لا تزال الوحدة سيئة السمعة التابعة لوكالة الاستخبارات العسكرية الروسية GRU والمعروفة باسم Sandworm هي الفريق الوحيد من المتسللين الذين تسببوا في انقطاع التيار الكهربائي من خلال هجماتهم الإلكترونية، مما أدى إلى إطفاء الأنوار لمئات الآلاف من المدنيين الأوكرانيين ليس مرة واحدة، بل مرتين خلال العقد الماضي. ويبدو الآن أنه في خضم الحرب الروسية واسعة النطاق في أوكرانيا، حققت المجموعة تمييزًا مريبًا آخر في تاريخ الحرب السيبرانية: فقد استهدفت المدنيين بهجوم انقطاع التيار الكهربائي في نفس الوقت الذي ضربت فيه الضربات الصاروخية مدينتهم، وهو هجوم وحشي وغير مسبوق. مزيج من الحرب الرقمية والمادية.
كشفت شركة الأمن السيبراني Mandiant اليوم أن Sandworm، وهو اسم صناعة الأمن السيبراني للوحدة 74455 التابعة لوكالة التجسس الروسية GRU، نفذت هجومًا ناجحًا ثالثًا على شبكة الكهرباء استهدف مرفقًا كهربائيًا أوكرانيًا في أكتوبر من العام الماضي، مما تسبب في انقطاع التيار الكهربائي عن عدد غير معروف من المدنيين الأوكرانيين. . في هذه الحالة، وعلى عكس أي انقطاع سابق للتيار الكهربائي ناجم عن قراصنة، يقول مانديانت إن الهجوم الإلكتروني تزامن مع بداية سلسلة من الضربات الصاروخية التي استهدفت البنية التحتية الحيوية الأوكرانية في جميع أنحاء البلاد، والتي شملت ضحايا في نفس المدينة التي وقعت فيها المنشأة التي تسببت فيها Sandworm في انقطاع التيار الكهربائي. . بعد يومين من انقطاع التيار الكهربائي، استخدم المتسللون أيضًا قطعة من البرامج الضارة “الممسحة” لتدمير البيانات لمسح محتويات أجهزة الكمبيوتر عبر شبكة الأداة المساعدة، ربما في محاولة لتدمير الأدلة التي يمكن استخدامها لتحليل اقتحامهم.
ورفضت شركة Mandiant، التي عملت بشكل وثيق مع الحكومة الأوكرانية في مجال الدفاع الرقمي والتحقيقات في انتهاكات الشبكة منذ بداية الغزو الروسي في فبراير من عام 2022، تسمية مرفق الكهرباء المستهدف أو المدينة التي تقع فيها. كما أنها لن تقدم معلومات مثل مدة انقطاع التيار الكهربائي الناتج أو عدد المدنيين المتضررين.
تشير شركة Mandiant في تقريرها عن الحادث إلى أنه قبل أسبوعين من انقطاع التيار الكهربائي، يبدو أن قراصنة Sandworm امتلكوا بالفعل كل إمكانيات الوصول والقدرات اللازمة لاختطاف برنامج نظام التحكم الصناعي الذي يشرف على تدفق الطاقة في المحطات الكهربائية الفرعية للمرافق. . ومع ذلك، يبدو أنها انتظرت تنفيذ الهجوم السيبراني حتى يوم الضربات الصاروخية الروسية. وفي حين أن هذا التوقيت قد يكون من قبيل الصدفة، فإنه على الأرجح يشير إلى هجمات إلكترونية ومادية منسقة، ربما تكون مصممة لزرع الفوضى قبل تلك الضربات الجوية، أو تعقيد أي دفاع ضدها، أو زيادة تأثيرها النفسي على المدنيين.
يقول جون هولتكويست، رئيس قسم استخبارات التهديدات في شركة مانديانت، الذي تعقب مجموعة ساندوورم لما يقرب من عقد من الزمن وأطلق عليها اسم المجموعة في عام 2014: “إن الحادث السيبراني يؤدي إلى تفاقم تأثير الهجوم الجسدي”. “للتأكد من أن ذلك كان متعمدًا أم لا. سأقول إن هذا تم تنفيذه من قبل جهة عسكرية وتزامن مع هجوم عسكري آخر. إذا كانت مصادفة، فقد كانت صدفة مثيرة للاهتمام للغاية.”
نيمبلر، المخربون السيبرانيون الأكثر سرية
رفضت وكالة الأمن السيبراني التابعة للحكومة الأوكرانية، SSSCIP، التأكيد بشكل كامل على النتائج التي توصلت إليها Mandiant استجابة لطلب من WIRED، لكنها لم تعترض عليها. كتب نائب رئيس SSSCIP، فيكتور زورا، في بيان أن الوكالة استجابت للانتهاك العام الماضي، وعملت مع الضحية “لتقليل التأثير وتحديده محليًا”. وفي تحقيق على مدار اليومين التاليين لانقطاع التيار الكهربائي والضربات الصاروخية المتزامنة تقريبًا، أكدت الوكالة أن المتسللين عثروا على “جسر” من شبكة تكنولوجيا المعلومات الخاصة بالمرافق إلى أنظمة التحكم الصناعية الخاصة بها وزرعوا برامج ضارة هناك قادرة على التلاعب بالنظام. شبكة.
يُظهر تفصيل مانديانت الأكثر تفصيلاً لعملية الاقتحام كيف تطورت عملية اختراق شبكة GRU بمرور الوقت لتصبح أكثر سرية وذكاءً. وفي هجوم انقطاع التيار الكهربائي الأخير هذا، استخدمت المجموعة نهج “العيش خارج الأرض” الذي أصبح أكثر شيوعًا بين المتسللين الذين ترعاهم الدولة والذين يسعون إلى تجنب اكتشافهم. وبدلاً من نشر برامج ضارة مخصصة خاصة بهم، استغلوا الأدوات الشرعية الموجودة بالفعل على الشبكة للانتشار من جهاز إلى آخر قبل تشغيل برنامج نصي آلي يستخدم وصولهم إلى برنامج نظام التحكم الصناعي بالمنشأة، المعروف باسم MicroSCADA، للتسبب في انقطاع التيار الكهربائي. .
على النقيض من ذلك، في انقطاع التيار الكهربائي الذي حدث في Sandworm عام 2017 والذي ضرب محطة نقل شمال العاصمة كييف، استخدم المتسللون قطعة من البرامج الضارة المصممة خصيصًا تُعرف باسم Crash Override أو Industroyer، القادرة على إرسال الأوامر تلقائيًا عبر عدة بروتوكولات لفتح قواطع الدائرة. وفي هجوم آخر على شبكة الطاقة Sandworm في عام 2022، والذي وصفته الحكومة الأوكرانية بأنه محاولة فاشلة لإثارة انقطاع التيار الكهربائي، استخدمت المجموعة إصدارًا أحدث من تلك البرامج الضارة المعروفة باسم Industroyer2.
