסיה נועדה ללחוץ על אוקראינה ולגרום לה לשנות את עמדתה, עד עכשיו אפשר לקבוע שהיא לא הצליחה".

 

עמיחי שטיין הוא כתב התחום המדיני בכאן חדשות