בוקר אחד יתעורר סגן אלוף ק', ראש ענף בחיל התקשוב, לצלילי נעימת הנושא של הסרט "הסנדק", שאותה קבע כצלצול הטלפון שלו לפני כמה שנים. על הקו סגנו, רב סרן א', שנשמע לחוץ, והוא יספר לו שמשהו מוזר קורה ברשתות. נתבים שונים מתחילים להיכשל ונתקעים בלולאת אתחול, מה שמאט את תעבורת הרשת הצה"לית לאיטיות בלתי נסבלת. "אם זה ימשיך ככה", יאמר א', "בעוד שעה לא תהיה יותר תקשורת". "אני מיד מגיע", נאנח הסא"ל, "כבו כל מה שלא מוגדר כקריטי".
בשעות הבאות עוד ועוד רשתות ממשלתיות יקרסו, ואחריהן גם רשתות הגיבוי, שנועדו לפעול במצבים כאלה. הן תוכננו בימים שבהם כמויות המידע היו קטנות בצורה ניכרת, ולא שודרגו זה שנים. חמ"ל מיוחד שיוקם במשרד ראש הממשלה יתחיל לקבל דיווחים מרח"ל, הרשות לשעת חירום, על פיצוצים בבתי הזיקוק ובמפעלים של חברות נשק ועל תקלות משונות במערך הרכבות ובמערכת הרמזורים.
במגדל הפיקוח בנתב"ג יופיעו ציורי גולגולות על רבים ממסכי המחשבים, ומנהל אבטחת המידע יורה על סגירה מלאה של רשת המחשוב כדי למנוע אסון. זה לא יעזור למטוסים שכבר נמצאים באוויר, ושניים מהם, אחד שהגיע מדלהי והשני מאתונה, יתנגשו מעל קיבוץ שעלבים, ושרידים מהם ייפלו על הרפתות והלולים של הקיבוץ.
"אני לא יודע מה קרה", יישמע קולו המתנשף של מנהל אבטחת המידע בבנק ישראל במכשיר האנלוגי המיושן, שעדיין עובד על רדיו ומחובר לחמ"ל הממשלתי. "איבדנו את כל המידע. הכל, כולל הגיבויים החמים. ייקח לנו כמה ימים להביא את הגיבויים הקרים מהארכיון ולהרים אותם, אבל אם לא נמצא את הסיבה, זה פשוט יקרה שוב בתוך כמה דקות. גם הבנקים המסחריים אומרים לנו שקורים אצלם דברים דומים".
בתי החולים עברו מזמן לעבודה עם נייר לאחר שמערכות המחשוב קרסו, וכל בדיקות המעבדה נעשות באופן ידני. מכשירי הצילום המשוכללים מושבתים ולא ניתנים לשימוש, וההמונים שצובאים על דלתות בתי החולים נותרים ללא מענה.
"נתקו את האינטרנט!", יצרח אחד הנוכחים כשעל מסכי הטלוויזיה הגדולים שבחדר מועברים שידורי ערוצי החדשות, המראים פקקי ענק, תאונות, אנשים שמכים כספומטים לאחר שהפסיקו לפעול ותמונות של ביזה מרשתות השיווק בידי אנשים המבקשים להצטייד במזון אבל לא יכולים לשלם עבורו בשל קריסת מערכות הבנקים. בשרשרת יקרסו מתקני התפלה, הבורסה, החשמל. מדינה שלמה קורסת בלי שנורתה ירייה אחת.
מציאות לא מדומה
אף שהדברים הללו נראים כעוד רומן מדע בדיוני דיסטופי נדוש, הם קרובים הרבה יותר למציאות ממה שהיינו מוכנים להודות, וכל אחד מהתרחישים הללו כבר קרה במציאות. כבר לפני 15 שנה, באפריל 2007, ספגה אסטוניה, אז אחת המדינות המקוונות ביותר בעולם לצד קוריאה הדרומית, מתקפת סייבר קשה ששיתקה את כל שירותי הממשלה, הבנקים, כלי התקשורת ושלל שירותים אחרים, והביאה לניתוק של המדינה מהרשת העולמית.
