Chester Wisniewski, hlavní bezpečnostního analytika společnosti Sophos
Když Rusko 24. února 2022 vtrhlo na Ukrajinu, nikdo z nás netušil, jakou roli mohou při plnohodnotné invazi hrát kybernetické útoky. Rusko vedlo kybernetické útoky proti Ukrajině již od roku 2014, kdy obsadilo Krym, a zdálo se nevyhnutelné, že tyto nástroje budou hrát roli, zejména po útocích na krajinskou energetickou síť a vypuštění červa NotPetya do světa.
Jedním z problémů při snaze posoudit účinnost nebo dopad počítačových útoků je pokusit se zjistit, jak zapadají do „celkového obrazu“. Když se nacházíte uprostřed konfliktu, dým války často zastírá a zkresluje náš pohled na účinnost té které akce. Proto se nyní, po více než šesti měsících války, podívejme zpět a pokusme se určit roli kybernetických zbraní až do tohoto okamžiku.
Podle ukrajinské Státní služby speciální komunikace a ochrany informací (SSSCIP) byla Ukrajina od začátku války napadena 1 123krát. Z toho 36,9 % cílů se týkalo vlády či obrany, 23,7 % útoků představoval škodlivý kód a 27,2 % sběr informací.
Kybernetická složka války začala téměř 24 hodin před pozemní invazí. Ve svém deníku o tomto konfliktu jsem si zaznamenal, že útoky typu DDoS a destruktivní útoky typu wiper attack začaly 23. února kolem 16.00 místního času. Ihned poté začala být situace velmi nepřehledná, protože bylo souběžně nasazeno množství různých útoků a technik.
Rozdělme si je do několika kategorií, a poté analyzujme jejich intenzitu, účinnost a cíle. Podle mého názoru spadají do čtyř širokých kategorií: destrukce, dezinformace, hacktivismus a špionáž.
Destrukce
Vzhledem k tomu, jak se válka vyvíjela, když se odchýlila od původního ruského plánu, byly některé z těchto technik v jednotlivých fázích války dosud používány odlišným způsobem. První a nejzřetelnější byla fáze ničivého malwaru.
Od ledna 2022 začali podle SSSCIP (State Special Communications Service of Ukraine) ruští a proruští útočníci vypouštět malware typu wiper a boot sector altering, který byl navržen tak, aby vymazal obsah systému nebo jej vyřadil z provozu. Zaměřovali se především na ukrajinské poskytovatele služeb, kritickou infrastrukturu a vládní organizace.
Tyto útoky pokračovaly během prvních šesti týdnů konfliktu a poté ustaly. Většina této činnosti se soustředila mezi 22. a 24. únorem, tedy před invazí a v jejím průběhu. Toto přípravné obtěžování mělo jistě dopady, ale v konečném důsledku se nezdá, že by mělo nějaký pozitivní vliv na úspěch ruské pozemní invaze.
Několik dní před těmito útoky ukrajinská vláda přesunula mnoho svých oficiálních online funkcí do cloudové infrastruktury spravované a kontrolované nebojujícími třetími stranami, čímž se vyhnula narušení provozu a umožnila Ukrajině zachovat služby a komunikovat se světem. Připomíná to situaci, kdy Gruzie během ruských DDoS útoků v roce 2008 přesunula důležité vládní webové stránky do třetích zemí.
Další ničivý útok byl veden na modemy satelitního komunikačního systému Viasat, které se používaly ve střední a východní Evropě ve chvíli, kdy invaze začala. Podle Raphaela Sattera z agentury Reuters jeden z vysokých ukrajinských představitelů kybernetické bezpečnosti prohlásil, že to mělo za následek „skutečně obrovské problémy s komunikací na samém počátku války“. Tento útok si vyžádal také vedlejší škody na členech NATO, když narušil provoz více než 5 800 větrných turbín v Německu.
Jedná se pravděpodobně o nejvlivnější ze všech útoků vedených během dosavadní války. Vzhledem k tomu, že většina odborníků spekuluje, že Rusko plánovalo 72hodinovou válku, mohlo mít narušení vojenské komunikace významný dopad již na počátku. Naštěstí se ukrajinští velitelé dokázali přeskupit a navázat alternativní komunikaci, aby se narušení minimalizovalo. Z dlouhodobého hlediska je zřejmé, že Rusko se s komunikací v rámci řetězce velení potýkalo mnohem více než Ukrajina.
Možná i díky pomoci technologických společností jako Microsoft a ESET, a také amerických zpravodajských agentur, je úspěch Ukrajiny při zastavování ničivých útoků působivý.
Jedna z nejsofistikovanějších malwarových hrozeb zaměřených na kritickou infrastrukturu byla odhalena a neutralizována, když byla objevena v síti ukrajinského dodavatele energie. Malware známý jako Industroyer2 byl kombinací tradičních destruktivních programů zaměřených na systémy Windows, Linux a Solaris a malwaru specifického pro systémy ICS, který se zaměřoval na provozní technologie (OT) používané k řízení a monitorování energetické sítě.
