הנחש הרוסי

מבחינת מוסקבה השימוש בסייבר ככלי תקיפה מלחמתי הוא בגדר נורמה כצעד ראשון במתקפה כללית. אחרי אסטוניה וגיאורגיה – עכשיו תורה של אוקראינה

הדעה הרווחת במערב היא שרוסיה מחזיקה ביכולות לוחמת המידע ולוחמה אלקטרונית מתקדמות. הניסיון מראה שרוסיה אינה מהססת להשתמש ביכולות לפי הצורך. עוד בשנת 2007 במסגרת סכסוך בין רוסיה לאסטוניה שהמניע שלו היה העתקת פסל החייל האלמוני ממרכז טאלין, בירת אסטוניה לפרברי העיר, הפעילו גורמים רוסים מתקפת מניעת שירות מבוזרת (DDoS) משמעותית מול אסטוניה. המעורבות של הממשל הרוסי לא ברורה בסכסוך הזה שכונה על ידי חלק (שקצת הפריזו) "מלחמת הסייבר הראשונה".

המתקפה על אסטוניה הייתה דוגמא קטנה אך מספיקה לכך שבעידן המידע יש להניח שכל עימות צבאי או מתיחות פוליטית יכללו גם מרכיבי קיברנטיים התקפיים: פגיעה או שיבוש של מערכות מידע או פגיעה בתשתיות ותהליכים קריטיים על ידי המחשבים ששולטים עליהם. ואכן כך היה גם במלחמת דרום אוסטיה בשנת 2008 שם נלחמו רוסיה וגאורגיה בנסיבות שנויות במחלוקת. גם שם היו התקפות קיברנטיות פרו-רוסיות "ממקור לא ידוע" שגרמו לשיבושים בשירותים מקוונים ואתרי אינטרנט של הממשל, מדיה, בנקים, ואף מתקפת מניעת שירות על האינטרנט בגאורגיה בכלל.

בגאורגיה היו גם דיווחים על כך שהותקפו מערכות הסלולר האזרחיות ומערכת התקשורת של הצבא הגיאורגי. השימוש במרחב הקיברנטי נגד גאורגיה היה למספר מטרות: איסוף מודיעין, שיבוש תהליכים חיוניים אך לא פחות חשוב מזה ללוחמת מידע. הרוסים לא היו שבעי רצון מתוצאות שהשיגו במימד הקיברנטי נגד גיאורגיה ובשנים האחרונות מתגבר הדיון על עוצמה קיברנטית כמרכיב חיוני באסטרטגיה הרוסית. בסוף 2011 פרסם משרד ההגנה הרוסי מסמך יסוד לאסטרטגיה הקיברנטית הצבאית של רוסיה: ‘‘Conceptual Views on the Activity of the Russian Armed Forces in Cyberspace’’.

בינואר 2013 נחתם צו נשיאותי שמטיל את האחריות על פיתוח ויישום המדיניות הלאומית להגנה קיברנטית ברוסיה על שירות הביטחון הפדרלי (FSB). היוזמות שננקטו מאז בצבא, בממשלה, בתעשיות הביטחון ובמוסדות מחקר מעידות על נטישת הגישה הרשמית של רוסיה שקראה לפירוז המרחב הקיברנטי. אין להתפלא, שגם המתיחות הפוליטית-צבאית בין רוסיה לאוקראינה גררה גם פעילות לוחמה קיברנטית. יש לזכור שהמתח בין רוסיה לאוקראינה העצמאית קים מאז התפוררות ברה"מ, והתפרץ כבר בתגובות ל-"מהפכה הכתומה" של 2004, ובסמוך לבחירות לנשיאות אוקראינה.

מהו בולע הזנב

הפעילות הנוכחית מסתבר החלה עוד הרבה לפני ההפגנות. על פי דו"ח שפורסם על ידי חברה BAE Sytems וחברת GData הגרמנית, רוסיה לכאורה כבר הייתה בעיצומו של מבצע ריגול קיברנטי שנמשך כמה שנים. פיסת הקוד שנחשפה לאחרונה כוללת את המילים Ur0bUr()sGotyOu# וכך זכתה לשם "בולע הזנב" או “Uroboros” אוּרוֹ‏בוֹ‏רוֹ‏ס ביוונית, סימן עתיק בצורת נחש או דרקון הבולע את זנבו.

אורובורוס (ידוע גם בשם מבצע טורלה או Snake) הוא rootkit (תוכנה "חמקנית" בעלת גישה להרשאות המחשב) שמיועדת לפריצה למחשבי windows 32/64bit ומורכבת משני קטעי קוד: דרייבר ומערכת קבצים וירטואלית מוצפנת. שני המרכיבים מאופיינים ברמת קוד מאוד גובה, בעלי יכולת חמקנית, וקשים מאוד לזיהוי. ביחד שניהם משמשים לריגול באמצעות הוצאות אינפורמציה מהמחשב הנגוע ושליחתו באופן מוצפן למחשבי שו"ב. אורובורוס מתוכנן לעבוד בשיטת peer-to-peer כלומר מספיק שמחשבים מודבקים מתקשרים אחד עם השני ונשלטים על ידי מחשב אחר.

