הפלישה הרוסית לאוקראינה גבתה עד כה עשרות אלפי קורבנות, עקרה מיליוני תושבים מבתיהם והכניסה את האזור לסחרור שהשלכותיו מורגשות היטב ברחבי העולם. אבל לצד זוועות שראינו במלחמות קודמות, יש במלחמה הזאת מוטיב חדש: קורלציה חסרת תקדים בין מתקפות צבאיות לבין מתקפות סייבר. "מלחמה היברידית" קוראים לזה המומחים.
"לאורך ההיסטוריה האנושית הייתה התקדמות טכנולוגית בכל מלחמה משמעותית", אומר סגן נשיא מיקרוסופט טום ברט, שמרכז את מאמציה של ענקית הטכנולוגיה לסייע לאוקראינה בזירת הסייבר. "במלחמת העולם הראשונה זה היה המטוס, שאִפשר להביט על דברים מלמעלה ולנהל קרבות אוויר. במלחמת העולם השנייה זה התפתח ליכולת מזעזעת לזרוע הרס. כיום אנחנו במלחמת הסייבר העולמית הראשונה. זה מה שאנחנו רואים באוקראינה - מלחמה היברידית שבה מתקפות סייבר ומתקפות צבאיות מתואמות מתרחשות במקביל".
עוד כתבות שיעניינו אתכם:
התיאום הזה מתרחש כבר מהימים הראשונים של הלחימה. ב-1 במרץ, למשל, הכריזה רוסיה על כוונותיה להשמיד מטרות אוקראיניות שמפיצות דיסאינפורמציה ושיגרה טיל לעבר מגדל טלוויזיה בקייב. במקביל, האקרים רוסים תקפו גוף שידור גדול באוקראינה. ב-2 במרץ זוהתה פעילות של האקרים רוסים ברשת של החברה לאנרגיה גרעינית באוקראינה. יום לאחר מכן השתלט הצבא הרוסי על תחנת הכוח הגרעינית הגדולה ביותר של אותה חברה.
לדברי ברט, שמכהן כסגן נשיא מיקרוסופט להגנת סייבר ואמון, התיאום בין המתקפות הצבאיות למתקפות הסייבר התגבר בחודשים האחרונים. כך, בשעה שהצבא הרוסי החל להתמקד בתקיפת תשתיות בתחום האנרגיה והחשמל, בניסיון להפעיל לחץ על הממשלה האוקראינית לקראת החורף, נרשמו מתקפות סייבר נגד אותו סקטור בדיוק. "המתקפות הצבאיות היו יותר מוצלחות מאשר מתקפות הסייבר, אבל ראינו שישנו תיאום", אומר ברט. "במקביל למתקפות צבאיות שנועדו לפגוע באספקת המים, כולל הפצצה של סכר קריטי, ראינו הרבה מתקפות סייבר בתחום המים. אנחנו רואים כבר זמן מה מתקפות צבאיות ומתקפות סייבר גם בסקטורים של התחבורה והלוגיסטיקה, מטרות צבאיות מובהקות".
מתקפת הסייבר הרוסית על אוקראינה יצאה לדרך עוד לפני שנורו היריות הראשונות בעימות הצבאי. כבר בינואר, בתקופה שבה המאמצים למניעת פלישה רוסית הגיעו לנקודת קיפאון, הבחינו ב-MSTC, מרכז מודיעין איומי הסייבר של מיקרוסופט, כי כמה סוכנויות ממשלתיות וארגונים מהמגזר הפרטי באוקראינה הותקפו בנוזקת ווייפר (Wiper), שמטרתה למחוק מידע.
"באותה נקודת זמן יצרנו קשר עם שני פקידי ממשל אוקראינים בתחום הגנת הסייבר, ויצרנו ערוץ תקשורת מוצפן כדי שנוכל לשתף במהירות מידע מודיעיני על איומי סייבר עם אוקראינה", מספר ברט. בדיעבד התברר שהמתקפה בינואר הייתה רק קדימון: ב-23 בפברואר, יום לפני הפלישה, תקפה רוסיה כ-200 רשתות שונות באוקראינה בנוזקת ווייפר. "מאז", אומר ברט, "אנחנו מספקים לאוקראינה מודיעין על איומי סייבר 7/24".
"ביליתי חודשיים מהחיים שלי דבוק לכיסא אחרי הפלישה של רוסיה, לא עשיתי כלום חוץ מלעבוד על פעילות סייבר שקשורה לזה", מספר ג'ון למברט, סגן נשיא מיקרוסופט למחקר והגנת הסייבר. "בינואר-פברואר בנינו שותפויות עמוקות עם אוקראינה. היה לנו מודיעין, ידענו היכן מתרחשות מתקפות, במקרים מסוימים בדיוק מדהים, אבל המידע הזה חסר תועלת אם אתה לא יכול להעביר אותו לידי האנשים שיעשו איתו משהו. עבדנו כדי לבנות ערוצים של אמון הדדי עם פקידי ממשל באוקראינה. בכל פעם שראינו פעילות סייבר רוסית נגד מטרות באוקראינה, העברנו את המידע הזה לממשלה האוקראינית. שיתוף הפעולה הזה נמשך עד עצם היום הזה, בכל יום אנחנו מעבירים להם מידע".