שש שנים מאוחר יותר, ב־2013, חדרו האקרים איראנים למערכת השליטה של סכר סמוך לעיירה ריי ברוק שבמדינת ניו יורק, והייתה להם אפשרות טכנית לגרום לפתיחתו, להצפת העמק מתחתיו ולפגיעה בתושבים המתגוררים בו. הערכות מומחים שיעלו מאוחר יותר יגרסו שזו הייתה טעות של האיראנים, שחשבו שהם ניגשים לסכר מרכזי וגדול יותר בעל שם דומה, בניסיון להגיב על המתקפה האמריקאית־ישראלית בנתנז.
שנה קודם תקפו האקרים איראנים את תשתיות ייצור והובלת הנפט של חברת סעודי־ארמקו ושיתקו את פעילותה לשבועות ארוכים. גרסת הרושעה שבה השתמשו האיראנים, המכונה "שאמון", היא פיתוח של אותה רושעה שתלו האמריקאים והישראלים בכור בנתנז. האיראנים לקחו אותה, שכללו אותה עוד, והפכו אותה לנשק.
ב־2013 הצליחו האקרים מקוריאה הצפונית לשתק תשתיות של כמה בנקים בקוריאה הדרומית ולמנוע מהם מלקבל או לעבד פקודות פיננסיות. גם רשות השידור בקוריאה הדרומית שותקה, לצד כמה ערוצי תקשורת נוספים.
ב־2014 פרסמה חברת "קספרסקי" הרוסית דוח ובו חשפה פעילות של קבוצה בשם קארבאנאק (Carbanak), שלדבריה תוקפת תשתיות פיננסיות, מתחבאת בהן למשך חודשים ארוכים, ולבסוף גונבת מאות מיליוני דולרים. עקרונית, אין דבר שמנע מהתוקפים לשתק את התשתיות ולמחוק את המידע הגלום בהן.
שנה מאוחר יותר תקפה קבוצה רוסית בשם "תולעת חול" (Sandworm), המקושרת לצבא הרוסי, תחנות כוח באוקראינה והביאה להשבתתן ולהחשכת חלקים נרחבים ממערב המדינה. גל שני של מתקפות הצליח לשתק חלקים מאספקת החשמל של קייב.
ב־2017 פרצו אנשי המודיעין הרוסי למערכות של תוכנת מס אוקראינית, דבר שהעניק להם גישה לאלפי מחשבים ברשתות של אלפי חברות אוקראיניות, שם שחררו את אחד מכלי הנשק המרושעים ביותר שהיו ידועים עד אז: "נוטפטייה" (NotPetya). למרבה הבושה, הטכנולוגיה שעומדת בבסיס הנשק הזה פותחה בידי ה־NSA האמריקאי, והיא אפשרה התפשטות מהירה מאוד של הרושעה ברחבי רשתות בכל המדינה ומחוצה לה. בנקים, בתי חולים, ענק הספנות מרסק (Maersk), פדקס, חברות בנייה ומזון, כולם נפלו קורבן לרושעה הזו. סך כל הנזקים נאמדו ביותר מ־10 מיליארד דולר, ואומדנים מציינים שהמתקפה הזו פגעה ומחקה מידע ביותר מ־10% מהמחשבים באוקראינה, כולל אלה של הגוף המטפל בניקיון הכור הגרעיני בצ'רנוביל. המתקפה גם שיתקה את מערכות האשראי, את השינוע של הדלק והמזון, את מערכות הבריאות ושלל שירותים חיוניים אחרים.
ב־2021 חדרו האקרים למתקן טיפול מים באולדסמר, פלורידה, ושינו את ערכי הסודה קאוסטית במים, מ־100 חלקיקים למיליון ל־11,100 חלקיקים למיליון, בניסיון להרעיל את תושבי העיירה. באותה שנה שיתקו האקרים את פעילותה של Colonial Pipeline, מערכת זיקוק ושינוע נפט ומוצריו, וגרמו למחסור בדלק בחלקים נרחבים בארה"ב.
זו רשימה חלקית מאוד, אבל כזו שמראה את פוטנציאל הנזק שיכול להיגרם אילו מדינה בעלת יכולות סייבר גבוהות הייתה מסירה את המכשולים ונותנת יד חופשית לכוחותיה לגרום נזק למי שאינה חפצה ביקרם.
