Rusko začalo po roce 2014 s omezenou a hybridní válkou proti Ukrajině. V kyberprostoru však rozpoutalo válku skutečnou, naprostou, při které nebralo ohledy na nic a na nikoho.
Skutečná kyberválka
V souvislostí s počátkem ruské agrese proti Ukrajině v roce 2014 se ruské kyberútoky dostaly do zcela nové dimenze. V období do plné invaze v únoru 2022 propukla na východě Evropy první skutečná kyberválka. Byla sice doplňkem kinetického konfliktu, ale její hlavní útoky byly naprosto autonomní. Měla několik základních prvků: oslabení důvěry Ukrajinců ve vlastní stát prostřednictvím narušení kritické infrastruktury, proti kterému se (podle předpokladu ruských útočníků) nebude mít ukrajinská strana jak bránit. Dále masivní propagandistickou a dezinformační kampaň využívající útoky typu hack&leak popsané v prvním díle článku, a nově i přímé útoky na zařízení jednotlivých ukrajinských vojáků k získání zpravodajských informací a omezení jejich bojeschopnosti pomocí prostředků psychologického boje.
Tento poslední typ útoku se často odehrával podle následujícího scénáře: ruští útočníci do blízkosti ukrajinských postavení umístili mobilní základnovou stanici telefonní sítě (BTS), ke které se, díky její blízkosti, začaly připojovat telefony vojáků. Útočník do nich pak umístil malware (škodlivý program), kterým získal přístup k seznamu kontaktů. Ruské síly na telefony vojáků poslaly zprávy informující například o dezerci jejich velitele, zavolali jejich příbuzným zprávu o smrti nebo těžkém zranění daného vojáka a poté všechny mobilní služby začali rušit. Přitom spustili například dělostřelecké bombardování. Ukrajinští vojáci se tak dostali pod značný psychologický tlak – nemohli se spojit se svými vyděšenými příbuznými, nebyli si jisti, zda velení nedezertovalo a současně jim na hlavu dopadaly dělostřelecké granáty.
Jakkoliv byly tyto nové metody psychologické války inovativní, neměly na situaci na frontě příliš velký vliv. Ukrajinští vojáci se je brzo naučili ignorovat a také vypínat v předních liniích své mobilní telefony, které byly díky svému vyzařování snadno zaměřitelné a stávaly se tak cílem dělostřelecké a minometné palby. Daleko větší význam získaly přímé útoky na ukrajinský týl. V období do roku 2022 jich proběhlo velké množství a nemáme zde prostor věnovat se všem. Podívejme se proto jen na ty nejzajímavější.
Ruská propaganda a ukrajinské prezidentské volby 2014
V květnu 2014 se na Ukrajině uskutečnily první prezidentské volby po Revoluci důstojnosti (tzv. Majdan) a útěku zrádného prezidenta Janukovyče do Ruska. Ukrajinská Ústřední volební komise, za účelem zvýšení transparentnosti, představila nový IT systém, který umožňoval voličům v reálném čase sledovat sčítání hlasů. Právě tento systém se stal cílem ruského útoku typu hack&leak. Stála za ním údajná hacktivistická organizace CyberBerkut, pojmenovaná podle nechvalně známé ukrajinské policejní jednotky, která měla na svědomí životy více než stovky demonstrantů zastřelených na kyjevském Majdanu. Ve skutečnosti byla ale tato skupina řízená ruskými zpravodajskými službami.
Cílem jejich operace byla podpora ruského propagandistického narativu o fašistické juntě vládnoucí v Kyjevě. Proto se útočníci pokusili změnit průběžné výsledky tak, že ukazovaly výrazné vedení Dmytro Jaroše, kandidáta strany Pravý sektor s 37 % hlasů. O absurdnosti takového tvrzení svědčí, že Jaroš ve skutečnosti získal jen 0,7 %. Zfalšované výsledky voleb se na Ukrajině nikdy nedostaly na veřejnost, protože ukrajinské zpravodajské službě SBU se útok podařilo zastavit. Odvysílala je ale ruská zpravodajská televize První kanál, která tedy informace musela mít přímo od útočníků. Ruské dezinformace o „ukrajinských nacistech“ jsou jedním z hlavních pilířů ruské propagandistické války proti Ukrajině.
Útoky na kritickou infrastrukturu: BlackEnergy a Industroyer
Zatímco útok na Ústřední volební komisi v roce 2014 měl podobné rysy jako dřívější ruské kyberútoky (hack&leak, krytí za hacktivistickou organizaci), v následujícím roce se ruská kyberagrese dostala na zcela novou úroveň. V prosinci 2015 se útočníkům podařilo vypnout transformátory společnosti Prikarpatoblastenerho v Ivano-Frankivské oblasti. Výsledkem byl několikahodinový výpadek proudu pro více než dvě stě tisíc lidí.
Šlo o důsledek sofistikovaného kyberútoku. Aktér Sandworm (jednotka 74455 ruské vojenské zpravodajské služby GRU) se při něm dostal přímo do řídícího softwaru přenosové sítě. Došlo k tomu díky spear-phishingu (využití podvodných emailů zacílených přímo na konkrétní osobu) a propojení obchodních a průmyslových řídících systémů společnosti Prikarpatoblastenerho. Do softwaru transformačních stanic útočníci umístili malware BlackEnergy, který je v určenou chvíli vyřadil z provozu. Byl to malware typu wiper, oblíbený íránskými hackery. Jde o virus, který přepíše Master Boot Record (MBR) pevného disku a tak vyřadí počítač z provozu. Jeho obnovení je přitom poměrně náročné a vyžaduje kompletní výměnu pevného disku. Zároveň s tím proběhl DDoS útok na zákaznickou linku podpory, aby obyvatelé bez proudu nemohli získat relevantní informace a dostali se tak pod ještě větší psychologický tlak.
