האסון בדרך: האקרים רוסים תקפו את תשתיות המים באוקראינה

שירותי הבטחון באוקראינה מדווחים כי סיכלו נסיון תקיפה רוסי על מתקן הכלרה השייך לתשתית המים במדינה, ומוסיפים כי ייתכן ופגיעה במתקן הייתה גורמת לאסון כבד

יוסי לוי | 16.07.2018

מתקן לזיקוק מים ,צילום: Fotolia | צילום: צילום: fotolia

שירות הביטחון החשאי האוקראיני, ה-SBU, ארגון הביון והביטחון המרכזי באוקראינה הממונה על סיכול ריגול ופעולות טרור, הודיעו בסוף השבוע האחרון על חשיפת מתקפת סייבר רוסית שכוונה כנגד תשתיות קריטיות במדינה.

בהודעה רשמית שהעלה הארגון בעמוד הפייסבוק שלו, דווח כי אנשיו סיכלו נסיון חדירה לתחנת אולסקה (Aulska), מתקן טיהור מים הממוקם בעיירה אולי במחוז דניפרופטרובסק על גדות נהר הדנייפר. מדובר במתקן השייך לתשתיות הקריטיות במדינה והמשמש כתחנת הכלרה למי שופכין ומי קולחין. ממה שידוע עד כה נראה כי התחנה אמונה על חיטוי המים העוברים דרכה באמצעות הכלרה, חיטוי באמצעות הוספת תרכובות כלור.

"עובדי שירות הביטחון של אוקראינה בלמו ניסיון תקיפה של השירות החשאי הרוסי שכוון כנגד תשתיות קריטיות במדינה" נכתב בהודעה. "כחלק מהמתקפה, שכוונה כנגד ציוד הרשת בתחנת "Aulska", הודבקו מערכות בקרת תהליכים ומערכות התראה שונות בנוזקת ה-VPNFilter, וירוס מחשב רוסי. מתקפת הסיייבר המדובר עלולה יתה להוביל לקריסת תהליכים בתחנה, אשר מספקת כלור נוזלי, ונראה כי התוקפים התכוונו לגרום לאסון פוטנציאלי".

מהדיווח הרשמי עולה כי התוקפים עשו שימוש בנוזקת ה-VPNFilter שנתגלתה לראשונה בחודש מאי האחרון, ואשר משוייכת לקבוצת התקיפה APT28 המכונה גם Fancy Bear - אותה קבוצת האקרים נודעת לשימצה המשוייכת ליחידת המודיעין של צבא רוסיה שאחראית בין היתר גם לפריצה למחשבי המפלגה הדמוקרטית בארה"ב בשנת 2016. בדו"ח שפירסמה טאלוס, חברת אבטחת המידע של סיסקו, נחשף כי נוזקת ה-VPNFilter טומנת בחובה גם העתק זהה לנוזקת ה"Black Energy", אותה נוזקה שעלתה לכותרות בשנת 2015 באחת מתקיפות הסייבר הדרמטיות בהיסטוריה אשר הובילה לשיתוק מערכת החשמל במערב אוקראינה. כזכור, גם המתקפה ההיא שוייכה לרוסיה. יש לציין כי בשנים שחלפו מאז פלישת רוסיה לחצי האי קרים, ומאז פריצת מלחמת האזרחים במדינה (זו שרוסיה מנהלת מרחוק), נראה כי אוקראינה הפכה למגרש הניסויים של יחידות הסייבר הרוסיות.

מתקן טיהור מים( צילום: fotolia) | צילום: צילום: fotolia

מהדוחות שפורסמו על נוזקת ה-VPNFilter, בעיקר על ידי צוותי החוקרים של סיסקו וסימנטק, מצטיירת תמונה של פלטפורמת ריגול ותקיפה מודולורית שניתנת לשינוי בכל עת אשר מתמקדת בראוטרים ורכזות תקשורת. נראה כי התקיפה באמצעות הנוזקה החמקמקה הזו, שנצפתה לראשונה באוקראינה בחודש מאי השנה, נעשית בשלושה שלבים: בשלב הראשון הנוזקה מקבעת עצמה בנתב הנגוע כך שהיא תשרוד גם אתחול כפוי (reboot). בשלב השני הנוזקה מנטרת את כל תעבורת המידע במערכת, כשהיא מסוגלת גם לגנוב את המידע ולהעבירו לשרת חיצוני. השלב השלישי, והמורכב יותר, כולל כבר הזרמת תת תוכנות (מודולים) שונות לתוך מערכת המחשוב שנחדרה.

בשלב הזה לא ידועים יותר מדי פרטים על המתקפה המדוברת באוקראינה, ולמרות שנטען כי זו נבלמה, הרי שאיום נוזקת ה-VPNFilter רחוק מלהסתיים. מומחים מעריכים כי למעלה מחצי מיליון נתבים ורכזות רשת ברחבי העולם נדבקו בנוזקה. מאחר והרכזות והנתבים הללו מחוברים למערכות מיחשוב אחרות, הרי שיש מי שטוען שמספר המחשבים שנפגעו בפועל מהנוזקה עולה על הנתון הזה לאין שיעור.