יוצאים מקירור
בסדרת הספרים על הבלש ההוליסטי דירק ג'נטלי, נהג בוראו, הסופר דאגלס אדמס, לומר "Everything is connected", הכל קשור. מבלי להתכוון לכך באופן הזה, הוא מתאר היטב את מצב הטכנולוגיה של היום, כשהמקרר שלנו מדבר עם מכונת הכביסה, שמדברת עם הטלוויזיה. אבל לא רק אלה, גם בקרים תעשייתיים, משאבות, מגופים, נתבים, רכיבים שונים ששולטים במנועים קטנים בשלל מערכות עצומות שכל פגיעה באחד מהם יכולה לגרום לתגובת שרשרת בעלת פוטנציאל קטסטרופלי.
מקרה מסוים שקרה כאן בארץ לפני כשנתיים (גילוי נאות, הח"מ היה מעורב בגילוי החולשה הזו) אפשר לתוקף מרושע לחבל במאות מקררים תעשייתיים ברחבי המדינה בשל רשלנות של יצרן המכשירים. תארו לעצמכם תוקף מרוחק שגורם למלאי החלב, הבשר ושאר המוצרים המצוננים והקפואים במדינה שלמה להתקלקל בדיוק יומיים לפני ליל הסדר.
ישנן סיבות מצוינות לחבר את המכשירים האלה לרשת. במקום להעסיק עשרות עובדים שילכו בכל שעה ויסמנו ידנית את הטמפרטורה של כל מקרר, המכשירים מדווחים על מצבם למערכת מרכזית, שם עובד יחיד יכול לעשות את העבודה. אבל כשמחברים מכשירים לרשת, פותחים פתח לפוטנציאל רב של תקיפות מבפנים ומבחוץ, וכשאין שום מנגנוני הגנה ושום הבנה של הצורך בהגנה כזו – לאו עכברא גנב אלא חורא גנב. בתרגום חופשי: לא הגנב אשם, אלא החור.
לרשת הזו של חפצים "טיפשים" שמחוברים לרשת קוראים "האינטרנט של הדברים" (Internet of Things, IoT), ובדיחה נפוצה בקרב אנשי אבטחת המידע היא שה־S ב־IoT היא Security, פשוט כי היא לא נמצאת שם. רבים מהפרוטוקולים שעדיין נמצאים בשימוש היום במוצרים הללו נוצרו בסוף שנות ה־70, ואחרים בראשית שנות ה־90, אז אבטחת מידע הייתה נחלתם של בודדים.
עם השנים נוספו עוד שכבות הגנה, כדי לפצות על היעדר מנגנוני הגנה, אבל הבסיס נותר עדיין חשוף לחלוטין. ברבים מהמכשירים הללו לא צריך לספק כל הזדהות כדי לחלק להם פקודות, ועקרונית, כל אדם עם ידע בסיסי במחשב יכול לשלוט בהם.
בדיקה קצרה שערכתי היום מצביעה על נגישות מלאה למשאבות דלק, למערכות חימום מים בבתי מלון ובתי חולים, למערכות תאורה, לבקרים תעשייתיים, למערכות השקיה, למערכות קירור, לחממות ועוד ועוד. תוקף מרושע יכול לגרום נזק ניכר וכבד, וזה בדיוק מה שהבינו כבר כמה ארגונים בעולם, חלקם צבאיים וחלקם פליליים. למשל, בנובמבר 2016, כשהאקרים ניצלו חורף קר במיוחד כדי לכבות את החימום בכמה בנייני דירות בעיר לאפנראנטה בפינלנד, או שנה קודם לכן, כשמערכות של כלי הרכב בחברת ג'יפ נפרצו ואפשרו שליטה מלאה בכלי הרכב בעת נהיגה.
גם המעבר לטרנד של בתים חכמים, המסתמכים על אותה תשתית רעועה, מספק שעות של הנאה. קל עד קל מאוד להיכנס היום למערכות השליטה של מאות בתים חכמים כאן בארץ, ולשחק עם האורות, התריסים, הדוד החשמלי, המיזוג, ואפילו לנעול את בעלי הבית מחוצה לו ומחוץ למערכת השליטה הנבונה שלהם. מדובר בשני שדות ידע נפרדים – הפעלה של מנוע קטן שיפתח את התריס ואבטחת מידע, ומעטות מאוד החברות בארץ שבאמת יכולות להבטיח הגנה סבירה מפני פורצי רשת.
