"הרוסים ממירים קריפטו ליורו עם רובלים ולהיפך באתר BestChange", נכתב בהודעה בקבוצת הטלגרם של צבא הסייבר האזרחי ה-IT Army of Ukraine, יחד עם לינק לאתר. "אתם יודעים מה לעשות ;)". "עדיפות עליונה", נכתב בהודעה אחרת שקיבלה קרוב ל-4,000 לייקים, "המפה הלווינית Glonass, מערך הרכבות הבלרוסי, חברות טלקום רוסיות (MTS, Beeline), הבנק המרכזי הרוסי, מפעילי כספומטים (סברבנק, VTB, גזפרומבנק)". לא עברו כמה שעות ומערכת הרכבות הבלרוסית אכן הושבתה.
אלה רק 2 דוגמאות מהודעות שעולות באופן יומיומי כבר שבוע בקבוצת ה-IT Army of Ukraine בטלגרם. זהו אחד האירועים הייחודיים של המלחמה הנוכחית, צבא סייבר מדינתי מאולתר, המונה כרגע למעלה מ-290 אלף חברים בקבוצה. על פניו, ההתגייסות אפקטיבית: דניס פוזולוטין, סמנכ"ל טכנולוגיה וחדשנות חברת אינוקום מקבוצת אמן, המעניקה פתרונות הגנות תקשורת וסייבר, טוען כי רואים שינוי מהותי ביחס תקיפות הסייבר נגד רוסיה מיום הקמת ה-IT Army והלאה. "מה-26 בפברואר רואים עלייה ברורה בתקיפות סייבר נגד נכסים ברוסיה ויש קורלציה בין ההתגברות בתקיפות לפעילות הזו של צבא ה-IT. מלחמת הסייבר החלה עוד הרבה לפני, אבל להערכתי, זה היה מהלך חיוני לאוקראינים", אומר פוזולוטין ל-tech12. "מפיסות המידע שמגיעות מרוסיה, לא יודעים עד כמה יעילות ההתקפות, אבל יודעים שהן היו, ביניהן הייתה התקפה גדולה על שירות החוץ הרוסי ב-3 במרץ, שגם דווחה בתקשורת הרוסית".
"המערב מנצל את צבא ה-IT לאינטרסים שלו"
על הקמת צבא הסייבר המאולתר, סגן ראש ממשלת אוקראינה מיכאלו פדורוב, הכריז דווקא בטוויטר. "אנחנו מקימים צבא IT. אנחנו זקוקים לטאלנטים דיגיטליים", כתב ב-26 בפברואר ושם לינק לקבוצה, בפוסט שזכה בלמעלה מ-22 אלף פברוטים ו-10 אלפים ציוצים מחדש. "יהיו משימות לכולם. אנחנו ממשיכים ללחום בחזית הסייבר. המשימה הראשונה נמצאת בערוץ".
We are creating an IT army. We need digital talents. All operational tasks will be given here: https://t.co/Ie4ESfxoSn. There will be tasks for everyone. We continue to fight on the cyber front. The first task is on the channel for cyber specialists.
— Mykhailo Fedorov (@FedorovMykhailo) February 26, 2022
הפעילות בתוך הקבוצה מנסה לרכז מאמצים בכל פעם ביעד אחר. מנהלי ה-IT Army מגדירים מטרות, משתפים על האתרים שנפלו ומיידעים כשאתרים שהופלו חזרו לעבוד. הם מדרבנים את החברים לתקוף בכל חזית אפשרית. עוד פן של הקבוצה הוא הפעלת בלוגרים ומשפיעני רשת דוברי רוסית לניהול מלחמת התודעה בקרב הקהל הרוסי.
התקיפות עצמן אינן מורכבות. מרבית חברי הקבוצה הם מתכנתים חסרי ניסיון והתקיפות שהם מצליחים לבצע הם תקיפות DDoS פשוטות שמעמיסות על שרתים של אתרים וגורמות להם לקרוס. פעולות אחרות שנעשות הן השתלטות פיזית על אתרים והכנסת סיסמאות אנטי-מלחמתיות ותמונות של זוועות המלחמה.
אבל ייתכן שההתארגנות מעוררת ההשראה והספונטנית הזו, כבר חצתה את גבולות אוקראינה. רם לוי, מייסד ומנכל חברת הסייבר Konfidas ומרכז וועדת הסייבר של ראש הממשלה לשעבר, אומר שייתכן וצבא ה-IT, כמו גם קבוצת אנונימוס, הם כסות לפעילות סייבר דווקא של מדינות המערב נגד רוסיה. "להערכתי המערב מנצל את ההזדמנות ואת ה-IT Army לתקוף את רוסיה ולתת מכה לארגוני פשיעת הסייבר הרוסיים, בהן Conti ו-Trickbot", אומר לוי.
תסביר. זה נראה מתקפות מאוד פשוטות באופן יחסי, של חובבנים.
"בקבוצת הטלגרם הזו עושים בעיקר DDoS, אבל יש שם אנשים שישבו הרבה מאוד זמן לפני והתכוננו לזה. הם רק פרסמו שמערכת הרכבות בבלארוס על הכוונת - והיא הושבתה. כמה אנשים אתה מכיר שיודעים להשבית מערכת רכבות? האקינג זה תהליך ארוך, שדורש צוות גדול והכנות של שנים. אז מישהו היה צריך לעשות את עבודת ההכנה.
