באמצע ינואר האחרון, יותר מחודש לפני הפלישה הרוסית לאוקראינה, פשטו אנשי שירות הביטחון הרוסי, ה-FSB, על יותר משני תריסר דירות במוסקבה ועצרו עשרות האקרים, חברי קבוצת מתקפות הכופרה הרוסית הידועה לשמצה - REvil.
כדי לשוות למעצר נופך דרמטי, באופן יוצא דופן, הפיצו אנשי ה-FSB הרוסי תמונות מתוך המעצר, בו נראים אנשי השירות לבושים במעילים צבאיים, לופתים צעירים ומצמידים אותם אל הרצפה. בנוסף, פורסמו תמונות של רכוש שהחרים השירות החשאי: שטרות של רובלים ודולרים בשווי כולל של מעל מיליון דולר, התקני ארנקים דיגיטליים, מחשבים ניידים ועשרים מכוניות יוקרה.
מתקפות כופרה היו חלק משיטת הפעולה הנפוצות בכמה מתקפות הסייבר הקשות ביותר בשנתיים האחרונות. במסגרתן, משתלטים האקרים על מערכות מחשוב קריטיות ודורשים בתמורה כופר על מנת להימנע מנזק גדול יותר. עד אז, נחשבה REvil לאחת מכנופיות מתקפות הכופרה הבולטות בעולם והייתה למבוקשת על ידי הרשויות האמריקאיות. זאת, לאחר שכיכבה בהתקפות נגד אלפי עסקים באמצעות השתלטות על תוכנות ארגוניות קטנות שהובילו אותה לליבת המחשוב של אותן חברות.
הידועות ביותר הן דרישות כופר שנעו בין עשרות אלפי דולרים ל- 5 מיליון דולר באמצעות השתלטות על התוכנה הארגונית קאסייאה, והמתקפה על יצרנית הבשר האמריקאית JBS ביום הזיכרון האמריקאי, שחילצה 11 מיליון דולר.
הקבוצה לא הסתפקה בפיתוח כלי תקיפה מתוחכמים, היא גם הפכה אותם לפירמידה עסקית: הכלים נמכרו לכנופיות-משנה שהפכו לשותפותיה העסקיות, ובתמורה הועברו אליה הרווחים שנגרפו במתקפות. היוקרה וההשפעה שצברה, הביאו את הכנופייה להפוך ליעד מרכזי למתקפות נגד מכיוונם של ארגוני ביון מערביים.
מעצר של קבוצת ההאקרים הרוסית REvil ע''י FSB / צילום: מתוך הוידאו ששחרר שירות הביטחון הרוסי FSB
למרות הנזק שגורמות הכנופיות בחסות הממשל, הן מעולם לא הסתתרו. להפך, פעיליה נהגו לעבוד מבנייני משרדים מפוארים במוסקבה. אחד מחברי הקבוצה REvil אף הפעיל חשבון אינסטגרם בו התרברב במכוניות היוקרה שרכש.
המתקפות לא פסקו, אלא רק החליפו יעד
המעצר המיוחד גרם לרבים להרים גבה. עד היום רוסיה מככבת ברוב מתקפות הכופרה על המערב, ונראה שעד כה - אם הדבר איננו קשור לניצול קטינים או לצ’צ’נים - במוסקבה לא נוקפים אצבע על מנת לעצור את הפעילות שלהם. תחילה, פעולת המעצר המפתיעה יוחסה ללחץ מכיוונו של ממשל ביידן, והיו מומחים שתיארו אותה כמעין הקרבה מצדו של נשיא רוסיה, ולדימיר פוטין, כדי להתקרב למערב. אמנם, ארה"ב הציעה פרס של 10 מיליון דולר על ראשם של מנהיגי הכנופייה תמורת הסגרתם, אך המעצר על ידי השלטונות הרוסים סתם את הגולל על הסגרה שכזו.
עם תחילת המתקפה הרוסית בסוף חודש פברואר, דעכה תשומת הלב התקשורתית לקבוצה, אך מעקב צמוד שמבצעות חברות הסייבר על כנופיות הכופרה מעלה חשד שמא המעצר שימש בפועל לצורך אחר לחלוטין. בשיחה עם גלובס, מעריך ליאור דיב, מנכ"ל חברת אבטחת המידע סייבריזן, שבפועל גויסו הכנופיות לשירות המדינה, ככל הנראה בהיותן נתונות במעצר.