האוקראינים, מחמיא ברט, עושים "עבודה פנטסטית" בבלימת מתקפות הסייבר הרוסיות: "בחלק מהמקרים אנחנו מספקים להם את המידע לפני שהמתקפה יוצאת לפועל, כך שהם יכולים לעצור אותה. במקרים אחרים אנחנו עוזרים להם לזהות את התוקף שנמצא ברשת שלהם, לבודד אותו ולהוציא אותו החוצה, וכן לשחזר את המערכות שלהם אם הייתה גניבת מידע. האוקראינים טובים מאוד בשחזור הזה".
מה הקשר בין חנות מתכות למלחמה?
לצד הניסיונות לפגוע בתשתיות קריטיות ובסוכנויות ממשלתיות, חלק ניכר מהמתקפות הרוסיות כוון כלפי ארגונים מהמגזר הפרטי. "במלחמה, כל משאב הופך למשאב מלחמתי", מזכיר למברט. "היו מטרות שלא הבנו מדוע הן מותקפות, למשל חנות למוצרי מתכת. אם תיכנסו לאתר שלה היום, תראו שהיא מייצרת מכשולים נגד טנקים. יש עוד הרבה דוגמאות, למשל מצלמות CCTV (טלוויזיות במעגל סגור). אם אתה רוצה לדעת איפה יש תנועה של אנשים וחיילים, מדובר במטרה צבאית חשובה".
אחד האתגרים המשמעותיים שאיתם מיקרוסופט התמודדה היה להגיע לאותם גופים אזרחיים שהותקפו כדי לספק להם עזרה. "לא היה ברור אם הממשלה יכולה בכלל ליצור איתם קשר באמצע מלחמה", נזכר למברט. "אם הייתם שואלים אותי באיזו תדירות נצליח למסור מידע לידיו של מישהו במחלקת ה-IT או האבטחה של עסק כלשהו באוקראינה, הייתי אומר - אולי 10%. אנשים הרי נעקרו מהערים שלהם, לבדוק מיילים זה כנראה לא בעדיפות העליונה עבורם. אבל ב-90% מהמקרים הצלחנו ליצור קשר עם מישהו בארגונים האלה, וחלקם הצליחו לפעול נגד המתקפות".
הסיוע של מיקרוסופט הוא קריטי עבור אוקראינה. הפרישה הגלובלית הרחבה של החברה, הן כספקית שירותי ענן והן כספקית שירותי תוכנה ואבטחה, מאפשרת לה לקבל כמות עצומה של אותות (סיגנלים) מרשתות ברחבי העולם. 43 טריליון אותות ביום, ליתר דיוק. לדברי איציק צלף, מנהל אבטחת המידע הלאומית של מיקרוסופט בישראל, מדובר במידע בעל ערך רב, שמאפשר לאנשי הסייבר להפיק תובנות חשובות על הפעילות של שחקנים זדוניים כמו אלה שפועלים מטעמה של רוסיה. "לטלמטריה שעוברת בין רוסיה לאיראן, לדוגמה, יש מאפיינים שונים מזאת שעוברת בין רוסיה לישראל", הוא מסביר. "באמצעות ניתוח הסיגנלים האלה אנחנו יכולים לייצר מפות של קשרים ולזהות אנומליות".
לפי דו"ח שפרסמה מיקרוסופט באפריל, לפחות שבע קבוצות תקיפה רוסיות היו מעורבות בפעילות הסייבר נגד אוקראינה לפני המלחמה. לפחות חלק מהן פעילות גם כיום. אירידיום (שמכונה גם Sandworm), סטרונטיום ו-DEV-0586 כפופות למודיעין הצבאי של רוסיה (GRU), והן מתמקדות במתקפות הרסניות, בפישינג, בגניבת מידע ובקמפיינים של השפעה; נובליום, שפועלת תחת שירות ביון החוץ של רוסיה (SVR), עוסקת בריסוס ססמאות ובפישינג; אקטיניום, ברומין וקריפטון פועלות תחת שירות הביטחון הרוסי (FSB), והן עומדות מאחורי קמפיינים של פישינג, גניבת מידע ואיסוף מודיעין.
