Kybernetická válka na Ukrajině

Válka na východní Ukrajině již dávno není omezena pouze na Doněcko–Luhanskou oblast ani na formu ozbrojeného konfliktu. Konflikt mezi Ruskem a Ukrajinou se také odehrává v kyberprostoru.

Kolem 17:00 dne 23. prosince 2015 nahlásila energetická firma Prykarpattyaoblenergo výpadek elektřiny v Ivano-Frankovské oblasti. Později vyšlo najevo, že se jednalo o masivní kybernetický útok, který odpojil 30 rozvoden a 80 000 lidí. Do této doby byla kybernetické válka na Ukrajině značně omezená, často popisovaná jako válka, která se nikdy nestala. Jak změnil útok na elektrickou síť kybernetickou válku na Ukrajině? Je kyberválka nyní opravdovou hrozbou?

Před ukrajinskou revolucí v roce 2013 se kybernetický prostor na Ukrajině nijak nelišil od ostatních ve východní Evropě. Případy kybernetické kriminality zahrnovaly typické problémy jako phisingové kampaně, ransomware (software zamykající přístroj uživatele a požadující platbu za jeho zpřístupnění), obchodní špionáž, ale také hacktivismus a kybernetický vandalismus v podobě DDoS útoků nebo defacementu stránek (nahrání vlastního obsahu na cílené stránky) veřejných institucí. Kybernetické prostředí se ale ihned po revoluci změnilo. Podle šéfa ukrajinského CERTu Nikolaye Kovala se již během revoluce posunula úroveň a sofistikovanost kybernetických útoků a používaného malwaru. Šéf kyjevské pobočky mezinárodní firmy pro IT bezpečnost ISACA Gliba Pakarenka dodal, že události na Majdanu následovaly dva týdny neustálých DDoS útoků. Politický kontext, cíle, načasování a vysoká technologická úroveň útoků naznačily, že za nimi stojí velmi dobře financovaný tým, plný zkušených odborníků s jasnými politickými zájmy zaměřujícími se na ukrajinské státní cíle.

Jeden z předchozích největších kybernetických útoků na Ukrajině se stal 21. května 2014, kdy skupina označovaná jako CyberBerkut zaútočila během prezidentských voleb na stránky Ústřední volební komise (CEC), které živě přenášely volební výsledky. Stránky byly po dobu 20 hodin nedostupné a jako vítěz voleb radikálního Pravého sektoru na nich byl později zobrazen lídr Dimitry Yarosh. Jednalo se o sofistikovaný a dlouho plánovaný útok. CyberBerkut údajně k útoku na CEC využilo zranitelnost nultého dne, což je většinou výsada států nebo minimálně státem financovaných skupin, neboť zranitelnosti nultého dne jsou drahé a pro nestátní aktéry mnohem hůře získatelné. Zranitelnosti nultého dne jsou chyby v softwaru, které mohou vzniknout při jeho vytváření, a jejich znalost se ihned stává jednou z největších zbraní hackerů. Tento incident přesně vystihoval charakter kybernetických útoků na Ukrajině, protože byl čistě politického a informačního rázu, a jde ruku v ruce s celkovým přístupem Ruska ke kyberprostoru. Rusko výhradně mluví o informační bezpečnosti, ne kybernetické, stejně tak jako o konceptu využívání informací jako zbraně. Jedná se o přístup, který v kontextu ruské propagandy a manipulace s informacemi není překvapivý. Útoky na zpravodajské servery a mediální skupiny ale rozhodně nejsou jednostrannou záležitostí, a jak prozápadní, tak i proruské zpravodajské agentury zasáhlo na Ukrajině několik útoků.

Mezi aktéry stojícími za kybernetickými kampaněmi na Ukrajině patří skupiny Ourobros nebo Sandworm, známá jako APT29, která stála za útokem na firmu Prykarpattyaoblenergo. Nejpozoruhodnější skupinou je ovšem APT28, která je aktivní mimo Ukrajinu, a to v Turecku, Polsku, Maďarsku, Baltských státech, na Kavkaze, v Norsku a v organizacích jako je NATO a OBSE. Jedná se o jednu z nejdůležitějších a nejschopnějších ruských kybernetických skupin. APT28 využilo k útokům zranitelnosti nultého dne programů Adobe a Windows, získané od nechvalně známé organizace Hacking Team, která poskytuje špionážní software a další kybernetické nástroje pro státy po celém světě. APT29 využila k útokům několikrát takzvaných zadních vrátek, které jí umožňují neomezený přístup k cílenému počítači. Skupina je nainstalovala inovativním způsobem prostřednictvím stránek Twitteru a GitHubu, to jí umožnilo nahrání požadovaných dat na internetové úložny, ke kterým měli hackeři přístup. APT29 se dařilo své aktivity skrývat v množství internetového provozu během pracovní doby obětí. Obě skupiny využívají sociálního inženýrství a phishingových kampaní k získání přístupů do systémů svých obětí. Stejně jako v případě ATP28 jsou její aktivity z několika důvodů připisované právě Rusku. Jejich cíle jsou v naprostém souladu s geopolitickými zájmy Ruské federace a vysoká technická úroveň jejich útoků poukazuje na značné finanční a personální zdroje. Tyto organizace operují výhradně během pracovní doby v časovém pásmu Moskvy a jejich činnost ustává během ruských národních svátků a víkendů.