"מתקפות הכופרה נגד ארה"ב הסתיימו בבת אחת ב-15 בינואר, עם מעצרן של כנופיות הכופרה על ידי ה-FSB", אמר. "אלא שמיד עם תחילת הפלישה לאוקראינה, הן נקראו למעין צו שמונה. בסיוען, פורץ מערך הסייבר של פוטין לאתרי הממשלה והפיננסים באוקראינה, ומשתיל בהם נוזקות המוחקות אותן ואת המחשבים המפעילים. זו הייתה יריית הפתיחה במלחמת הסייבר".
פועלות במקביל לזרועות הביטחון
מערך הסייבר הרוסי פועל באמצעות שלוש זרועות מרכזיות, מתוכן הוא מפעיל מתקפות כופרה, גניבת מידע וחבלה: מערך ארגוני הביטחון והמודיעין שבאמצעותו אוסף הקרמלין מידע יקר ערך, קמפיינים של השפעה חברתית באמצעות מניפולציה על רשתות חברתיות, וארגוני הפשיעה, או כנופיות הסייבר, המנותקים לכאורה מפעילות הממשל.
זרועות המודיעין והביטחון המסכל של רוסיה אוחזים בשתי קבוצות סייבר עיקריות שכבר שנים פועלות בזירה הבינלאומית. האחת היא קבוצה בשם APT29 - היא מכונה במערב: "קוזי בר" ומיוחסת לשירות הביטחון הפדרלי הרוסי (FSB) ושירות הביון של רוסיה (SVR). קבוצה אחרת היא ה-APT28, המכונה גם כ"פנסי בר", אותה האמריקאים מייחסים למודיעין הצבאי הרוסי, ה-GRU.
מעצר של קבוצת ההאקרים הרוסית REvil ע''י FSB / צילום: מתוך הוידאו ששחרר שירות הביטחון הרוסי FSB
קבוצות אלה השתתפו בכמה ממתקפות איסוף המודיעין החמורות ביותר בארה"ב לצרכי חבלה ואיסוף מודיעין. בהם, למשל, המתקפה על חברת סולארוווינד, שניצלה את תוכנת החברה כדי להתפשט ולהגיע לשורה ארוכה של משרדי ממשלה מרכזיים בארה"ב. כמו גם מתקפת NotPetya, שניצלה ב-2017 חולשה בתוכנת תשלום מיסים כדי להשבית חלק ניכר מהחברות והארגונים באוקראינה.
אלא שבמקביל לזרועות הביטחון הרשמיים, בארבע השנים האחרונות נבנה ברוסיה קרטל של כנופיות כופרה מתוחכמות שהפכו את התחום לתעשייה המייצרת מאות מיליוני דולרים. תעשייה זו כונתה במערב "כופרה כשירות".
במה שמכונה בענף הסייבר כ-State Ignored, כלומר תחת עינו הפקוחה של הממשל, חילקו ביניהן קבוצות הסייבר את פעולות הייצור, התקיפה, ניהול המשא ומתן והגבייה - ולאחר מכן התחלקו בהכנסות. "פשיעת הסייבר נעלמה ביום בהיר אחד עם הפשיטה על REvil", סיפר דיב מסייבריזן. "אלא שבתוך ימים התחילה מלחמת כנופיות וקבוצות מאורגנות בשני הצדדים. אופי הלחימה כבר לא נעשה תחת עינו הפקוחה של הממשל הרוסי, אלא בעידודו. כנופיה בשם קונטי (Conti), למשל, כבר הודיעה שמי שיתקוף את האומה הרוסית, יותקף בחזרה באמצעות כופרה בעלת עוצמה".
המודל העסקי של הכנופיות בסכנה
מלחמת רוסיה-אוקראינה הפכה במידה רבה למלחמת כנופיות, שלא רק שאינן פועלות בחשיכה, אלא מאמצות לעצמן ערוצי תקשורת כדי להדהד מסרים, או כדי לגייס פעילי סייבר מכל העולם כדי לסייע להן. כנופיית קונטי, למשל, פרסמה הודעת הזדהות מוחלטת עם הממשל הרוסי, ואיימה במתקפה על כל מי שינסה לחבל במאמצי המלחמה.
לפני המלחמה היא התמקדה בתקיפת תשתיות מערביות והכניסה, על פי ההערכה, כ-100 מיליון דולר בשנה. לאחר האיום של הכנופיה, הודלפו, ככל הנראה על ידי קבוצות אוקראיניות, התכתבויות פנימיות שחושפות ראיות לתיאום בין הכנופייה לבין השלטונות הרוסיים, כך לטענת סייבריזן. עוד טוענים בחברה, כי קונטי ידועה עוד טרם המלחמה בתשלומי הערבות הגבוהים שהיא משלמת לשחרור חבריה שנעצרו בשנים האחרונות, וכן בהפעלת לחצים על הממשל הרוסי לשחרורם ממשטרות מערביות באמצעות שימוש באוליגרכים ואנשי ממשל רוסים.