Microsoft ve své nedávné zprávě upozornil, že mnoho ruských kybernetických útoků bylo zřejmě koordinováno s konvenčními útoky na Dněpr, Kyjev a na letiště Vinnycja. Zatím ale neexistují důkazy, že by kybernetická složka přispěla k nějakému zjevnému pokroku v ruské ofenzivě.
Podle mého odhadu neměly destruktivní kybernetické operace téměř žádný vliv na výsledek kterékoli z dosavadních bitev ve válce. Spoustě lidí způsobily značné problémy, znamenaly další práci pro poskytovatele služeb a řešení kybernetické bezpečnosti – z nichž mnozí věnují svůj čas a znalosti zcela zdarma – a dostaly se na titulní stránky novin, ale nijak hmatatelně neovlivnily směr této války.
Dezinformace a informační válka
Rusku není cizí používat dezinformace jako zbraň k dosažení politických cílů. Zdá se, že jeho původní mise předpokládala rychlé vítězství v podobě vpádu a nastolení loutkové vlády. V rámci tohoto plánu by dezinformace byly klíčové zpočátku ve dvou sférách vlivu, a jak by se válka protahovala, tak ve třech.
Nejzřetelnějším cílem je ukrajinský lid a jeho přesvědčení, že Rusko je osvoboditel, a že má za svého přijmout nového vůdce, přátelského ke Kremlu. Ačkoli se zdá, že Rusové vyzkoušeli četné vlivové operace prostřednictvím SMS a tradičních sociálních sítí, nezdá se, že by s nimi mohli na stále více vlastenecké Ukrajině uspět. Rusko mělo mnohem větší úspěch na domácí půdě, která je jeho druhým nejdůležitějším cílem. Do značné míry zakázalo zahraniční a nezávislá média, zablokovalo přístup k sociálním sítím a kriminalizovalo nazývání invaze válkou.
Dopad těchto akcí na obyvatelstvo lze jen těžko posoudit, i když průzkumy naznačují, že propaganda funguje – nebo alespoň jediný názor, který lze veřejně vyjádřit, je podpora „zvláštní vojenské operace“.
Třetím cílem dezinformací, jak se válka protahuje, je zbytek světa. Snaha ovlivnit státy, jako je Indie, Egypt a Indonésie, může pomoci zabránit tomu, aby v OSN hlasovaly proti Rusku, a také je potenciálně ovlivnit, aby Rusko podpořily.
Podsouvání příběhů o amerických laboratořích na výrobu biologických zbraní, denacifikaci a údajné genocidě ze strany ukrajinské armády má zpochybnit obraz konfliktu v západních médiích. Zdá se, že velká část těchto aktivit pochází spíše od již existujících osob generujících dezinformace než z kompromitovaných účtů nebo jakéhokoli typu malwaru.
Vypadá to, že americké zpravodajské služby hrály rozhodující roli při vyvracení mnoha těchto tvrzení před válkou a často předešly ruským plánům na šíření dezinformací. To přešlo v občanské debunkery, jako je Bellingcat, využívající zpravodajské informace z otevřených zdrojů k ověřování tvrzení uváděných v sociálních médiích.
Dezinformace mají zjevně vliv, ale podobně jako destruktivní útoky v žádném případě přímo neovlivňují výsledek války. Civilisté nevítají ruské jednotky jako osvoboditele a ukrajinské síly neskládají zbraně a nevzdávají se. USA a Evropa Ukrajinu stále podporují a zdá se, že ruský lid je ostražitý, ale nebouří se. Především v posledních dnech ukrajinské síly znovu dobyly území pod ruskou kontrolou a někteří civilisté v okolí Charkova je dokonce vítali jako osvoboditele.
Hacktivismus
Že by se známí a velmi schopní hackeři v celém Rusku a na Ukrajině chopili kybernetických zbraní a rozpoutali ničivé vlny útoků podporující jejich stranu? Na začátku to rozhodně vypadalo, že by tomu tak mohlo být.
Některé známé kyberzločinecké skupiny, jako například Conti a Lockbit, se okamžitě přihlásily k jedné nebo druhé straně, ale většina z nich prohlásila, že se o válku nestarají a budou pokračovat ve svých obvyklých aktivitách. Zhruba šest týdnů po počáteční invazi jsme však pozorovali výrazný pokles ransomwarových útoků. Běžné objemy útoků se obnovily kolem začátku května, což naznačuje, že zločinci měli potíže s narušením dodavatelského řetězce stejně jako my ostatní.
Conti, jedna z nejznámějších skupin, vydávala na svých stránkách výhrůžná prohlášení proti Západu, což vedlo k odhalení informací o identitě členů a praktikách skupiny ukrajinským výzkumníkem, a nakonec i k jejímu rozpuštění.