הקבוצה שנחשבת למתקדמת ולמתוחכמת ביותר היא אירידיום. "אנחנו יודעים שהם מיומנים מאוד", מספר ברט. "נוזקת הווייפר שהם השתמשו בה ביום הראשון נגד אוקראינה, הם עכשיו בדור השביעי או השמיני שלה, והם ממשיכים לעדכן אותה בניסיון לעקוף את ההגנות שאוקראינה משתמשת בהן". אירידיום היא גם הסיבה לכך שמיקרוסופט פרסמה בתחילת החודש אזהרה שלפיה רוסיה עלולה להעלות הילוך בלוחמת הסייבר בחורף הקרוב, ואולי אפילו להרחיב אותה אל מחוץ לאוקראינה.
באוקטובר השתמשו ההאקרים של אירידיום לראשונה בכופרה (נוזקה שמטרתה להוציא לפועל מתקפות כופר) בשם Prestige (יוקרה) נגד חברות בתחום הלוגיסטיקה והתחבורה בפולין, אחרי שהשתמשו בה נגד חברות דומות באוקראינה. "מדובר בנוזקה שמצפינה דאטה, ולא מוחקת אותו כמו מתקפות הווייפר שראינו באוקראינה", מסביר ברט. "לעיתים מתלווה אליה דרישת כופר, אבל אין להם כוונה לקבל כסף, כן? המטרה היא לגרום נזק ולהעלים דאטה באמצעות הצפנה במקום מחיקה".
לשימוש בכופרה במקום בנוזקה רגילה עשויות להיות כמה סיבות טכניות, אבל לדברי ברט הוא גם מספק לרוסיה מרחב הכחשה: "אנחנו חושדים שהסיבה היא שהם לא רוצים שהעולם יידע שהם מסלימים את המתקפות שלהם מחוץ לאוקראינה. מבחינתנו מדובר בעליית מדרגה ברכיב הסייבר של המלחמה ההיברידית - אם הם מוכנים לעשות זה בפולין בתחום התחבורה, האם במהלך החורף הם יבצעו מתקפות כאלה בצורה נרחבת יותר מחוץ לאוקראינה?".
טום ברט, סגן נשיא מיקרוסופט: "ישנן מדינות בעולם שבהן כלי תקשורת שמפרסמים תעמולה רוסית הם הפופולריים ביותר, יותר מ-BBC, יותר מ-CNN. אנשים מאמינים שזה אמיתי"
למרות עליית המדרגה, במיקרוסופט מודים כי עד כה מתקפות הסייבר של רוסיה לא היו מתוחכמות במיוחד, וההאקרים שלה מנצלים בעיקר חולשות אבטחה מוכרות. "אתה לא צריך להביא את הכלים הכי מיוחדים שלך כאשר אתה יכול לנצל חולשות שלא תוקנו", מסביר למברט. "ראינו שחקנים רוסים מנסים למצוא מערכות פגיעות שפשוט לא היו מעודכנות". עם זאת, בקהילת הסייבר ממליצים שלא להמעיט ביכולות הסייבר של רוסיה; ייתכן שהיא פשוט החליטה שלא לשלוף את התותחים הכבדים בינתיים.
חזית התעמולה
במיקרוסופט עוקבים מקרוב גם אחרי הניסיונות של רוסיה להשפיע על דעת הקהל, ומבחינים לעיתים בתיאום בין מתקפות הסייבר לבין מהלכיה ברשתות החברתיות. "השחקן הכי מתוחכם בתחום הזה, בפער גדול, הוא הרוסים", אומר ברט. "הם עושים את זה כבר הרבה זמן, יש להם אמצעי תקשורת מסורתיים, יש להם רשתות חברתיות, יש להם משפיענים ויש להם תהליכים מתוחכמים מאוד לבנייה ולהפצה של סיפורי התעמולה שהם רוצים להוציא החוצה".
התעמולה הרוסית אומנם לא זוכה לתפוצה רחבה במיוחד באירופה ובארה"ב (אם כי לדברי ברט, חל זינוק אדיר בחשיפה אליה מאז תחילת המלחמה), אבל היא פופולריות במיוחד בחצי הדרומי של כדור הארץ. לדבריו, "ישנן מדינות בעולם שבהן כלי תקשורת שמפרסמים תעמולה רוסית הם הפופולריים ביותר, יותר מ-BBC, יותר מ-CNN, יותר מכל מקור חדשות אחר. אנשים מאמינים שזה אמיתי". הוא מזכיר בין היתר טענות כוזבות שפורסמו על מעבדות אוקראיניות לפיתוח נשק ביולוגי או על מיליציה נאצית שפועלת בגבול אוקראינה-רוסיה: "אני מאמין שיש יותר מדינות שמאמינות לסיפורים האלה מאשר מדינות שחושבות שהם לא נכונים".