איתי מאור, מנהל אסטרטגיית סייבר בחברת קאטו (Cato), טוען שההזדהות של קונטי עם רוסיה, כמו גם קבוצות הסייבר האחרות, מסכנת את המודל העסקי שלהן. "קיים איסור בארה"ב לשלם תשלומי כופרה לקבוצות שנמצאות ברשימת אלה שמסכנות את הביטחון הלאומי של ארה"ב", הסביר בשיחה עם גלובס. "מכיוון שכך לא הופתענו לראות כיצד קונטי, שיצאה בהודעה לוחמנית, ריככה לבסוף את הניסוח שלה: מתגובת נגד על התקפת הממשל הרוסי - לתגובת שתגיע בעקבות נזק לאזרחי רוסיה".
פשיטת ה־FSB על קבוצת REvil באמצע ינואר / צילום: FSB
כנופיה רוסית נוספת היא SandWorm, שמיוחסת על ידי קאטו נטוורקס ליחידה 74455 של ארגון המודיעין הצבאי הרוסי GRU. תוכנה זדונית שלה בשם סייקלופס התגלתה בחודש שעבר לאחר תקופת שקט מסוימת. עוד קבוצה שפועלת מטעם רוסיה נקראת The Red Bandits: עד לאחרונה כנופיית כופרה שהפיקה רווח כספי, וכעת הודיעה שפרצה למצלמות הגוף של משטרת אוקראינה ושהיא מרגלת אחר הנעשה במדינה כל העת.
"הנזק כרגע הוא בעיקר תודעתי"
גם כנופיות מבלארוס, מדינת החסות של רוסיה, מספקות תמיכה למערך הסייבר הרוסי מאז פרוץ המתקפה. כנופיה בלארוסית בשם UNC1151, הפעילה קמפיינים המציגים את החיילים האוקראינים כחלשים וככאלו שתומכים ברוסיה, ומיקדה אותם בבכירים האוקראינים על מנת להחליש את רוחם.
בנוסף, הקבוצה הפעילה אתרי פישינג כדי ללכוד פרטים אישיים של פעילים אוקראינים. למרות שבלארוס היא בת בריתה של רוסיה, ישנן קבוצות מהמדינה שמסייעות דווקא לצד האוקראיני ופועלות לשחרורה מהעול הרוסי. אחת מהן היא Belarus Cyber Partisans, שצברה כמה הצלחות, כמו השבתת רכבות שהסיעו לוחמים רוסיים לגבול אוקראינה, והדלפה של מסמכים משירות הביטחון הבלארוסי, כולל גם שמות של סוכנים.
מעצר של קבוצת ההאקרים הרוסית REvil ע''י FSB / צילום: מתוך הוידאו ששחרר שירות הביטחון הרוסי FSB
מהצד האוקראיני, ניצל שר הדיגיטל האוקראיני הצעיר, מיכאיל פדורוב, את חוכמת ההמונים כדי לעודד מתקפות מניעת שירות (DDoS) נגד אתרים רוסיים באמצעות קבוצת הסייבר IT Army of Ukraine. הקבוצה הקימה ערוץ טלגרם בו היא מפרסמת באופן שוטף מטרות רוסיות לתקיפה. לצידה פועלות קבוצות כמו GhostSec , שהוקמה כדי להילחם באתרי המדיה של דעא"ש ופעילה כעת נגד אתרים רוסיים, וקבוצת NB65, המפעילה חשבון טוויטר פופולרי, ואיימה לחשוף את קוד המקור של חברת הסייבר הרוסית קספרסקי. עד כה הבטחותיה לא קויימו.
בכל זאת, כל עוד מלחמת הסייבר מתנהלת כקרב כנופיות, היא מתנהלת בעצימות די נמוכה. "הנזק כרגע הוא בעיקר תודעתי", אמר דיב. "עדיין לא הגענו ללוחמת סייבר אמיתית. לרוסים ולאמריקאים יש יכולות שאיש עוד לא חשף".
לתשומת לבכם: מערכת גלובס חותרת לשיח מגוון, ענייני ומכבד בהתאם ל
קוד האתי
המופיע
בדו"ח האמון
לפיו אנו פועלים. ביטויי אלימות, גזענות, הסתה או כל שיח בלתי הולם אחר מסוננים בצורה
אוטומטית ולא יפורסמו באתר.