Aktuální témata:
Technologie

Poučení z ruské kybernetické války na Ukrajině

03.12.2022

Bylo to intenzivní, ale ne vždy účinné. Proč?

Ovládnutí bojiště. Darius, král Persie, to udělal v roce 331 př. n. l. s kaltropy rozmístěnými tam, kde si myslel, že jeho nepřítel Alexandr Veliký postoupí. Spojenci to dokázali v roce 1944 pomocí falešných letadel a výsadkových člunů, které měly oklamat německé vrchní velení, aby si myslelo, že jejich invaze do Francie bude v Pas de Calais, nikoli v Normandii. A Rusko se o to pokusilo 24. února, když necelou hodinu předtím, než se jeho tanky začaly valit na Ukrajinu – na cestě, jak se domnívali, do Kyjeva – jeho počítačoví hackeři zničili satelitní komunikační systém provozovaný americkou firmou Viasat. na které se její odpůrci spoléhali.

Victor Zhora, šéf ukrajinské obranné agentury pro kybernetickou bezpečnost, v březnu prohlásil, že výsledkem byla „skutečně obrovská ztráta v komunikaci na samém začátku války“. Bývalý západní bezpečnostní úředník odhadl, že to trvalo „rok nebo dva opravdu, opravdu vážné přípravy a úsilí“.

Něco vyhrát, něco prohrát. Spojenci zvítězili. Přistání v den D bylo úspěšné. Darius prohrál a ztratil svůj trůn. Stejně tak byl odražen ruský postup na Kyjev. Jeho invazní síla v tomto divadle byla poražena. Přes úsilí vynaložené na pokusy Rusko nedokázalo vytvořit dostatečně hustou válečnou mlhu prostřednictvím kybernetické války. A to je zajímavé. Přestože kybernetická válka byla tvrdě vybojovanou a důležitou součástí konfliktu, který fungoval jako testovací pole pro tuto stále novou formu bitvy, nezdá se, že by to byla ta zabijácká aplikace, jak to někteří očekávali.
Kousky na kousky

Ruský útok na Viasat nebyl jediným změkčujícím softwarem, který na Ukrajinu směřoval v době před invazí. V lednu a znovu 23. února byly na stovkách ukrajinských systémů spatřeny takzvané „stíračské“ programy určené k mazání dat. Poté, v dubnu, když síly, které ohrožovaly Kyjev, prchaly, hackeři pracující pro Sandworm (podezřelí z fronty pro GRU, ruskou vojenskou zpravodajskou službu), použili malware nazvaný Industroyer2 k útoku na elektrickou síť země.

Útoky tohoto druhu na civilní infrastrukturu je těžké umlčet. Ale to, co se děje s vojenskými soupravami, je jiná věc. Ukrajinské ozbrojené síly udržovaly po celou dobu války přísnou operační bezpečnost a neprozradily nic o tom, jak byly jejich vlastní sítě proniknuty nebo narušeny (což byly). I tak byly viditelné účinky ruské kampaně překvapivě omezené. „Myslím, že jsme očekávali mnohem významnější dopady, než jaké jsme viděli,“ řekl 16. listopadu Mieke Eoyang, vysoký kybernetický úředník v Pentagonu. „Ruské kybernetické síly stejně jako jejich tradiční vojenské síly nesplnily očekávání.“

V prvních dnech války zůstávala Ukrajina převážně online. Světla zůstala rozsvícená, i když kolem hlavního města zuřily boje. Banky byly otevřené. Na rozdíl od let 2015 a 2016, kdy kybernetické útoky způsobily výpadky proudu, proudila elektřina dál. Stejně tak informace. Noční prezidentské vysílání Volodymyra Zelenského ukrajinskému lidu nikdy vážně neohrozilo. Pokud bylo cílem Ruska podkopat důvěru Ukrajinců v jejich vládu a učinit zemi nevládnou, nepodařilo se to.

Hlavním důvodem byla obrana Ukrajiny. Lindy Cameron, vedoucí britského Národního centra pro kybernetickou bezpečnost (NCSC), soudí, že ruský nápor byl „pravděpodobně nejtrvalejší a nejintenzivnější kybernetickou kampaní v historii“. Ale jak v eseji pro The Economist v srpnu poznamenal Sir Jeremy Fleming, její šéf v GCHQ, britské signálové zpravodajské agentuře (jejíž součástí je NCSC), reakce Ukrajiny byla „pravděpodobně… nejúčinnější obranná kybernetická aktivita v historii“ . Ukrajina byla léta testovacím místem pro ruské kybernetické operace. Například předchůdce Industroyer2, Industroyer, byl příčinou výpadků v roce 2016. To poskytlo vládě přehled o ruských operacích a čas na posílení své infrastruktury.

To znamenalo, že když invaze začala, mělo ukrajinské kybernetické velení připravený pohotovostní plán. Někteří představitelé se rozptýlili z Kyjeva do bezpečnějších částí země. Další se přesunuli na velitelská stanoviště poblíž předních linií. Zásadní služby byly přeneseny do datových center jinde v Evropě, mimo dosah ruských raket. Ukrajinské ozbrojené síly si byly vědomy možnosti narušení satelitů a připravily alternativní komunikační prostředky. Útok na Viasat nakonec „neměl žádný taktický dopad na ukrajinské vojenské komunikace a operace“, trval na svém v září pan Zhora, čímž upřesnil své dřívější prohlášení.
K čemu jsou přátelé

Zásadní byla také západní pomoc. V předzvěsti války bylo jedním ze způsobů, jak NATO posílilo spolupráci s Ukrajinou, poskytnutím přístupu do své knihovny kybernetických hrozeb, úložiště známého malwaru. Británie poskytla podporu ve výši 6 milionů liber (7,3 milionu dolarů), včetně firewallů pro blokování útoků a forenzních schopností analyzovat narušení. Spolupráce byla vzájemná. „Je pravděpodobné, že Ukrajinci naučili USA a Velkou Británii více o ruské kybernetické taktice, než se naučili od nich,“ poznamenává Marcus Willett, bývalý šéf kybernetických problémů GCHQ.

