רוסיה תקפה בסייבר – שוב – את רשת החשמל באוקראינה

רשת החשמל באוקראינה שוב סבלה ממתקפה מצד רוסיה – כך פורסם היום (ה'). חברת אבטחת המידע ESET, בשיתוף צוות הסייבר האוקראיני CERT-UA, זיהו כי במתקפה נעשה שימוש בנוזקות Industroyer2 ו-CaddyWipper.

לאחר שניתחו את הממצאים ניתוח ראשוני, החוקרים קבעו שהתוקפים היו מקבוצת Sandworm, שקשורה לשירות הביון של המודיעין הרוסי, GRU. יעד המתקפה היה חברת אנרגיה גדולה, שאחראית להפצת החשמל באוקראינה.

על פי הממצאים, המתקפה בוצעה ביום ו' האחרון, ה-8 באפריל, בשעות אחר הצהריים. אלא שחוקרי ESET ציינו שהתוקפים התכוננו לביצועה בשבועיים שלפני כן.

כמו במקרים קודמים, ציינו החוקרים, "הנוזקה ההרסנית מחקה נתונים במכשירים הנגועים, שהשתמשו במערכות ההפעלה לינוקס, Windows וסולאריס".

הקמפיין הרוסי הקודם נגד רשת החשמל האוקראינית

זאת לא הפעם הראשונה שבה האקרים רוסים תקפו את רשת החשמל האוקראינית. הם עשו זאת גם בחגי סוף השנה של 2015, וגרמו להפסקת חשמל. לדברי חוקרי אבטחת מידע, המהלך העיד, בזמנו, על הסלמה חדשה ומטרידה בעולם מתקפות הסייבר.

לפי דו"ח של האוקראינים, המתקפה ההיא גרמה לכך שמחצית מהבתים באזור איבנו-פרנקיבסק נותרו ללא חשמל למשך כמה שעות ב-23 בדצמבר. הפסקת החשמל, שפגעה בכמה מאות אלפי בני אדם, ולפי אחד הדיווחים ב-700 אלף מהם, נגרמה מווירוס שגרם לניתוק תחנות כוח מהרשת. החוקרים אמרו שניתוח הנוזקות שנמצאו במערכות של לפחות שלושה מפעילי חשמל אזוריים העלה כי "מתקפת סייבר הרסנית" היא שהובילה להפסקת החשמל. האוקראינים חוו עוד מתקפת סייבר על תשתיות אנרגיה בחגים של השנה שלאחר מכן.

"קשר ברור" בין שתי המתקפות

חוקרי ESET ציינו כי הם רואים "קשר ברור" בין שתי המתקפות – זו שבוצעה לפני יותר משש שנים וזו שבוצעה באחרונה. "כעת נעשה שימוש בכלי תקיפה משודרגים, דוגמת גרסה חדשה לנוזקה Industroyer, אולם עם סבירות גבוהה לכך שהתוקפים הם אותם התוקפים – קבוצת התקיפה בשפה הרוסית Sandworm, שמזוהה עם שירות הביון הרוסי", אמר ז'אן-איאן בוטין, מנהל חקר האיומים ב-ESET.

Sandworm מסווגת כקבוצה מסוג APT – איום מתמשך מתקדם. מונח זה משמש לתיאור תוקפים או קבוצות של תוקפים, שמקבלים גישה לרשתות מחשבים, בדרך כלל של ארגונים פרטיים או ממשלתיים גדולים. הם נוטים להישאר שם ללא זיהוי ולאורך זמן. במקרים רבים, פעילותם ממומנת על ידי מדינות.

לדברי בוטין, "ההאקרים השתמשו בעוד נוזקות יחד עם Industroyer2. זיהינו דגימות של נוזקות כמו CaddyWiper, שנתקלנו בה במתקפות על מוסדות פיננסיים אוקראינים באמצע מרץ. כרגע אנחנו לא יודעים איך בדיוק ארגון נגוע נדבק, זה נתון לחקירה נוספת".