שימו ווייז, יוצאים לקרב
ב־24 בפברואר בשעה 3:15 בלילה, שעון רוסיה, החלו המערכות של חברת גוגל לדווח על פקקי תנועה עצומים סמוך לעיר בלגורוד, כ־40 ק"מ מגבול רוסיה־אוקראינה. זו הייתה תחילתה של הפלישה הרוסית לאוקראינה, והיא התגלתה בידי צוותים אזרחיים ברחבי העולם שעות לפני הכרזת המלחמה הרשמית.
הטלפונים האישיים שלנו, ולא משנה כמה ננסה להתכחש לעובדה הזו, הם מכשירי ריגול מתוחכמים שאנחנו נושאים על גופנו מבחירה. הם משדרים את המיקום שלנו בכל רגע נתון לשלל גופים באמצעות רשתות רדיו ואינטרנט, והגופים האלה מנתחים את המידע כדי ליצור תמונת מציאות שאנחנו חלק ממנה.
מה שקרה סמוך לגבול רוסיה־אוקראינה באותו ליל חורף קפוא היה בדיוק זה: עשרות אלפי מכשירי טלפון של חיילים רוסים שידרו את מיקומם למערכות חברת גוגל, שהחליטה שאם כל כך הרבה מכשירים נעים לאט – ודאי מדובר בפקק תנועה. אותה החלטה שהמערכת מקבלת בכל יום בנתיבי איילון, למשל.
אותו הדבר קורה גם בארץ, אגב. חיילי סדיר ומילואים שיוצאים לסיורים בגבול ישראל־מצרים עם הטלפון הנייד שלהם חושפים את מיקום הסיור, ומבריחים יכולים ללמוד את דפוסי הסיור ואת המיקום המדויק שלו בכל רגע נתון, פשוט באמצעות צפייה באפליקציית ווייז. כך גם אפשר למצוא את המיקום המדויק של נפילת רקטות: מחכים כמה דקות, רואים היכן מוצבים מחסומים, וכך משפרים את הטיווח לירייה הבאה. רק צריך לדעת איפה להסתכל, וכל המידע הזה זמין לכל תוקף המבקש אותו.
על פי כמה דוחות שבחנו את הפעילות הרוסית ברשת טרם פרצו הקרבות, המלחמה הזו החלה חודשים קודם לכן. חוקרים מחברת המודיעין סייבר מנדיאנט, שנקנתה השנה בידי גוגל בסכום המכובד של 5.4 מיליארד דולר, טוענים שגילו ראיות להכנות לפלישה הקיברנטית זמן רב לפני שהחייל הרוסי הראשון הניח את כף רגלו על אדמת אוקראינה.
על פי החוקרים גבי רונקון וג'ון וולפרם, המודיעין הרוסי עבד במשך חודשים כדי להכין את הקרקע לפלישה המקוונת. הם ניצלו חולשות במערכות האוקראיניות, אבל במקום לשתק אותן מיידית, הם השתמשו בהן כדי לשתול דלתות אחוריות שייכנסו לשימוש בשעת פקודה.
אחת המערכות הגדולות, שנפלה זמן לא רב אחרי תחילת הקרבות, נפרצה עוד בחודש אפריל 2021, כעשרה חודשים לפני תחילת הקרבות. התוקפים מה־GRU, המודיעין הרוסי, חדרו לרשת, ובמקום לנצל את הפרצה באופן מיידי, ביססו את אחיזתם בה ויצרו לעצמם כמה דלתות אחוריות שדרכן יוכלו להיכנס עם פרוץ הקרבות, גם אם נקודת הכניסה המקורית שלהם תיחסם.