Zatímco útok BlackEnergy zastihl Ukrajinu nepřipravenou a jeho důsledky se podařilo napravit jen díky osobnímu nasazení zaměstnanců a manuálnímu nahození transformátorů, další obdobné útoky na kritickou infrastrukturu naštěstí tak úspěšné nebyly.
Hned v následujícím roce 2016 došlo k útoku na elektrickou stanici Pivnična poblíž Kyjeva pomocí obdobného malwaru Industroyer. Cílem tohoto útoku mělo být dlouhodobé vyřazení stanice z provozu. Chyba útočníků a nasazení obránců způsobily, že byl způsoben jen krátkodobý výpadek proudu. Cílem podobných útoků se v tomto období staly i další ukrajinské instituce spravující kritickou infrastrukturu, jako banky a státní úřady. Žádný z nich ale nedosáhl “úspěchu” prvního útoku pomocí BlackEnergy. To se už ale schylovalo k daleko většímu dramatu, jehož cílem bylo poškodit ne jeden prvek kritické infrastruktury, ale celou ukrajinskou ekonomiku.
NotPetya – totální kyberválka
Útok malwarem NotPetya vypadal jako z filmů s Jamesem Bondem. Začalo to nespokojeným agentem CIA, který se jmenoval Joshua Schulte. Schulte nevycházel se spolupracovníky ani s vedením organizace a rozhodl se jim pomstít. Udělal to tak, že soustavně kradl utajované informace a pak je předal Julianu Assangeovi, který je zveřejnil na svém serveru WikiLeaks. Mezi ukradenými daty byl i exploit EternalBlue. Exploit je návod na využití zranitelnosti určitého softwaru. EternalBlue umožňuje malwaru bleskové šíření ve vnitřních (ethernetových) sítích a díky Schultemu a Assangeovi ho mohl využít úplně kdokoliv.
Rusové zaútočili malwarem NotPetya tak, aby to vypadalo, že se jedná „pouze“ o ransomware (malware určený k vydírání – zaplacení za zašifrovaná data). Takové útoky byly v prostředí ruskojazyčného kyberzločinu běžné a široce se začaly šírit kolem roku 2013.
Malware NotPetya však nebyl ransomware, za který se vydával, ale wiper, tedy software, který data rovnou maže. Útočníkům se podařilo proniknout do systémů výrobce široce rozšířeného účetního softwaru a jeho prostřednictvím napadnout systémy nevinných uživatelů. Takový postup se nazývá supply-chain útok a v našem případě se podařilo do původního zdrojového kódu účetního softwaru M.E.Doc dostat malware NotPetya, který se začal rozšiřovat mezi běžné uživatele spolu s legitimní aktualizací účetního programu, který používala většina ukrajinských firem.
Když byl v červnu roku 2017 útok spuštěn, na obrazovkách tisíců počítačů se softwarem M.E.Doc se objevila zpráva o útoku tehdy obvyklého ransomwaru Petya a nutnosti zaplatit výkupné pro opětovné získání přístupu k datům. Šlo ale jen o kamufláž. Wiper NotPetya totiž data úplně vymazal a jejich obnovení nebylo možné ani po zaplacení. Cílem tedy nebyl finanční zisk, ale narušení provozu firem. Tam však problém neskončil. V malwaru byl totiž využit zmíněný exploit EternalBlue, díky kterému se bleskově rozšířil v interních sítích firem. A tady již nešlo jen o ukrajinské společnosti. Infikovaný software M.E.Doc totiž používaly i ukrajinské pobočky nadnárodních korporací, které tak byly postiženy globálně.
Škody způsobené útokem NotPetya byly odhadnuty v celosvětovém měřítku na víc než deset miliard dolarů (!!!). Nejhůře byly samozřejmě postiženy ukrajinské firmy, ale útok zasáhl i některé globální společnosti. Jako příklad uveďme logistický gigant Maersk, který málem přišel o svou kompletní vnitřní síť. NotPetya díky EternalBlue vymazal všechny z jeho téměř šedesáti řadičů domény rozmístěných na serverech po celém světě. Řadič domény je klíčový software, který řídí provoz ve vnitřní síti a bez něj by bylo nutné znovu budovat celou IT infrastrukturu společnosti na zelené louce. Naštěstí pro Maersk se jedna kopie zachovala na serveru v Africe, který byl v době útoku mimo provoz v důsledku výpadku proudu. Z této jediné kopie, která byla bleskově dopravena do centrály společnosti v Londýně, se pak podařilo vnitřní síť firmy rekonstruovat.
Za útokem NotPetya stál aktér označovaný jako TeleBots. I v tomto případě šlo o jednotku zpravodajské služby GRU a případ NotPetya dokázal, že se Rusko při kyberútocích na Ukrajinu nezastaví doslova před ničím.
Tomáš Flídr je zakládající člen Team4Ukraine, odborník na IT a kyberbezpečnost.
Powered by Froala Editor