מתחילתה, התאפיינה המלחמה באוקראינה בפעילותם של האקטיביסטים, האקרים הפועלים ממניעים פוליטיים או פטריוטיים, משני הצדדים כנגד מטרות של הצד השני. בולטות במיוחד היו קבוצות ההאקטיביסטים הפרו-רוסים, שתקפו מטרות רבות במדינות המערב וגם בישראל.
בעוד שתופעת ההאקטיביזם אינה חדשה, במהלך המלחמה נרשמו מספר מגמות שעשויות להשפיע על היקף ואיכות יכולותיהם של גורמים זדוניים אלו ולהשליך בתוך כך על ארגונים ברחבי העולם, וכן בישראל.
באפריל האחרון, הותקפו אתרי רשת בישראל על ידי קבוצת האקרים המכונה אנונימוס סודאן. בין הגופים שאתריהם הותקפו היו גופי ממשלה, בנקים, בתי חולים, אוניברסיטאות, דואר ישראל, המוסד ועוד. בעוד שהקבוצה, הממשיכה מדי פעם לתקוף מטרות ישראליות, טענה כי מניעיה נובעים מיחסה של ישראל כלפי הפלסטינים והאסלאם, ראיות רבות מצביעות על קשר כזה או אחר בינה לבין קבוצת ההאקרים הפרו-רוסית Killnet, הפועלת כנגד ארגונים ומדינות התומכות באוקראינה או מדינות שהודיעו כי יאכפו את הסנקציות נגד רוסיה.
מרבית התקיפות שיוחסו לקבוצות ההאקטיביסטים הפרו-רוסים הן תקיפות מניעת שירות מבוזרת (DDoS) במהלכן מציפים התוקפים את שרתי הרשת שמארחים את האתרים של ארגוני המטרה בבקשות מידע עד לקריסתם. על מנת לבצע תקיפות מסוג זה, השתמשו התוקפים בכלי תקיפה המסוגלים לייצר היקף גבוה מאוד של תעבורת רשת או משתלטים על מכשירים של משתמשים ברחבי העולם, מקימים באמצעותם רשת בוטים (Botnet) ומשתמשים בה על מנת לייצר תעבורת רשת מתואמת ממכשירים רבים לטובת הפלת שרת המטרה. תופעה זו, המשמשת לעוד סוגי תקיפות, נעשת ללא ידיעתם של המשתמשים. עם זאת, נראה כי חל שינוי באופן ובתפיסת ההפעלה של רשתות בוטים אלו.
ביולי 2022, הכריזה קבוצה רוסית המכונה NoName057(16) על פרויקט DDosia, במסגרתו מגייסת הקבוצה מתנדבים שיורידו מרצון למחשביהם תוכנה שתאפשר לקבוצה להשתמש בהם לצורך מתקפותיה. כמו כן, מציעה הקבוצה פרס כספי למתנדבים שמחשביהם היו מעורבים בתקיפות שהוגדרו כמוצלחות.
מגמה זו משמעותית, משום שלמרות שהיא מתקיימת בהיקף לא ידוע, היא מאפשרת לקהלים רחבים יותר של משתמשים לקחת חלק בתקיפות סייבר, ללא השלכות כלל. בעוד שתקיפות DDoS אינן דורשות יכולות טכניות גבוהות, הרי שהשיטה החדשה מאפשרת למשתמשים ללא ניסיון טכני כלל לקחת חלק בתקיפות. הדבר גם שונה מהדבקת מחשביהם בתוכנות המשתלטות עליהם ללא ידיעתם, משום שמערכות ההגנה של המחשב עשויות להיות מעודכנות ולמנוע את ההדבקה, בעוד שכשהדבר נעשה מרצון ועם שיתוף פעולה מצד המשתמש, הסיכוי להצלחת ההשתלטות על המחשב לצורך התקיפה בשלב הבא, גדל משמעותית.
שנית, ניכרת מגמה של התמסדות הקבוצות. בעוד שבעבר היה מדובר בקבוצות מבוזרות ללא מבנה היררכי או פיקודי, הרי שכעת מחזיקות הקבוצות במבנה היררכי הכולל "מפקדים" וקבוצות משנה הפועלות כמעט כמו יחידות צבאיות ומופקדות על ביצוע תקיפות באזורים גיאוגרפיים ובמדינות ספציפיות. הארגון והתיאום של הקבוצות, לצד פעילות המיתוג שלהן והאידיאולוגיה הלאומית המוצהרת, מאפשרות להם לגייס חברי צוות בעלי מיומנויות גבוהות יותר וכן להשיג את המימון הנדרש עבור תכנית המתנדבים ובכך להגדיל את מספר המשתתפים. דוגמא לכך היא קבוצת Killnet, שערוץ הטלגרם הרשמי שלה כולל קרוב ל-100 אלף עוקבים וחברים. גם אם חלק מעוקבים אלו הם חוקרים העוקבים אחרי פעילותה, הרי שעדיין מדובר במספרים גבוהים.