ואכן, זמן לא רב אחרי תחילת המלחמה הרשמית ניצלו אנשי המודיעין הרוסים את אחיזתם ברשת, מחקו את כל המידע במערכותיה ושיתקו אותה לחלוטין. האסטרטגיה הזו הוכיחה את עצמה שוב כשהחזירו האוקראינים את המערכת לפעולה אחרי שהאמינו שניקו אותה משיירי השליטה הרוסית, והיא נמחקה שוב מייד. הרוסים, התברר, שלטו שליטה איתנה ברכיבים בכל שרשרת הניתוב.
זו כמובן לא היעתה הפעם הראשונה שהרוסים עשו ברשתות האוקראיניות כבשלהם. שנים של פלישה מקוונת למערכות המידע של שכנתן ממערב הותירו לא מעט צלקות ושכללו את הארסנל הרוסי למכונה משומנת היטב. די בדומה לשדה הניסויים הידוע כרצועת עזה לתעשיית הנשק הישראלית – כך אוקראינה למודיעין הרוסי. המתקפה שהזכרנו קודם בשם "נוטפטיה", ששיתקה את אוקראינה ב־2017, הייתה ניסוי כלים עצום וכואב שיצא משליטה, אבל אפילו היא התגמדה מול האירועים במלחמה הנוכחית.
צבא הסייבר הרוסי
שלושה גופים ברוסיה מעורבים במתקפות, וכל אחד מהם מפעיל כלים אחרים למטרות שונות:
GRU, המינהל הראשי של המטה הכללי הרוסי: מפעיל את זרוע הסייבר הצבאית הגדולה ביותר באזור. קבוצות התקיפה שלו כוללות את הגופים הבאים: יחידה 26165 מתמקדת בגניבה של מידע ופישינג של מטרות צבאיות; יחידה 74454, יחידת תקיפה הרסנית שבארסנל הכלים שלה כלי מחיקת מידע, כופרות, ועוד; ארגון DEV-0586, יחידה שמפעילה גם היא כלי משחית והרס, ונטען שיש ברשותה "כלי השפעה" ברשתות חברתיות שמטרתם להטות את דעת הקהל במקומות שונים בעולם; SVR הוא שירות ביון החוץ של רוסיה, המקביל ל־CIA ולמוסד, המפעיל כלי ריגול מתוחכמים נגד מטרות ברחבי העולם.
וזה לא הכל. UNC2452/2652 עוסקת במטרות בכירות בגופים צבאיים ודיפלומטיים זרים. היא מפעילה כלי פישינג מתוחכמים מאוד, לצד אמצעים אחרים, כדי לקבל גישה למידע רגיש; FSB הוא שירות הביטחון הפדרלי הרוסי, שיכולות הסייבר שלו נחשבות למתקדמות מאוד. עם יחידותיו נמנות Gamaredon, יחידה המתמקדת בגניבה של מידע מרשתות רגישות; יחידה 71330 – "מרכז 16", שמתעסקת באופן רשמי במודיעין אותות, ובפועל בחדירה למערכות זרות. כמה
מאנשיה הואשמו בידי ארה"ב בפגיעה בתשתיות אנרגיה בטקסס, והיא קושרה למספר לא קטן של תקריות סייבר התקפי ברחבי העולם; וטורלה, העוסקת בין השאר באיסוף מודיעין טכני לפני תקיפה, מידע נחוץ כדי להוציא לפועל מתקפה נגד מטרות שאותן המדינה מסמנת כמעניינות.
המתקפה באוקראינה חשפה כמה מהטקטיקות של הגופים הללו, שהחלו זמן רב לפני 24 בפברואר. חוקרים של חברת סימנטק זיהו קמפיין שהחל עוד בדצמבר, להדבקה של מאות מחשבים ברשתות אוקראיניות ברושעה בשם "HermeticWiper". בחודש ינואר, רושעה בשם "WhisperGate" שמה לה למטרה ארגונים אוקראיניים, ובאמצע חודש פברואר נפתחה מתקפת מניעת שירות נגד עשרות מערכות ממשלתיות ופיננסיות באוקראינה, פרקטיקה שנועדה, פרט לפגיעה תדמיתית, גם להסוואת מתקפות ממוקדות יותר, כאשר צוותי ההגנה מתמקדים באירוע ענקי, צוות תוקפים קטן מסתנן עמוק לתוך הרשת בלי שלאף אחד יש זמן לטפל באזעקות שאולי הוא מפעיל.
