على الرغم من هذا الحجم الهائل من البرمجيات الخبيثة للمسحات ، فإن الهجمات الإلكترونية الروسية ضد أوكرانيا في عام 2022 بدت من بعض النواحي غير فعالة نسبيًا مقارنة بالسنوات السابقة من الصراع هناك. شنت روسيا حملات حرب إلكترونية مدمرة متكررة ضد أوكرانيا منذ ثورة البلاد عام 2014 ، وكلها مصممة على ما يبدو لإضعاف عزم أوكرانيا على القتال ، وزرع الفوضى ، وجعل أوكرانيا تبدو للمجتمع الدولي كدولة فاشلة. من عام 2014 إلى عام 2017 ، على سبيل المثال ، نفذت وكالة المخابرات العسكرية الروسية GRU سلسلة من الهجمات الإلكترونية غير المسبوقة: لقد عطلت ثم حاولوا انتحال نتائج الانتخابات الرئاسية في أوكرانيا لعام 2014 ، وتسببوا في أول انقطاع للتيار الكهربائي على الإطلاق أطلقه المتسللون ، وأخيراً أطلقوا العنان لـ NotPetya ، قطعة من البرمجيات الخبيثة الممسحة ذاتية التكرار أصابت أوكرانيا ، ودمرت مئات الشبكات عبر الوكالات الحكومية والبنوك والمستشفيات والمطارات قبل أن تنتشر على مستوى العالم لتتسبب في أضرار لا مثيل لها بقيمة 10 مليارات دولار.
لكن منذ أوائل عام 2022 ، تحولت الهجمات الإلكترونية الروسية ضد أوكرانيا إلى مسار مختلف. بدلاً من روائع الشفرات الخبيثة التي تطلبت شهورًا لإنشاء ونشر ، كما هو الحال في حملات الهجوم الروسية السابقة ، تسارعت هجمات الكرملين الإلكترونية إلى أعمال تخريبية سريعة وقذرة ولا هوادة فيها ومتكررة وبسيطة نسبيًا.
في الواقع ، يبدو أن روسيا ، إلى حد ما ، قد استبدلت الجودة بالكمية في كود الماسحة الخاص بها. كانت معظم المساحات التي يزيد عددها عن عشرة ماسحات والتي تم إطلاقها في أوكرانيا في عام 2022 بدائية ومباشرة نسبيًا في تدمير بياناتها ، مع عدم وجود أي من آليات الانتشار الذاتي المعقدة التي شوهدت في أدوات ممسحة GRU القديمة مثل NotPetya أو BadRabbit أو Olympic Destroyer. في بعض الحالات ، يظهرون حتى علامات على وظائف البرمجة السريعة. استخدمت HermeticWiper ، وهي إحدى أدوات المسح الأولى التي ضربت أوكرانيا قبيل الغزو في فبراير 2022 ، شهادة رقمية مسروقة لتظهر شرعية وتجنب الكشف عنها ، وهي علامة على التخطيط المعقد قبل الغزو. لكن HermeticRansom ، وهو متغير في نفس عائلة البرامج الضارة المصممة لتظهر كبرنامج فدية لضحاياها ، تضمنت أخطاء برمجية قذرة ، وفقًا لـ ESET. كانت أداة HermeticWizard ، المصاحبة المصممة لنشر HermeticWiper من نظام إلى آخر ، شبه مخبوزة بشكل غريب. تم تصميمه لإصابة الأجهزة الجديدة بمحاولة تسجيل الدخول إليها باستخدام بيانات اعتماد مشفرة ، ولكنها جربت فقط ثمانية أسماء مستخدمين وثلاث كلمات مرور فقط: 123 و Qaz123 و Qwerty123.
ربما كان أكثر الهجمات الضارة التي شنتها روسيا على أوكرانيا في عام 2022 تأثيرًا هو AcidRain ، وهو جزء من كود لتدمير البيانات استهدف أجهزة مودم القمر الصناعي Viasat. لقد أدى هذا الهجوم إلى تعطيل جزء من الاتصالات العسكرية لأوكرانيا ، بل وانتشر إلى قدرة أجهزة المودم عبر الأقمار الصناعية خارج البلاد ، مما أدى إلى تعطيل مراقبة البيانات من آلاف توربينات الرياح في ألمانيا. يشير الترميز المخصص اللازم لاستهداف شكل Linux المستخدم في أجهزة المودم هذه ، مثل الشهادة المسروقة المستخدمة في HermeticWiper ، إلى أن قراصنة GRU الذين أطلقوا AcidRain قد أعدوه بعناية قبل الغزو الروسي.
ولكن مع تقدم الحرب – ومع تزايد ظهور روسيا غير مستعدة للصراع طويل الأمد الذي غرقت فيه – تحول قراصنةها إلى هجمات قصيرة المدى ، ربما في محاولة لمواكبة وتيرة الحرب الجسدية مع التغيير المستمر الخطوط الأمامية. بحلول مايو ويونيو ، أصبحت GRU تفضل بشكل متزايد الاستخدام المتكرر لأداة تدمير البيانات CaddyWiper ، وهي واحدة من أبسط عينات المساحات. وفقًا لـ Mandiant ، نشرت GRU CaddyWiper خمس مرات في هذين الشهرين وأربع مرات أخرى في أكتوبر ، غيرت رمزها بما يكفي لتجنب الكشف عن طريق أدوات مكافحة الفيروسات.
ومع ذلك ، استمر انفجار متغيرات المساحات الجديدة فقط: ESET ، على سبيل المثال ، تسرد Prestige ، و NikoWiper ، و Somnia ، و RansomBoggs ، و BidSwipe ، و ZeroWipe ، و SwiftSlicer باعتبارها أشكالًا جديدة من البرامج الضارة المدمرة – التي غالبًا ما تتظاهر بأنها برامج فدية ظهرت في أوكرانيا منذ أكتوبر فقط.
لكن ESET لا ترى هذا الطوفان من المساحات كنوع من التطور الذكي ، بقدر ما هو نوع من نهج القوة الغاشمة. يبدو أن روسيا ترمي كل أداة تدميرية محتملة على أوكرانيا في محاولة للبقاء في صدارة المدافعين عنها وإحداث أي فوضى إضافية في خضم صراع جسدي طاحن.
يقول روبرت ليبوفسكي ، الباحث الرئيسي في استخبارات التهديدات في ESET: “لا يمكنك القول إن تطورهم التقني يتزايد أو يتناقص ، لكن يمكنني القول إنهم يجربون كل هذه الأساليب المختلفة”. “إنهم جميعًا في الداخل ، ويحاولون إحداث الفوضى وإحداث اضطراب.”