Ukrajinské odolnosti paradoxně pomohla primitivní povaha mnoha jejích průmyslových řídicích systémů – zděděných ze sovětských časů a dosud neaktualizovaných. Když například Industroyer v roce 2016 zasáhl elektrické rozvodny v Kyjevě, inženýři byli schopni resetovat systémy pomocí ručního ovládání během několika hodin. Když Industroyer2 v dubnu převedl část sítě do režimu offline, znovu se zapnul za čtyři hodiny.

Významnou roli sehrály také soukromé společnosti zabývající se kybernetickou bezpečností. Pan Zhora vyzdvihuje Microsoft a slovenskou firmu ESET jako zvláště důležité pro jejich velkou přítomnost v ukrajinských sítích a „telemetrii“ neboli síťová data, která díky tomu shromažďují. Společnost ESET poskytla informace, které pomohly ukrajinským kybernetickým týmům odrazit Industroyer2. Microsoft říká, že umělá inteligence, která dokáže skenovat kód rychleji než člověk, usnadnila odhalování útoků. 3. listopadu Brad Smith, prezident Microsoftu, oznámil, že jeho firma bezplatně rozšíří technickou podporu na Ukrajinu do konce roku 2023. Příslib zvýšil hodnotu podpory Microsoftu Ukrajině od února na více než 400 milionů dolarů.

Není pochyb o tom, že Ukrajina byla tvrdým cílem. Jsou však tací, kteří si kladou otázku, zda nebyla ruská kybernetická zdatnost přeceňována. Ruští špioni mají desítky let zkušeností s kyberšpionáží, ale vojenské kybernetické síly země jsou ve srovnání se západními rivaly „velmi mladé“, poznamenává Gavin Wilde, bývalý ředitel pro politiku Ruska v americké národní bezpečnostní radě. Amerika začala integrovat kybernetické plány do vojenských operací během válek na Haiti a v Kosovu v 90. letech. Rusko o tom uvažovalo teprve asi šest let, říká pan Wilde.

Američtí, evropští a ukrajinští představitelé říkají, že existuje mnoho příkladů ruských kybernetických útoků synchronizovaných s fyzickými útoky, což naznačuje určitý stupeň koordinace mezi oběma větvemi. Objevily se ale i neobratné chyby. Sir Jeremy říká, že v některých případech ruské vojenské údery zničily tytéž sítě, které se ruské kybernetické síly pokoušely infikovat – ironicky přinutily Ukrajince vrátit se k bezpečnějším komunikačním prostředkům.

Jiní vykreslují Rusko jako nedbalou kybernetickou mocnost – dobrou v rozbíjení věcí, ale hlasitou a nepřesnou. V dubnu David Cattler, nejvyšší zpravodajský úředník NATO, poznamenal, že Rusko použilo proti Ukrajině destruktivnější malware, „než ostatní světové kybernetické mocnosti dohromady obvykle používají v daném roce“. Ale posuzovat kybernetickou kampaň podle objemu malwaru je jako hodnotit pěchotu podle počtu vystřelených kulek. Daniel Moore, autor knihy Offensive Cyber ​​Operations, nedávné knihy na toto téma, říká, že každý ze známých ruských útoků na kritickou infrastrukturu, na Ukrajině i mimo ni, byl předčasně odhalen, byl prošpikovaný chybami nebo se přelil dál. zamýšlený cíl – jako tomu bylo v případě NotPetya, samo se šířícího ransomwarového útoku z roku 2017, který utekl z Ukrajiny a způsobil po celém světě škody za 10 miliard dolarů.

„Téměř v každém jednotlivém útoku, který kdy v kyberprostoru provedli, došlo k významným operačním selháním,“ říká pan Moore. Naproti tomu poukazuje na Stuxnet, izraelsko-americký kybernetický útok na íránské jaderné zařízení, který byl poprvé identifikován před 12 lety – technologicky jde o starou historii. „Bylo to mnohem složitější než mnohé z toho, co dnes vidíme z Ruska.“

Fyzické i virtuální

Někteří západní špióni tak říkají, že válka ukazuje propast mezi americkou a ruskou odborností ve špičkových kybernetických operacích proti vojenskému vybavení. Jiní ale varují, že je příliš brzy na vyvozování zásadních závěrů. Ruská kybernetická kampaň mohla být omezena méně neschopností než arogantností, která také postihla jeho konvenční ozbrojené síly.

Západní představitelé tvrdí, že Rusko nedokázalo naplánovat a zahájit vysoce destruktivní kybernetické útoky na energetiku, energetiku a dopravu ne proto, že by toho nebylo schopno, ale protože předpokládalo, že brzy okupuje Ukrajinu a zdědí tuto infrastrukturu. Proč ničit to, co budete brzy potřebovat? Když se místo toho válka protáhla, musela se přizpůsobit. Ale kybernetické zbraně nejsou jako ty fyzické, které lze jednoduše převážet, zamířit na jiný cíl a doplnit munici. Spíše musí být přizpůsobeny konkrétním cílům.

Sdílejte článek: