חודשים לפני הפלישה הרוסית התפרש צוות של אמריקאים ברחבי אוקראינה, בחיפוש אחר איום מסוג מסוים מאוד. אחדים מהם היו חיילים המשרתים בפיקוד הסייבר של צבא ארה"ב. אחרים היו קבלנים אזרחיים או עובדים של חברות אמריקאיות המגינות על תשתיות מרכזיות מפני מתקפות סייבר, מהסוג שהסוכנויות הרוסיות מבצעות נגד אוקראינה כבר שנים.
ואכן, כבר שנים שארה"ב עוזרת לאוקראינה לחזק את הגנות הסייבר שלה, מאז שמתקפה ידועה לשמצה על רשת החשמל של המדינה בשנת 2015 השאירה את קייב באפלה למשך שעות.
אבל לחבורת האמריקאים שהגיעה לאוקראינה באוקטובר ובנובמבר הייתה מטרה מעט שונה: הכנה למלחמה הקרבה ובאה. אנשים שמכירים את המבצע סיפרו על חיפוש בהול אחר נוזקות חבויות רדומות שרוסיה הייתה עלולה לשתול מבעוד מועד, כדי לפצוח במתקפת סייבר קטלנית במקביל לפלישה הקרקעית הקונבנציונלית.
שעות ספורות לפני שהטנקים הרוסיים החלו להיכנס לאוקראינה, מהנדסי מיקרוסופט איתרו ופיצחו נוזקה שהופעלה זמן קצר קודם לכן. תוך שלוש שעות שחררה מיקרוסופט עדכון תוכנה נגד הנוזקה, התריעה בפני ממשלת אוקראינה על האיום והפנתה את תשומת לבה למתקפות על שורה של מטרות ובהן הצבא
מומחים מזהירים שרוסיה עוד עלולה לקיים מתקפה מקוונת הרסנית על התשתית האוקראינית, מהסוג שגורמים במערב צופים זה זמן רב. אך ייתכן כי שנים של עבודה, לצד חודשיים של חיזוק ממוקד, הם הסיבה שהרשתות האוקראיניות לא קרסו עד כה.
גורמים רשמיים באוקראינה ובארה"ב מקפידים לומר כי עבודתם של צוותי משלחת הסייבר היא הגנתית – זאת בניגוד למשלוחים בשווי מיליארדי דולרים של כלי נשק קטלניים שהוזרמו אל אוקראינה למטרת חיסול חיילים רוסים.
מתקפות הסייבר הרוסיות נבלמו כי "ממשלת אוקראינה נקטה את הצעדים המניעתיים הנדרשים כדי להגנה על הרשתות שלנו", אמר ויקטור זוֹרָה, פקיד ממשל אוקראיני בכיר.
המשלחת האמריקאית איתרה וסילקה ממערכות הרכבת האוקראינית נוזקה מסוג זדוני במיוחד, שמומחי אבטחת הסייבר מכנים wiperware. הנוזקה משתקת רשתות מחשב שלמות על ידי מחיקת קבצים מרכזיים לפי פקודה. בעשרת הימים הראשונים של הפלישה הרוסית, כמעט מיליון אזרחים אוקראינים ברחו למקום מבטחים באמצעות הרכבת. "זה היה יכול להיות אסון", אמר גורם אוקראיני המתמצא בסוגייה.
נוזקה דומה שהושתלה במערכות משטרת הגבולות חמקה מעיני המומחים, ובשבוע שעבר, כשמאות אלפי נשים וילדים אוקראינים ניסו לעזוב את המדינה, המחשבים במעבר הגבול לרומניה שותקו. הדבר תרם רבות לתחושת הכאוס, כך לפי אנשים המכירים את פרטי התקרית.
עם תקציב קטן בהרבה מזה שהוקדש ללחימה הקונבנציונלית, כ־60 מיליון דולר, נדרש צוות הסייבר לבצע גם עבודת הכנה עם הקבוצות הפרטיות המספקות את קווי התקשורת – בין אם משויכים לממשלה או לא. עבודות ההכנה התבצעו ברוב התשתיות שההאקרים הרוסיים היו צפויים לתקוף.
בסוף השבוע האחרון של פברואר, המשטרה האוקראינית וזרועות ממשל נוספות התמודדו עם כמות אדירה של "מתקפות מניעת שירות מבוזרות" (DDoS). מדובר בהתקפות לא מתוחכמות במיוחד שמפילות רשתות על ידי הצפתן בבקשות לכמויות קטנות של נתונים ממספר גדול של מחשבים. לאחר כמה שעות בלבד פנו האמריקאים ל־Fortinet, חברת אבטחת סייבר מקליפורניה, המוכרת "מכונה וירטואלית" שנועדה לבלום מתקפות כאלה בדיוק.
בעשרת הימים הראשונים של הפלישה הרוסית, כמעט מיליון אזרחים אוקראינים ברחו למקום מבטחים באמצעות הרכבת. המשלחת האמריקאית איתרה וסילקה ממערכות הרכבת האוקראינית נוזקה מסוג Wiper, המשתקת רשתות מחשב שלמות על ידי מחיקת קבצים מרכזיים לפי פקודה
המימון אושר לאחר שעות בודדות, ומחלקת המסחר של ארה"ב נתנה אישור תוך רבע שעה. שמונה שעות מרגע שהועברה הבקשה, צוות של מהנדסים התקין את התוכנה של Fortinet על השרתים של משטרת אוקראינה ובלם את המתקפה, מספר אדם המכיר את פרטי המבצע המהיר.
העובדה שהמתקפות האלה מתמקדות לעתים קרובות בתוכנות נפוצות – לרוב של יצרניות מערביות – אילצה חברות אמריקאיות ואירופאיות גדולות להקדיש משאבים להגנה על הרשתות האוקראיניות. מיקרוסופט, לדוגמה, מפעילה כבר חודשים מרכז לאיסוף מודיעין על איומים שמשמש כחיץ בין הנוזקות הרוסיות למערכות האוקראיניות.
ב־24 בפברואר, שעות ספורות לפני שהטנקים הרוסיים החלו להיכנס לאוקראינה, מהנדסי מיקרוסופט איתרו ופיצחו נוזקה שהופעלה זמן קצר קודם לכן. כך דיווח בראד סמית, נשיא מיקרוסופט, בבלוג באתר החברה. תוך שלוש שעות שחררה מיקרוסופט עדכון תוכנה נגד הנוזקה, התריעה בפני ממשלת אוקראינה על האיום והפנתה את תשומת לבה למתקפות על שורה של מטרות ובהן הצבא. בעצת הצבא האמריקאי, מיקרוסופט העבירה את האזהרה גם למדינות השכנות החברות בנאט"ו, אמר גורם המעודכן בהחלטה זו, שהתקבלה בשעת לילה מאוחרת.
"אנחנו חברה, לא ממשלה או מדינה," כתב סמית. הוא הוסיף שמיקרוסופט ויצרניות תוכנה אחרות חייבות לשמור על ערנות לאחר שב־2017 התפשטה נוזקה המיוחסת לרוסיה התפשטה מתוך זירת הסייבר האוקראינית אל העולם כולו. הנוזקה שיתקה מחשבים במֶרק, במארסק ובחברות נוספות, וגרמה לנזקים בהיקף של עשרה מיליארד דולר.
עד כה, המומחים העוקבים אחרי מתקפות הסייבר הרוסיות מתקשים להבין את חוסר ההצלחה שלהן, או מדוע הן מתקיימות בקצב, עצימות ותחכום שאינם הולמים את היכולות המוכחות של ההאקרים מטעם ממשלת רוסיה.
גורם אירופאי שתודרך השבוע על ידי האמריקאים בפגישה של נאט"ו, אמר כי ההגנות האוקראיניות עומדות יפה עד כה, והמתקפות הרוסיות היו בינוניות ברמתן. הסיבה לכך, לדבריו, היא שעד כה – בדומה למתרחש בשדה הקרב הפיזי - רוסיה עדיין לא הפעילה את כוחות העילית שלה בתחום הסייבר, אולי מתוך זלזול באוקראינים.
לדוגמה, הוא אמר, במקום לתקשר באופן בלעדי באמצעות טלפונים מקודדים צבאיים, המפקדים הרוסים תופסים טרמפ לפעמים על הרשתות הסלולריות האוקראיניות, ומדי פעם פשוט משתמשים בטלפונים הסלולריים הרוסיים שלהם. "האוקראינים מתים על זה – יש כל כך הרבה מידע שעובר בטלפונים האלה, בין אם הם משתמשים באפליקציות מקודדות או לא", אמר.
ואז, ברגעי מפתח, האוקראינים חוסמים את הטלפונים הרוסים דרך הרשתות המקומיות שלהם כדי לשבש את התקשורת. "ופתאום אתה רואה חיילים רוסים חוטפים טלפונים מאוקראינים ברחוב, או פושטים על החנויות שלהם כדי למצוא כרטיסי סים", אמר. "לא התנהלות מתוחכמת במיוחד. זה די מתמיה".
השתתפו בהכנת הכתבה: מאדהומיטה מורג'ה והאנה מרפי
© The Financial Times Limited 2022. All Rights Reserved. Not to be redistributed, copied or modified in anyway. tech12 is solely responsible for providing this translation and the Financial Times Limited does not accept any liability for the accuracy or quality of the translation.