חודשים קודם לכן, באמצע שנת 2021, החלה יחידה DEV-0586 במתקפה מוצלחת נגד חברת המחשוב של משרד ההגנה האוקראיני, והשיגה גישה לחלק מרשתותיו. יחידת התקיפה של ה־SVR שמה לה למטרה ארגוני תשתיות מחשוב ששירתו את נאט"ו, והצליחה במקרים רבים לקבל גישה מלאה לכל התכתובות הרגישות בין מדינות הארגון.
באוגוסט הצליחה יחידה של ה־FSB לקבל גישה למחשביהם של יועצים צבאיים זרים באוקראינה וכן לתכתובות של ארגוני סיוע בינלאומיים שעבדו באזור. עד סוף שנת 2021 כמעט כל היחידות שהזכרנו תקפו בהצלחה מאות ארגונים צבאיים ותשתיתיים באוקראינה ובמדינות אחרות וביססו את אחיזתן ברשתות המחשוב שלהם, דבר שישמש כמכפיל כוח חשוב מבחינה מודיעינית וצבאית עם תחילת הפלישה. מאידך, ניטור של הפעולות האלה יכול להצביע על מהלך התקפי מתוכנן בקפידה.
אכן כך היה: כמה שעות לפני תחילת הלוחמה בשטח הפעיל ה־GRU כלי שאותו הכין מבעוד מועד: 19 ארגונים ממשלתיים ותשתיות קריטיות באוקראינה הותקפו בידי רושעת "פוקסבלייד", שחוקרים הצליחו להראות שנכתבה בידי אותו גוף פיתוח שעומד מאחורי "נוטפטיה", שזרעה הרס באוקראינה חמש שנים קודם לכן. בחודשים הראשונים של הלוחמה זיהו חוקרים שמונה רושעות שונות שנכתבו בידי גופים שונים במערך המודיעין הרוסי ושמו למטרה 48 גופים אוקראיניים רשמיים. האסטרטגיה של כולן דומה: להדביק מחשבים, לראות אם יש להם ערך, להדביק מחשבים אחרים באותה רשת, ואם לא – למחוק את כל מה שנמצא עליהם.
הקרבה של הגופים הללו לצמרת הצבא הרוסי משרתת מטרה נוספת: היא מאפשרת מתקפות משולבות סייבר־קינטיות, המאגדות תקיפה פיזית בטילים או באמצעים אחרים עם תקיפת סייבר ממוקדת, כמו זו שנערכה כשבוע לאחר תחילת הפלישה.
ב־2 במרץ, כשבוע לתוך הלחימה בשטח, הבחינו מומחים בתנועה של גוף זר במערכות המחשוב של תחנת הכוח הגרעינית הגדולה באוקראינה. למחרת, מתקפת טילים משולבת עם פלישה רגלית הפילה סופית את התחנה בידיים רוסיות. דפוס דומה אפשר לראות בלא מעט מתקפות נגד תשתיות אוקראיניות – זה מתחיל בחדירה למערכות המחשוב ונמשך במתקפה קינטית. כך, חדירה של יחידה 74455 לתשתיות של חברת לוגיסטיקה, שטיפלה בין השאר בסקטור התחבורה בלבוב בין 19 ל־29 באפריל, ואז מתקפה מדויקת על נקודות תורפה במערך הרכבות באמצעות טילים ב־3 במאי. או השתלטות על רשתות המחשוב של הממשל המקומי בוויניצה בידי יחידה 26165 הרוסית, ויומיים אחר כך מתקפת טילים מדויקת על שדה התעופה בעיר.
פטריוטיזם קרימינלי
אחד הדברים הבולטים במלחמה הזו היא ההתגייסות של ארגונים פליליים, שביום־יום עוסקים בסחיטה של ארגונים מסחריים ברחבי העולם, לצידן של צבאות המדינה שלהם. קבוצת התקיפה "קונטי", למשל, החתומה על שורה ארוכה של הצלחות, ובהן השתלטות על מערכות העיר טולסה באוקלהומה, השתלטות על מערכות שירותי הבריאות של אירלנד ועוד. הערכות שונות גורסות שפעילות הסחיטה של הקבוצה הביאה לה עד כה רווחים של בין עשרות למאות מיליוני דולרים.