Během útoku na ukrajinskou elektrárnu se hackeři do systému infiltrovali díky ukradeným přístupovým údajům do IT systému firmy. Ty získali jednoduchou phishingovou kampaní prostřednictvím malware BlackEnergy3 schovaného ve wordových a excelových dokumentech. Mnohem delikátnější však bylo získání přístupu k průmyslové systému, což jim umožnilo odpojit elektřinu 80 000 lidí. Útokům předcházelo šest měsíců získávání informací, monitoringu bezpečnostní a informační architektury sítě, ale zejména získání přístupu k serverům virtuální privátní sítě společnosti, prostřednictvím níž se mohli spojit s fyzickými ovladači elektrického vedení. Hackeři pak nainstalovali na konektory mezi regulérním internetovým a sériovým spojením na fyzických vypínačích elektřiny na rozvodnách na míru vyrobený malware KillDisk, který je odpojil a vymazal veškerá jejich data. Jednalo se tedy o velmi sofistikovanou akci a zejména o první masivní útok na kritickou infrastrukturu tohoto druhu. Podle členů amerického ICS-CERTu, kteří s Ukrajinci spolupracovali na vyšetřování incidentu, se takový útok může stát komukoliv.

Hrozí tedy takový útok všem elektrickým sítím? Vedení slovenského CSIRTu tento útok považuje za naprosto běžný, stejně jako většina odborníků. Vzhledem k tomu, že se útočníci pohybovali v systému šest měsíců a vzdáleně se připojovali k fyzickým ovladačům vedení, celý problém by vyřešil jakýkoliv program na bezpečnostní monitoring IT systému, klidně i volně stažitelný z internetu, jež by všechny tyto aktivity odhalil. Útok BlackEnergy, jak se mu přezdívá, spíše poukazuje na slabost kybernetické obrany na Ukrajině. To bylo zdůrazněno také faktem, že hackeři během útoku spustili DDoS útok na telefonní centrum energetické společnosti, což znemožnilo komunikaci zákazníků s firmou, a zejména poukázalo na nekompetentnost ukrajinské firmy v oblastech bezpečnosti.

Tento útok tak můžeme pokládat spíše za výjimku a naprosté selhání na ukrajinské straně. Útoky na Ukrajině totiž mají jasně informační charakter, a útok BlackEnergy byl první s opravdovým fyzickým dopadem. Místo destruktivních kybernetických útoků na vojenské kapacity Ukrajiny v rámci války na východě země se hackerské kampaně výhradně zaměřují na získávání informací nebo krádež utajených vládních, vojenských či zpravodajských dokumentů. Schopnost ruských hackerů přesměrovat signál GPS přes vlastní sítě nebyla využita ke kinetickým útokům, ale čistě k získávání informací. Jednou z největších kybernetických kampaní byla operace Armagedon, masivní špionážní kampaň na ukrajinské úřady, armádu a zpravodajské služby trvající od roku 2013. Během ní útočníci využívali falešné aktualizace programů Internet Explorer, Adobe Flash Player nebo Google Chrome, aby skryli krádež informací a dalších aktivit v systémech obětí.

Aktivity skupin jako APT28 a 29 jsou zaměřeny hlavně na získávání informací, ne k velkým kinetickým útokům, což poukazuje na ruský přístup ke kyberprostoru, který je založen na konceptech informační války a informační bezpečnosti. Události na Ukrajině ukazují, že koncept kybernetické války by tedy měl být spíše chápán jako válka informační. Kybernetická válka může mít strategický, ne však čistě vojenský efekt. Útoky tak mají pouze podpůrný charakter pro tradiční kinetický konflikt. Nicméně i to představuje značné nebezpečí, jelikož takové využití kyberprostoru má jasný psychologický efekt na ovlivňování veřejného mínění, podkopávání legitimity státních autorit nebo vytváření zmatku či strachu. Z vojenského hlediska pak jde o manipulaci dat, softwaru a získávání důležitých informací. Útok s velkým kinetickým dopadem vyžadující značnou finanční nebo technologickou podporu by nezapadal do současného oficiálního diskurzu Ruska, které, jak tvrdím, není do války na Ukrajině nijak zapojeno. V případě otevřené války by tomu mohlo být samozřejmě jinak. Na Ukrajině se však jednoduchý fyzický útok vždy prokázal být mnohem snazší a efektivnější. Jednou z prvních obsazených budov při obsazení Krymu neidentifikovatelnými ruskými zelenými mužíčky byla budova Internet Exchange Point, čímž Rusové ihned získali kontrolu na internetem na Krymu, bez potřeby kybernetického útoku. Stejně tak ukrajinští pravicoví extremisté jednoduše přestříhli elektrické vedení připojující Krym k ukrajinské elektrické síti. Přestřihnutí drátu je tak stále jednodušší a rychlejší.  

Před incidentem s elektrickou sítí v Ivano-Frankovské oblasti žádný z kybernetických útoků na Ukrajině nepřekročil čáru fyzického napadení. Rusko tak potvrdilo, že kyberprostor nabízí skvělý nástroj pro hybridní válku, zejména díky využívání šedé sféry mezinárodního práva a technické nemožnosti kybernetický útok s právní jistotou připsat jakémukoli aktérovi. Vzhledem k tomu, že útok na ukrajinskou elektrickou síť byl jen běžným a lehce zastavitelným incidentem, samotná kybernetická válka tak není přímou hrozbou. Hrozbu ale představuje válka informační, a fakt, že ministerstva obrany některých evropských členských států NATO se konceptům kybernetické a informační bezpečnosti nijak speciálně nevěnují, je ve stínu událostí na Ukrajině rozhodně znepokojující.

 

 

O autorovi: Petr Boháček

Partneři

Tento web používá k analýze návštěvnosti soubory cookie. Používáním tohoto webu s tím souhlasíte. Další informace