V únoru 2022 začala totální válka Ruska proti Ukrajině. Už v předvečer invaze ale padly první “výstřely” v kyberprostoru.
Protože v letech 2014 - 2022 probíhala mezi Ukrajinou a Ruskem skutečná kyberválka (popsaná v předchozím díle seriálu), očekávali odborníci po zahájení ruské invaze v únoru 2022 obdobnou eskalaci i v kyberprostoru. Zpočátku se zdálo, že k eskalaci skutečně dochází, protože v předvečer invaze byl spuštěn spektakulární útok na společnost Viasat. Následující vývoj ale takové předpoklady nepotvrdil a výrazné kyberútoky po delší dobu nepřicházely. Můžeme spekulovat proč tomu tak bylo. Jako nejpravděpodobnější se jeví nepřipravenost ruské strany. Počítala s rychlým úspěchem své vojenské akce a ukrajinský odpor ji překvapil. Stejně nepřipravené jako na bojišti, byly i ruské jednotky operující v kyberprostoru.
Jak už bylo řečeno, začátek ruské invaze byl vpravdě spektakulární. Přesně hodinu předtím, než se daly do pohybu ruské kolony na ukrajinských hranicích, ruská zpravodajská služba spustila útok na společnost Viasat. Jde o americkou firmu, která se zabývá satelitní komunikací. Mimo jiné vlastní i družici KA-SAT umístěnou na geostacionární dráze nad Evropou. KA-SAT poskytuje internetové připojení a komunikaci na celém území kontinentu. Jako záložní prostředek komunikace jej využívala i ukrajinská armáda. Den před invazí se útočníkům podařilo proniknout na server Viasatu, který spravoval modemy, tedy zařízení, přes která se uživatelé na zemi připojují k síti KA-SAT. ůtočníci díky tomu měli dokonalý přehled o celé síti. Následně na server umístili škodlivou verzi firmwaru obsahující wiper (program, který kompletně smaže paměť napadeného zařízení). Když se nový firmware rozšířil na všech víc než čtyřicet tisíc modemů KA-SAT, vyřadil je z provozu.
Visat představoval z hlediska válečného práva legitimní cíl, protože byl používaný ukrajinskou armádou. Samotné provedení útoku přesto ilustruje naprostou bezohlednost ruského agresora. Útočníci měli přehled o všech modemech KA-SAT a mohli tak cíleně vyřadit z provozu jen ty, které se nacházely na ukrajinském území. Přesto se rozhodli zlikvidovat celou síť. Postiženy tak byly i vesměs civilní organizace po celé Evropě. Mnoho z nich spadá do kritické infrastruktury nebo jsou důležité pro záchranu životů.
Po útoku na Viasat dlouho k žádnému spektakulárnímu útoku nedošlo. Kromě ruské nepřipravenosti to lze přičítat i schopnostem ukrajinské kyberobrany, která se na podobné útoky připravovala už od roku 2014. Vítaná byla i pomoc západních technologických firem, která umožnila například přesun IT infrastruktury ukrajinského státu do cloudu společnosti Microsoft.
Namísto velkých útoků státních aktérů tak přišla vlna akcí hacktivistických aktérů na obou stranách. Slovo hacktivismus je ale třeba chápat v širokém smyslu slova. Zpočátku (kolem roku 2011) se skutečně jednalo o akce nezávislých politicky angažovaných jedinců nebo skupin. Jak už ale bylo zmíněno v prvním díle našeho seriálu, za údajnými hacktivisty se často skrývaly ruské zpravodajské služby. Průběh konfliktu mezi Ruskem a Ukrajinou to potvrdil na obou stranách.
O spřízněnosti ruských hacktivistických aktérů jako KillNet, NoName057 nebo Anonymous Sudan se zpravodajskými službami vpodstatě nebyly pochyby od počátku, protože to odpovídá typickému modu operandi ruských státem sponzorovaných útočníků. Nemusí se přitom jednat přímo o příslušníky zpravodajských služeb. Často jde o soukromé firmy, které své služby jako kyberžoldáci nabízejí ruskému státu, nebo o kriminální skupiny. V každém případě ale jejich činnost není autentická a vyplývá z vazeb na ruský bezpečnostní aparát.