עם הפלישה הרוסית לאוקראינה הכריזו חברי הנהלת הקבוצה על תמיכה בלתי מסויגת בצד הרוסי ועל התגייסות של חבריה ללחימת מקלדת לצד הצבא הפולש. הלכה למעשה, כמה מחברי הקבוצה, שמרכזה ברוסיה אך היא כוללת חברים ממדינות שונות, תמכו דווקא באוקראינה, מה שהביא לאחת מדליפות המידע המעניינות יותר בשנים האחרונות, זו שחשפה את הפעילות הפנימית של ארגון פשע חובק עולם.
כ־60,000 שיחות בין חברי הקבוצה הודלפו בידי אחד מחבריה, שהתרעם על ההתגייסות לצד רוסיה, וזמן לא רב אחרי כן יצא מידע רב נוסף, כולל קוד המקור של רבות ממערכותיה, כתובות ביטקוין שבהן היו יותר מ־2 מיליארד (!) דולר ומידע רב נוסף על הפעילות הכספית של הארגון וקשריו עם ארגונים חיצוניים, כולל התכתבויות עם אנשי FSB אשר ייתכן שמימנו חלק מפעילויות הקבוצה, בין השאר בניסיון להשיג מידע מרשיע נגד אלכסיי נבלני.
במילים אחרות, על פי העדויות הללו, הממשל הרוסי מימן עם קבוצת תקיפה פלילית שחתומה על יותר מ־700 מקרי סחיטה ברחבי העולם ושיתף עמה פעולה הרבה לפני המלחמה. מעניין.
גם בצד האוקראיני הצליחו לגייס כמה קבוצות, אשר מצידן זרעו הרס רב בתשתיות אזרחיות רוסיות. תחת השם "צבא ה־IT האוקראיני" גייס השירות הממלכתי לתקשורת מיוחדת וביטחון מידע של אוקראינה, המקבילה האוקראינית של יחידת 8200 הישראלית, האקרים מרחבי המדינה והעולם שמבקשים לסייע למאמץ המלחמתי נגד רוסיה. ההתארגנות הזו רשמה כמה הצלחות, למשל שיתוק הבורסה במוסקבה, תקיפה של סברבנק, הבנק הגדול ביותר ברוסיה, תקיפה ושיתוק של תשתיות הרכבות שהסיעו חיילים וציוד לאוקראינה, תקיפה של תשתיות חשמל באזור של בסיסים צבאיים רוסיים, השחתה של מאות רבות של אתרים פופולריים ברוסיה כדי להציג סיסמאות תמיכה במאבק האוקראיני, פריצה לשרתי חברת יאנדקס וניתוב של מאות מוניות של החברה ליצירת פקקי ענק במוסקבה, פגיעה בתשתיות של חברות אבטחה פרטיות ועוד ועוד.
ההתגייסות האזרחית הזו, ספונטנית או לא ספונטנית ככל שתהיה, מרחיבה בצורה ניכרת את פוטנציאל התקיפה ואת ארסנל הכלים והמתודולוגיות שעומד בפני מנהלי הלחימה בצד התוקף ובצד המותקף, אם ישכילו לנצל אותו, ומאתגרת את התפיסה המקובלת של "מיהו לוחם".
הישגים מוגבלים
השיח בקהילת הסייבר ובקהילות נושקות לתחום נוטה לעתים להיות מזלזל, ואנשים שאינם בקיאים בפרטים אומרים לפעמים: "זהו? אלה כל היכולות של הסייבר הרוסי שממנו הפחידו אותנו כל כך?". ובכן, יש להישגים המוגבלים של הרוסים בזירה הזו כמה סיבות, ובהחלט אין שום מקום לזלזל בהם.
ראשית, לפחות בתחילת הקרבות ועוד קודם להם, הרוסים עשו בתשתיות האוקראיניות כבשלהם. הם השתלטו על מאות רשתות ברחבי המדינה, שתלו דלתות אחוריות והכינו הכל לשעת פקודה. כשזו הגיעה – הצליחו לפגוע אנושות בתשתיות חיוניות רבות במדינה, גרמו נזק עצום לחיי היום־יום באוקראינה וגנבו מידע רגיש, שיש האומרים שעוד נפגוש בעתיד.