Na druhé straně se hacktivisté na obou stranách v prvních dnech války rozjeli na plné obrátky. Napadání webových stránek, DDoS útoky a další triviální hackerské útoky se zaměřovaly prakticky na cokoli, co bylo zranitelné a jasně identifikovatelné jako ruské nebo ukrajinské. Netrvalo to dlouho a nezdálo se, že by to mělo nějaký trvalý dopad. Výzkumy ukazují, že je to přestalo bavit a přešli k jinému rozptýlení.
To neznamená, že se žádné další podobné útoky nedějí, spíše to ale nemá podstatný dopad na válku. V nedávné době se například někdo údajně naboural do služby Yandex Taxi a nařídil všem taxíkům, aby se vydaly do centra Moskvy, čímž vytvořil dopravní zácpu.
Špionáž
Poslední kategorii je nejobtížnější kvantifikovat. Může být nesmírně obtížné vyhodnotit dopad něčeho, co je ze své podstaty skryté. Základní metodou odhadu, jak rozsáhlá byla v této válce špionáž, je podívat se na to, kdy byla odhalena, a pokusit se extrapolovat, jak často mohly být pokusy úspěšné, vzhledem k tomu, jak často úspěšné nebyly.
Na rozdíl od destruktivních útoků je utajená povaha špionážních útoků a obtížnost jejich přisuzování užitečnější proti všem cílům protivníka, nejen proti Ukrajině. Stejně jako v případě dezinformací je v tomto prostoru mnohem větší aktivita zaměřená na příznivce Ukrajiny než jiné typy útoků, které by mohly spojence USA a NATO zapojit do pozemní války.
Tvrzení o útocích na neukrajinské subjekty je třeba pečlivě zvažovat. Není nic nového, že Rusko cílí na Spojené státy, Evropskou unii a členské státy NATO pomocí malwaru, phishingových útoků a krádeží dat. V některých případech existují přesvědčivé důkazy, že útoky jsou motivovány právě válkou na Ukrajině.
V březnu 2022 zveřejnila skupina Threat Analysis Group (TAG) společnosti Google zprávu, v níž zmínila ruské a běloruské phishingové útoky, zaměřené na nevládní organizace (NGO) a think-tanky se sídlem v USA, armádu jedné balkánské země a ukrajinského dodavatele obranných zařízení. Společnost Proofpoint rovněž zveřejnila výzkum, podle něhož byli úředníci EU pracující na pomoci uprchlíkům terčem phishingových kampaní pocházejících z ukrajinského e-mailového účtu, který byl údajně dříve kompromitován ruskou rozvědkou.
Ani Rusko samozřejmě není imunní vůči shromažďování a kompromitaci informací. Jak upozornil James Andrew Louis z Centra pro strategická a mezinárodní studia, ruské komunikační technologie byly na počátku invaze nasazené jen z malé části a často nefunkční. To ho vedlo k následujícímu závěru: „Spoléhání se na komunikační systém protivníka vytváří četné možnosti zneužití. Mnozí spekulují, že jedním z důvodů vysokého počtu obětí mezi ruskými vysokými důstojníky bylo to, že jejich zranitelná komunikace umožňovala určit jejich polohu.“
Ruské útoky na ukrajinské cíle nepolevují a jdou tak daleko, že využívají nejnovější zranitelnosti, jakmile jsou veřejně oznámeny. Například v červenci 2022 patřili útočníci z Ruska k těm, kteří široce využívali novou zranitelnost v Microsoft Office nazvanou Follina. Zdá se, že jedním z cílů škodlivých dokumentů v této kampani byly mediální organizace, které jsou během války důležitým nástrojem.
Shrnutí
O válce na Ukrajině se bude ještě dlouho mluvit i učit, poučila nás mnoho o tom, jakou roli mohou v době války hrát kybernetická bezpečnost a kyberútoky. Rusko nebylo dostatečně připraveno a mohlo kybernetické útoky využít mnohem účinnějším způsobem.
V počátečních fázích války se zdálo, že se soustředí na destabilizaci, ničení a rozvrat. Vypadá, že to ztratilo na významu, protože díky odhodlání ukrajinského lidu nebyl splněn ruský plán bleskové války, což si vyžádalo přechod k zaměření na špionáž a dezinformace.
Ještě uvidíme, jak se budou věci vyvíjet, když Rusko před nastávající zimou kontroluje velkou část dodávek energetických zdrojů do Evropy. Zařadí dezinformace vyšší rychlost, aby vyvinuly tlak na evropské lídry, aby zmírnili sankce? Zaměří se zločinecké skupiny na útoky na evropské dodavatele energie, jak jsme to již v malém měřítku viděli?
Válka ještě není u konce a role kybernetických útoků se může vyvíjet novými a nepředvídanými způsoby. Je však nepravděpodobné, že bude hrát rozhodující roli. Přinejmenším v tomto konfliktu je to další nástroj, který se používá ve spojení s ostatními zbraněmi a válečnými nástroji. A stejně jako v jiných aspektech války platí, že silná obrana je často nejlepším útokem. (1.10.2022)