Podobné spojení platí i v případě Ukrajiny, která je ale otevřenější. Už od počátku konfliktu deklarovala spojení hacktivistické skupiny Ukrainian Cyber Army s ozbrojenými silami a v poslední době se zpravodajské služby SBU a HUR začaly hlásit k operacím prováděným ve spolupráci s různými haktivistickými skupinami.
I přes napojení na zpravodajské služby nemají hacktivisté prakticky žádný dopad na průběh konfliktu. V zásadě provádějí tři druhy útoků. Prvním jsou DDoS, tedy zahlcení konektivity cíle pomocí velkého objemu internetového provozu, čímž se stává nedostupným. Takové útoky mají zpravidla trvání jen v délce několika hodin a nezpůsobují velké škody. Kromě cílů na Ukrajině a v Rusku směřovaly DDoS útoky ruských aktérů i na servery v dalších zemích, které Ukrajinu podporují. V říjnu 2023 směřovala vlna DDoS od skupiny NoName057 i na Česko a způsobila několikahodinovou nedostupnost webů bank, státních institucí a kritické infrastruktury. Další metodou jsou defacementy webů. Spočívají v hacknutí webového serveru nějakého subjektu na území nepřátelského státu a umístění propagandistického sdělení. I tyto útoky jsou poměrně snadno řešitelné a zpravidla mají minimální dopad. Škodlivější jsou útoky typu hack&leak, kdy po krádeži dat některého subjektu dochází k jejich zveřejnění. Zejména ukrajinská strana v tomto typu útoků dosáhla v poslední době zajímavých výsledků.
Přestože kyberútoky na kritickou infrastrukturu neměly výrazné výsledky, neznamená to, že k nim vůbec nedocházelo. Naopak, během první zimy invaze byly typickým doplňkem ruské kampaně proti ukrajinské energetické infrastruktuře. Ta měla podobu útoků balistickými raketami, střelami s plochou dráhou letu a drony, zpravidla ji ale doprovázel také kyberútok na dané zařízení. Úspěšnost takových kyberútoků ale byla značně diskutabilní.
Skutečně velkého úspěchu se ruské straně podařilo dosáhnout až vyřazením mobilní sítě Kyivstar v prosinci 2023. O jeho komplexnosti svědčí to, že útočníci byli v síti operátora přinejmenším od května 2023. Svůj přístup mohli využít ke shromažďování velkého množství citlivých dat. Nakonec se ale rozhodli spustit destruktivní útok, který měl pomocí wiperu zlikvidovat všechny servery operátora a dokonce i základnové stanice mobilní sítě. Výmaz byl úspěšný v případě serverů, ale útok na vlastní mobilní síť selhal. I díky tomu se podařilo obnovit provoz už za několik dní. Přihlásil se k němu údajný hacktivistický aktér Solntsepek, za kterým se ale skrývá Sandworm, vojenská jednotka 74455 podřízená zpravodajské službě GRU.
Jestliže řada odborníků předpokládá, že válka na Ukrajině je jen předstupněm plánovaného útoku dále na západ, v kyberprostoru je takový scénář už dávno realitou. Rusko vede aktivní kyberválku proti Západu přinejmenším od roku 2014 a po začátku invaze na Ukrajinu se tento konflikt jen zintenzivnil. Zároveň ale případ Ukrajiny ukazuje, že proti takovým útokům je možné se účinně bránit. Je ale nutné především si uvědomit, že se v takovém konfliktu s agresivním a bezohledným protivníkem nacházíme. Volání po míru a jednání s Ruskem je tu stejně bezpředmětné, jako v případě agrese proti Ukrajině. Dalším předpokladem úspěšné obrany je sdílení informací mezi všemi spojeneckými státy a Ukrajinou. Team4Ukraine se navazování spolupráce v oblasti kyberobrany věnuje už od svého vzniku a českým odborníkům zprostředkoval konzultace s řadou ukrajinských expertů. Přestože jsou tyto aktivity v současnosti poněkud zastíněny probíhajícím válečným konfliktem, představují významný přínos obranyschopnosti Česka vůči ruské agresi.
Tomáš Flídr je zakládající člen Team4Ukraine, odborník na IT a kyberbezpečnost.
Powered by Froala Editor