"רק לפני יומיים אנונימוס הדליפו את מה שהם טוענים שזו תוכנית המלחמה הרוסית באוקראינה, שהראתה שהפלישה הייתה אמורה להסתיים ב-6 במרץ. היכולות של אנונימוס אף פעם לא היו בשמיים, כך שייתכן ומדינות משתמשות בכסות של אנונימוס וצבא IT כדי לבצע פעילות סייבר ענפה נגד רוסיה".
ואיך זה מגיע לארגוני פשיעה ברוסיה?
"קורה משהו לא פחות מדרמטי. ארגוני הפשיעה הרוסים, שעד עכשיו תקפו חברות במערב יחד לצרכי כופר, התפצלו ועכשיו יש ארגונים פרו רוסיים וחלקם פרו אוקראיניים. אז רוסיה שהייתה תמיד תוקפת, הפכה למתגוננת וכמות התקיפות מטורפת. והתקיפות מגיעות מכל הכיוונים.
"במקביל, נראה שהמערב מטרגט את הכנופיות, ששנים ניסו להגיע אליהן ולא הצליחו ומדובר בקבוצות שתוקפות בתי חולים ומטרות אזרחיות לשם כופרה. מדובר בביזנס רציני, המעקבים אחרי ארנקי הקריפטו הראו שהם הכניסו 2.7 מיליארד דולר ב-4 שנים האחרונות, וזה מארנק אחד בלבד. לדעתי המערב חיכה לרגע הזה ויש כוח מאוד גדול שמתדלק את מלחמת הסייבר, אבל זה מסוכן כי זה יכול לצאת משליטה".
מה זה "לצאת משליטה"?
"ב-2017 הרוסים עשו מתקפה שיצאה משליטה. הם גנבו כלי תקיפה מה-NSA והכניסו אותו לתוך תוכנת הנהלת חשבונות אוקראינית. וזו הותקנה בלא מעט חברות בינ"ל ענקיות, בהן חברת הספנות הגדולה בעולם. וכשהנוזקה הופעלה, המון חברות נפגעו - ונמחקו גם מסמכים שלא היו על הכוונת של התוקפים. מספיק שחברה קטנה שמספקת מידע לחברת ביטוח והיא חשופה, אז היא יכולה להשבית את כל החברה. ראינו את זה בסולארווינדז (מתקפת סייבר חמורה שהתרחשה בארה"ב, א"ל). תוקפים ספק קטן והוא משבית את החברות הגדולות. זה יכול לקרות גם בישראל. ראינו הרבה תקיפות של גורמים רוסיים, כולל של Conti, פה בארץ. אני מניח שהרוסים ילכו יותר לארה"ב, אנגליה ומדינות מערביות, אבל גם ישראל לא מוגנת ובהחלט יכולה לחטוף ישירות או בעקיפין".
"ב-2017 הרוסים עשו מתקפה שיצאה משליטה. הם גנבו כלי תקיפה מה-NSA והכניסו אותו לתוך תוכנת הנהלת חשבונות אוקראינית. וזו הותקנה בלא מעט חברות בינ"ל ענקיות, בהן חברת הספנות הגדולה בעולם. וכשהנוזקה הופעלה, המון חברות נפגעו - ונמחקו גם מסמכים שלא היו על הכוונת של התוקפים"
"קח את Viasat, זו החברה שמספקת אינטרנט ללווינים ולמטוסים, פרצו אליהם בחודש שעבר, זה השבית 3,000 טורבינות בגרמניה. בתקיפת ה-Wiper האחרונה באוקראינה יש נזק שמוערך ב-10 מיליארד דולר. כך שאין ערובה שהתקפה רוסית שממוקדת באוקראינה לא תתפשט למקומות אחרים בעולם. עכשיו החברות האמריקאיות שעוזרות לאוקראינים הן גם מטרה וזה בקלות יכול להגיע לישראל".
"טלגרם הפכה למאגר מודיעיני"
הבחירה בטלגרם לפעילות נובעת מהעובדה שניתן לצרך מאות אלפי משתמשים לחשבון אחד, אבל לוי סבור שזו רשת לא מספיק מאובטחת. "טלגרם פחות בטוחה לשימוש ממה שחושבים והיה עדיף להשתמש בוואטסאפ שבטוחה בהרבה ושיודעים בוודאות מי הבעלים שלה", הוא מסביר.
רשת המסרים המיידיים שייכת לאחים המיליארדרים ניקולאי ופאבל דורוב, רוסים גולים שהקימו לפני כן את הרשת החברתית VK, הפופולרית ביותר ברוסיה. הם ברחו מרוסיה לאחר שטענו שמקורביו של ולדימיר פוטין השתלטו להם על הרשת, ומאז הם נודדים בעולם ונמצאים בגלות מרצון.
"אנחנו לא בטוחים אם טלגרם לא נמצאת בחלקה בשליטה רוסית", מוסיף לוי, "אבל יש להם אינטרס ברור להיות שם בשל היות האפליקציה מאגר מודיעיני. בשבוע שעבר הייתה שמועה שפרצו למתחרה הגדולה, סיגנל, אבל בסיגנל הכחישו. בעקבות הדיווח הרבה אוקראינים עברו לטלגרם ונראה שהיה גורם בעל אינטרס שרצה שזה יקרה", סיכם.
בינתיים, גם ב-IT Army עצמו מניחים שבתוך מאות האלפים שנמצאים בקבוצה, יש גם לא מעט סוכנים רוסים שעוקבים אחרי פעילותה.