מורכבות הקוד מעידה כל כך שמדובר ככל הנראה בארגון שיש לו זמן, כוח אדם מצוין, כסף רב ויש לו עניין בריגול . במילים אחרות - מדינה עומדת מאחורי אורובורוס.

מדוע נופל החשד על רוסיה?
 
הראיה המרכזית היא הדמיון הרב בין אורובורוס לקמפיין ריגול ישן יותר שמכונה בשם Agent.BTZ – שהדביק מחשבים של ה CENTCOM האמריקאי.כשהתגלה מבצע הריגול הזה בשנת 2008, נראה הוא שהוא כה מורכב עד שגרם לצבא ארה"ב לצאת למבצע הגנה בשם Buckshot Yankee . תת שר ההגנה האמריקאי מכהן לין תיאר זאת כך במאמר מכונן משנת 2010: "This previously classified incident was the most significant breach of U.S. military computers ever, and it served as an important wake-up call. The Pentagon's operation to counter the attack, known as Operation Buckshot Yankee, marked a turning point in U.S. cyberdefense strategy."

האירוע הסודי שלין מדבר עליו הוא כמובן הגילוי שלי Agent.btz בתוך הרשתות הסודיות ביותר של הצבא האמריקאי. חשיפת מבצע הריגול בתוך רשתות הצבא הובילה גם להקמת פיקוד הסייבר U.S. CYBERCOM שהתווסף לשורה ארוכה של גופי ביטחון ומודיעין האמריקאים העוסקים בסייבר. על פי חברת קספרסקי עד היום הודבקו למעלה מ 400,000 מחשבים ב `Agent.BTZ וגרסאותיו השונות. בחזרה לאורובורוס, המעניין הוא שלפני שהאורובורוס מתקין את עצמו במחשב הוא מחפש גרסא של Agent.BTZ ולא מפעיל את עצמו היא קיימת. בנוסף, ישנן עדויות בקוד על שימוש בשפה הרוסית והזמן שנעשה בו שימוש מתאים לזמן מוסקבה. החוקרים של BAE מצאו שבשנת 2014 לבד, היו 20 וריאנטים של ההתקפה, 14 מתוכם באוקראינה 2 בליטא, 2 בגאורגיה, 1 בהונגריה ועוד 1 באיטליה. בשנת 2013 היו נמצאו בגאורגיה רק 8 וריאנטים ובליטא 9 מתוך 24 סה"כ. אחד הדברים שהם עדין בגדר תעלומה זה האם הנחש יכול לשמש לא רק לריגול אלא גם לביצוע פעולות התקפיות במחשבים כדי להשמיד מידע ולהוציא את המחשבים משימוש. מומחים אמריקאים למחשבה הרוסית מציינים שאכן סביר להניח שהנחש פותח לשימוש כפול – גם ריגול וגם תקיפה. יש לזכור שמדובר בעדויות נסיבתיות בלבד שאליהן מצטרף גם העיתוי של התקפות נוספות מצד רוסיה על אוקראינה.

רוסיה בסייבר

במהלך העימות הרוסי אוקראיני הנוכחי עושים כל הצדדים שימוש נרחב בדיסאינפורמציה Дезинформация שגורם לקושי מהותי להעריך את המציאות. העדויות שנאספו עד כה על פעילות רוסית בסייבר כוללות: פעולות ל"א: שיבוש מערכות תקשורת, טלפון וסלולר, כולל חיתוך כבלים תקשורתי,DDoS נגד מדיה אוקראינית והשחתת אתרי אינטרנט, לוחמה פסיכולוגית באמצעים קיברנטיים. לדוגמה, פרסום דוא"ל של אחד ממנהיגי המהפכה שנועד להשחיר תדמיתו והשתלטות פיזית על אתרי תקשורת.

מקרה אורובורוס הוא הדוגמה היחידה כנראה של פעולות סייבר בעימות הזה. יש לראות את מקרה אורובורוס במסגרת התמונה העולמית הרחבה: מבצעי ריגול סייבר מתוחכמים שמתגלים מעידים על השימוש הגובר שעושות מדינות במרחב הסייבר לפעילות חשאית. לעומת זאת, עיקר הפעולות שרוסיה נוקטת במרחב הסייבר במסגרת מאבקיה הבינלאומיים הוא לוחמת מידע: מגוון פעולות הגנתיות והתקפיות לקידום נרטיב ועיצוב דעת קהל. בתפיסה הרוסית "המערב" זה סוכן עוין, שמשתמש באינטרנט על מנת לפגוע מבפנים במשטרים יריבים. האליטה הרוסית רואה במחאה הפרו-מערביות הנוכחית באוקראינה המשך ישיר למבצעי מידע מערביים שגרמו להתקוממויות הערביות ב-2011. הנושא זוכה לתשומת לב רבה מאוד ברוסיה, לעומת שתיקה במדינות המערב.

***
רם לוי הוא מנכ"ל חברת קונפידס (www.konfidas.com), יועץ סייבר של המועצה הלאומית למו"פ וחוקר בכיר בסדנת יובל נאמן למדע, טכנולוגיה וביטחון באוניברסיטת תל אביב. [email protected]

ליאור טבנסקי הוא דוקטורנט למדע המדינה באוניברסיטת תל אביב וחוקר בכיר בסדנת יובל נאמן למדע, טכנולוגיה וביטחון באוניברסיטת תל אביב

You might be interested also