נראה שהיה גורם בצד הרוסי שלא אפשר לגופי התקיפה להשתלח בחופשיות, אלא ניכרת יד מכוונת המתואמת עם שאר פעילות הצבא על אדמת המדינה הנכבשת. יש מעט מאוד ספק שהתרת הרסן מגופי התקיפה האלה היה יכול להביא לפגיעה אנושה הרבה יותר, אם בפגיעה בתחנות כוח גרעיניות או בתשתיות שתיה וסניטציה, דבר שהיה יכול לגרום לפגיעה ניכרת הרבה יותר בנפשות אזרחיות במדינה.
מדוע, אם כן, ההישגים היו מוגבלים?
הלקחים שהופקו ברוסיה בעקבות מתקפת "נוטפטיה" ב־2017, שהדביקה מחשבים ברחבי העולם ללא אבחנה והתפשטה במהירות בלתי נשלטת, היו ברורים: הדבקה חייבת להיות מבוקרת. הנזק שנגרם ברוסיה מהמתקפה ההיא באוקראינה לא נחשף באופן רשמי מעולם, אך ההערכות הן שהוא היה רב מאוד. מאז אנחנו רואים הרבה פחות רושעות המתוכננות להפצה עצמית לא מבוקרת, ובמקומן כאלה שטורחות לבדוק את המדינה, או אפילו האזור, שבו נמצא המכשיר לפני ההחלטה אם להדביק אותו או לא.
בשנים שחלפו מאז השתכללו מאוד גם מנגנוני ההגנה. צוותי זיהוי האיומים של חברת מיקרוסופט, למשל, מקבלים מדי יום 24 טריליון אותות ממכשירים ברחבי העולם (כן, כל המכשירים שלכם מרגלים אחריכם גם לטובת מיקרוסופט), ומערכותיהם מנסות לזהות דפוסים שיכולים להעיד על רושעות. גם מנגנוני הטיפול בחולשות השתכללו מאוד, והזמן הדרוש לשחרר תיקון התקצר, כן גם מנגנוני הדיווח למנהלי המערכות ושירותי עדכוני אבטחה ממוכנים.
היבט נוסף ששיחק תפקיד חשוב הוא ההתגייסות של העולם לצד אוקראינה. מומחים בעלי שם עולמי הצטרפו למלחמה בצד האוקראיני, וסייעו רבות להתמודד עם המתקפות הרוסיות. חברות מסחריות הציעו את שירותיהן חינם לממשלה האוקראינית, דבר שהעשיר מאוד את הארסנל של המדינה המותקפת והקשה מאוד על התוקפים, שתכננו את פעולותיהם על משטח תקיפה מוגן פחות.
צעדים נוספים, דמוקרטיים הרבה פחות, גם הם ננקטו בידי הממשלה האוקראינית, בשיתוף חברות מסחריות. הממשלה העניקה רשות ליצרניות של מערכות הפעלה להפעיל שירותים מסוימים על מערכותיהם של התושבים במדינה בלי לקבל אישור מפורש. השירותים האלה הפכו את כלי הנשק הרוסיים ליעילים הרבה פחות, והצעד הזה היה כל כך בלתי צפוי, עד שספק עצום שהרוסים היו יכולים לחזות אותו ולהתכונן אליו מבעוד מועד.
הרוסים, בעצם, לא עמדו רק מול יכולות הסייבר ההגנתי של מדינה, מתקדמת ככל שתהיה, אלא מול התגייסות בינלאומית של צמרת התעשייה המדינתית והמסחרית בתחום. מובן שלא מדובר באלטרואיזם טהור, אלא בשילוב של יוקרה וראיית פני עתיד: המוצרים המסחריים יכולים עכשיו להתהדר בתווית יוקרתית של "נבדק בתנאי קרב", וממשלות העולם יכולות לנשום קצת יותר לרווחה כשהצליחו לבלום את אחד מגופי הסייבר העוצמתיים בעולם, מה שיגרום לו לחשוב שש פעמים לפני שינסה להפעיל את כל יכולותיו שוב.