"אי אפשר לשבת בצד כשמשהו כזה קורה"
ההתייצבות של מיקרוסופט לצידה של אוקראינה אינה מובנת מאליה. כבר בימים הראשונים של המלחמה הפסיקה ענקית הטכנולוגיה את המכירות ברוסיה וסייעה לממשלה האוקראינית להעביר חלק מהמידע שלה לענן במהירות וללא תמורה, על מנת להציל אותו מידי הצבא הרוסי. עד כה סיפקה מיקרוסופט לאוקראינה תמיכה בשווי של 400 מיליון דולר, וה"ניו יורק טיימס" כבר השווה את המעורבות שלה באוקראינה להתגייסות של יצרנית המכוניות פורד במלחמת העולם השנייה, כאשר פסי הייצור שלה הוקדשו לבניית טנקים במקום מכוניות. יש לציין כי חברות טכנולוגיה נוספות, בהן אמזון וגוגל, מספקות גם הן סיוע לאוקראינה בשנה האחרונה.
לדברי למברט, ההחלטה להתייצב לצידה של אוקראינה הייתה פשוטה: "זאת הייתה הפעם הראשונה שבה מעצמת סייבר יצאה למלחמה והשתמשה בסייבר נגד מדינה של 40 מיליון תושבים. אי אפשר לשבת בצד כשמשהו כזה קורה. נתנו לזה עדיפות מההתחלה, ויש כאן גם היבט הומניטרי. כל מי שהיה יכול לעזור הגיע כדי לעזור".
בניגוד לחברות אחרות ולממשלות מסוימות, מיקרוסופט לא נרתעה מלהצביע על רוסיה באופן מפורש כמי שעומדת מאחורי מתקפות סייבר נגד אוקראינה. לדברי ברט, למרות הפעילות העסקית של מיקרוסופט ברוסיה, "החלטנו כחברה שאנחנו מוכנים להסתכן ולהיות פומביים מאוד בנוגע למה שאנחנו רואים בתחום הסייבר. ברוב המקרים, או כמעט בכולם, ייחסנו מתקפות סייבר למדינות הרבה לפני שמדינות אחרות היו מוכנות לעשות זאת. אומנם ראינו לאחרונה קואליציות של ממשלות שמייחסות מתקפות למדינות קצת יותר מהר מאשר בעבר, אבל זה עדיין נעשה בהיסוס".
ברט מזכיר כי בראד סמית, נשיא מיקרוסופט, דיבר כבר לפני חמש שנים על הצורך בניסוח אמנת ז'נבה דיגיטלית שתקבע כללים ללוחמת סייבר. "חלק מהממשלות במערב לא אהבו הרעיון", מציין ברט, "אבל אני חושב שאנשים משנים את דעתם ומתחילים להבין שאנחנו צריכים יותר אמנות והסכמים בינלאומיים שיקבעו חוקים לגבי מה מדינות יכולות לעשות בתחום הסייבר, מכיוון שמספר העימותים בתחום הסייבר גדל, ואנחנו רואים את ההשפעה הפוטנציאלית שיש לכך על האקוסיסטם הדיגיטלי".
הספרייה הסודית של סין
המלחמה באוקראינה עוררה בשנה האחרונה את החשש שבייג'ינג תשאב השראה ממוסקבה ותחליט לפלוש לטאיוואן, שאותה היא רואה כאי שיש לה זכות לריבונות עליו. מלחמת סייבר בטייוואן, מעריך ברט, תיראה אחרת בהשוואה למה שמתרחש כיום באוקראינה. "דבר אחד שאנחנו רואים שמבדיל בין שחקנים סינים לשחקנים אחרים הוא שהם נוטים להשתמש בחולשות יום-אפס (חולשות שלא ידועות ליצרן התוכנה, ולכן כמעט בלתי אפשרי להתגונן מפניהן - י"מ) בתור וקטור החדירה שלהם בתדירות גבוהה יותר לעומת מדינות אחרות. לפני כשנה וחצי הם העבירו חקיקה שמחייבת כל ארגון שמגלה חולשת יום-אפס לדווח עליה לממשלה הסינית. הם בונים מאגרי מידע עצומים, ואנחנו מאמינים שהם בונים ספריות של חולשות יום-אפס. אם סין תהיה מעורבת בלחימה היברידית, אני מאמין שנראה הרבה יותר שימוש בחולשות כאלה במתקפות שלה".
האם מיקרוסופט תגן על טאיוואן כפי שהיא מגינה על אוקראינה? "אם אנחנו רואים ממשלה שנמצאת תחת מתקפה, אנחנו עושים מה שאנחנו יכולים כדי להגן עליה", מבהיר ברט, "אבל לעשות את זה במקביל בכמה מרחבים גיאוגרפיים זה מאתגר, אפילו עם המשאבים שיש למיקרוסופט. לכן אני לא יכול להבטיח שנעשה בדיוק את אותם דברים בטאיוואן אם היא תותקף".
הכותב היה אורח מיקרוסופט במטה החברה ברדמונד, וושינגטון