מדינות ציר הרשע מגייסות כנופיות – ופשעי ולוחמת הסייבר משתלבים

פשעי סייבר שנובעים ממניעים כספיים התפתחו והפכו לאיום על ביטחונן של מדינות המערב – כך עולה מדו"ח מודיעין איומים של גוגל. הדו"ח פורסם ערב ועידת הביטחון, שנפתחת מחר (ו') במינכן.

הוועידה האטלנטית, ששמה מהדהד עם ראשי התיבות של נאט"ו, התקיימה בפעם הראשונה ב-1963, כחלק מהמאבק הבין גושי ועל מנת לאפשר שיתוף פעולה בין מערב גרמניה לארצות הברית ולמדינות נוספות שחברות בברית הצפון אטלנטית.

הדו"ח, Cyber crime: A Multifaceted National Security Threat, קובע שקובעי המדיניות במדינות המערב צריכים להתייחס לפשיעת סייבר ממניעים כלכליים "באותה הרצינות שהם מתייחסים למתקפות סייבר שמבוצעות על ידי מדינות".

קשר שמועיל למדינות – אבל הן יכולות להכחיש קשר אליו

לדברי בן ריד, מנהל בכיר בקבוצת מודיעין האיומים של גוגל, "האקו-סיסטם העצום של פושעי הסייבר היווה מאיץ להאקרים aתוקפים בחסות מדינות, וסיפק נוזקות, חולשות ובמקרים מסוימים מתקפות מלאות ליכולת של מדינות. יכולות אלה הן זולות יותר ובעיקר ניתן להכחיש קשר אליהן. איומים אלה נתפסו כנפרדים במשך זמן רב מדי, אך בפועל, המאבק בפשיעת סייבר יסייע בהגנה מפני מתקפות בגיבוי מדינה".

הדו"ח בוחן כיצד מדינות שעוינות את מדינות נאט"ו, ובעיקר רוסיה, סין, איראן וצפון קוריאה, מצטרפות יותר ויותר לקבוצות פושעי סייבר, כדי לקדם את שאיפותיהן הגיאו-פוליטיות והכלכליות. הדו"ח בוחן גם את ההשפעה החברתית העמוקה של פשיעת הסייבר – החל מחוסר יציבות כלכלית וכלה במחיר שהיא גובה מתשתיות קריטיות, כולל מגזר שירותי הבריאות.

לפי מחברי הדו"ח, שיעור הפוסטים באתרי דליפת נתונים הוכפל בשלוש השנים האחרונות. כך, לדוגמה, במרץ אשתקד, Badbone – שחקן בפורום השוק האנונימי הרוסי RAMP, שהיה קשור לכנופיית הכופרות INC – ביקש גישה (לא חוקית) לארגוני רפואה, ממשלה וחינוך הולנדיים וצרפתיים. הוא ציין כי הוא מוכן לשלם 2%-5% יותר מ-"הרגיל" עבור נתוני גישה לבתי חולים – במיוחד כאלה שמפעילים שירותי חירום.

שימושים בפועל

על פי החוקרים מגוגל, "רוסיה, סין, איראן וצפון קוריאה – 'ארבע הגדולות' – השתמשו בפשיעת סייבר, כולל בכופרות, כדי לאפשר ריגול".

בדו"ח מצוין שרוסיה גייסה את פושעי הסייבר שלה על מנת לרגל ולבצע פעולות משבשות, כחלק ממאמץ התמיכה במלחמה באוקראינה. כך, APT44 (המכונה גם Sandworm) – יחידה של GRU, המודיעין הצבאי הרוסי – השתמשה בנוזקות שהיו זמינות, מקהילות פשעי סייבר, כדי לבצע פעולות ריגול ושיבוש באוקראינה.

עוד דוגמה: UNC2589, "אשכול איומים" שפעילותו מיוחסת למרכז הכשרת המומחים ה-161 של המטה הכללי הרוסי (יחידה 29155), ערך מבצעי סייבר בהיקף מלא, כולל מתקפות הרסניות, נגד אוקראינה.

מפעיל גם פושעי סייבר – לפחות על פי הטענות. נשיא רוסיה, ולדימיר פוטין. צילום: ShutterStock

הקבוצה הרוסית CIGAR (המכונה RomCom), שהתמקדה בפשיעת סייבר, ניהלה מבצעי ריגול נגד ממשלת אוקראינה מאז 2022, לפי הדו"ח. "התרחבות הפעילות של CIGAR – מפשעי סייבר לפעילות ריגול שתומכת ביעדי רוסיה, החלה באוקטובר 2022 – אז היא ניהלה קמפיין פישינג נגד ישויות בצבא אוקראינה", נכתב. "CIGAR המשיכה לבצע פעילות חדירה המכוונת בעיקר לאוקראינה ולאירופה במהלך 2023 ו-2024".

באשר לסין, החוקרים ציינו שהיא "מגבירה את פעולות הריגול שלה, תוך שימוש בקבוצות איום כמו APT41, כדי לשלב כופרות עם איסוף מודיעין. ערבוב מכוון של פעילויות כופר עם חדירות ריגול תומך במאמצי ממשלת סין לטשטש את הייחוס אליה. APT41 היא קבלן בשירות המשרד לביטחון המדינה בבייג'ינג. בנוסף לריגול בחסות המדינה, יש ל-APT41 היסטוריה ארוכה של מתקפות ממניעים פיננסיים ומיקוד במגזר משחקי הווידיאו".

"הקשיים הכלכליים של איראן עלולים לעמוד מאחורי מבצעי כופרות, פריצה והדלפה של פושעי סייבר", צוין, "והמדיניות של צפון קוריאה היא גניבת מטבעות קריפטוגרפיים, לטובת מימון של פיתוח טילים ותוכניות גרעין".

השפעות שחורגות מעבר לכסף גנוב או פריצות לנתונים

לפי המחקר של גוגל, "ההשפעות של פשעי הסייבר חורגות מעבר לכסף גנוב או לפריצות לנתונים. אלה שוחקים את אמון הציבור, מערערים את היציבות בשירותים חיוניים ובמקרים החמורים ביותר – עולים בחיי אדם".

"הצלחה רחבה יותר במאבק תדרוש שיתוף פעולה בין מדינות לבין המגזרים הציבורי והפרטי, עם פתרונות מערכתיים, כגון הגברת החינוך ומאמצי החוסן", אמרה סנדרה ג'ויס, סגנית נשיא קבוצת מודיעין האיומים של גוגל. "פשעי הסייבר הפכו, ללא ספק, לאיום קריטי על הביטחון הלאומי של מדינות ברחבי העולם. לצערנו, רבות מהפעולות שלנו (המגינים – י"ה) הסתכמו באי נוחות זמנית עבור הפושעים, אבל אנחנו לא יכולים להתייחס לכך כאל מטרד. נצטרך לעבוד קשה יותר כדי להשפיע משמעותית. על ממשלות להעלות את פשעי הסייבר כעדיפות לביטחון לאומי ולחקות את שיטות האבטחה הטובות ביותר שיש במגזר הפרטי. כופרות וצורות אחרות של פשעי סייבר מנצלות בעיקר ארכיטקטורות טכנולוגיות לא מאובטחות, לעתים קרובות מדור קודם".