שלישית, קשרים עם ממשלות וגופי מודיעין. בעוד שהמחקר מתח בעבר קווים ברורים המפרידים בין סוגי תוקפים במרחב הסייבר על פי המוטיבציה שלהם והבחין בין האקרים הפועלים בחסות מדינות לבין האקרים הפועלים במסגרת השקפת עולם ודעה פוליטית או חברתית, קווים אלו התערערו בעקבות המלחמה. דוגמה אחת היא צבא ה-IT של אוקראינה שהחל כקבוצת מתנדבים, אולם בכירים בממשלת אוקראינה התייחסו במספר הזדמנויות לרצונם לגייס מתנדבים לצבא ה-IT ואף החלו לקדם חוק במרץ 2023 להסדרתם מעמדם ולשילובם בשורות צבא אוקראינה. דוגמה נוספת היא קשרים בין קבוצות ההאקטיביסטים הפרו-רוסים לבין גופי המודיעין של רוסיה.
בינואר, פרסמה חברת מודיעין הסייבר Mandiant מחקר, שמצא כי מידע של ארגונים אוקראינים שהותקפו בידי יחידות האקרים המסונפות למודיעין הצבא של רוסיה, הודלף בתוך 24 שעות על גבי ערוצי הטלגרם של קבוצות האקטיביסטים.
רביעית, בעקבות קשרים בין קבוצות אלו לבין עברייני סייבר ואף גופי מודיעין, מסתמנת עלייה בתחכום או במורכבות יכולותיהם. כאמור, מרבית הפעילות ההאקטיביסטית בעולם נקשרה לרוב לתקיפות DDoS ולהשחתת אתרים. בעוד שתקיפות DDoS לא נתפסות לרוב כבעלות השלכות אסטרטגיות ברמת המדינה, חוקרים מצאו ראיות לכך שקבוצות אלו החלו להפעיל יכולות מתקדמות יותר כגון שימוש בתוכנות כופרה ו-wipers, המצפינות או מוחקות מידע בהתאמה, ומובילות להשבתת מערכות ומכשירים. דוגמה לכך, הן אזהרות שפורסמו בנושא שיתוף הפעולה של קבוצות Killnet ואנונימוס סודאן עם קבוצת הכופרה הידועה לשמצה Revil שמטרתו המוצהרת היא לתקוף את ענפי הבנקאות והפיננסים באירופה ובארה"ב, על מנת לשבש את מימון הרכש של נשק עבור אוקראינה.
תופעת השתלבותם של מתנדבים במסגרת מאמץ לחימתי אינה חדשה כלל, אולם מאפייניו של מרחב הסייבר מאפשרים השתתפות נרחבת הרבה יותר ללא תלות במיקומם הגיאוגרפי של המשתתפים ובאופן גובר והולך, גם לא במיומנויותיהם. עם זאת, מיסודן של קבוצות אלו לצד התפתחויות ביכולותיהן עשויים להרחיב את מידת האיום הנשקף מהן ולחייב מדינות, שעד כה לא עסקו בניסוח מענים לבעיית ההאקטיביסטים, לנסח פתרונות ויוזמות להתמודדות עם התופעה. עבור המדינות שבשמן פועלות קבוצות אלו, ובראשן רוסיה, קיים אינטרס לשמר את פעילותן שכן היא מקנה להן מרחב הכחשה. לפיכך, על מדינות המערב להגביר את המעקב והניטור של קבוצות אלו ויכולותיהן, להרחיב את שיתוף המידע והמודיעין עם המגזר הפרטי ולפעול בזירה הבין-לאומית על מנת לנסח מהלכים לפגיעה בערוצי המימון של קבוצות אלו ובתשתיותיהן.
הכותב הוא חוקר במרכז למחקר סייבר באוניברסיטת ת"א, אשר יערוך בין 26-29.6 את שבוע הסייבר השנתי באוניברסיטת ת"א בשיתוף מערך הסייבר הלאומי, משרד הכלכלה ומשרד החוץ