Rusko a Ukrajina v kyberprostoru: okrajová role nebo skutečná válka?

Hackerský útok proti Energoatomu není zdaleka jediným případem svého druhu. Názory na intenzitu rusko-ukrajinského konfliktu v kyberprostoru se ale různí. Zatímco se francouzský analytik Stéphane Taillat domnívá, že se kybernetická válka vůbec nekoná, Tom Hegel a Juan Andrés Guerrero-Saade ze Spojených států konflikt naopak považují za „skutečnou kybernetickou válku“. 

Stéphane Taillat ve svém příspěvku pro zpravodajské stránky Areion24 zdůrazňuje chybějící zprávy o zásadních kybernetických operacích. Svou úvodní tezi doplňuje fenoménem opatrného zveřejňování informací o aktivitách v kyberprostoru a tloušťky pomyslné mlhy, která kybernetickou válku obepíná. Dostupná oficiální vyjádření považuje za zavádějící, ať už z důvodu citlivosti témat kybernetické bezpečnosti nebo přehnaným očekáváním a představivosti jednotlivců poznamenané science fiction.

Kybernetický rozměr konfliktů a krizí se nejčastěji projevuje ve vzájemných výměnách stejné úrovně a intenzity. Užitečnost samostatných nebo podpůrných kybernetických operací velmi závisí na operačním, strategickém a především politickém kontextu. Jak uvedl Talillat, v případě ruské invaze na Ukrajinu nelze vyloučit politické rozhodnutí o omezení kybernetických operací a tím vyloučení neočekávaných a kontraproduktivních účinků.

Válka mezi Ruskem a Ukrajinou má podle příspěvku na stránkách Areion24 velmi silný digitální rozměr, který ovšem nehraje rozhodující roli a jeho přínos zůstává relativně okrajový. Na ruské straně invazi předcházelo několik destabilizačních operací. V předvečer útoku se za akcemi typu odepření služby DoS (Denial of Service), nahrazování originálního obsahu webových stránek (defacement) a psychologickými operacemi proti obyvatelstvu pravděpodobně skrývaly pokusy o vniknutí do systému za účelem sběru nebo ničení dat.

V období od poloviny ledna do poloviny března 2022 bylo odhaleno několik druhů malwaru obsahujících mechanismus pro vymazání dat na pevném disku (wiper). Ačkoli nebyla zveřejněna jména napadených organizací, jednalo se zřejmě o společnosti spravující kritickou infrastrukturu. Kromě toho se cílem agresivních operací stali také ukrajinští poskytovatelé internetových služeb. 9. a 10. března a znovu 28. března se firmy Ukrtelecom a Triolan staly oběťmi útoků znemožňujících jejich dostupnost, které si vynutily resetování modemů. Ve stejný den, kdy došlo k invazi, byla navíc vážně narušena komunikace prostřednictvím družice KA-SAT společnosti VIASAT. Tato akce měla dopad nejen na ozbrojené a bezpečnostní složky Ukrajiny, ale i na některé další evropské země.

Tyto události ilustrují rozměr užitečnosti podpůrných kybernetických operací v rusko-ukrajinské válce. Na jedné straně se snažily snížit schopnost ukrajinské vlády kontrolovat zemi, což podporovalo ruský narativ o nestabilním a nelegitimním kyjevském režimu, a zvyšovaly tak tlak na obyvatelstvo a rozhodující činitele. Na druhé straně se tyto útoky zaměřily na schopnost komunikace na úrovni vojenských operací stejně jako v celém státním aparátu v počáteční fázi války.

Tento obrázek by nebyl úplný bez špičky ledovce, a sice pokračujícího napadání vojenských a civilních cílů pro zpravodajské a špionážní účely. V této oblasti Ukrajinci hojně informovali o svých úspěších, zejména při zachycování vojenské komunikace. Známými se staly případy narušení komunikačních systémů ruských ozbrojených sil, které Ukrajinci kompromitovaly hackováním a zveřejňováním získané konverzace (hack and leak).

Podle Taillata se obtížně posuzuje, zda měly akce bojujících stran v kyberprostoru nějaký vliv na vedení vojenských operací nebo války. „Neměly rozhodující dopad, zejména ve srovnání s kinetickými akcemi,“ napsal francouzský analytik pro Areion24. „Kybernetické operace proto nelze považovat za izolované, tj. schopné vyvolat významné účinky nezávisle na jiných prostředcích. Jde spíše o nepřímé účinky, které pomáhají podporovat vojenské operace prostřednictvím destabilizačních akcí nebo získáním relativních výhod.“

Tom Hegel a Juan Andrés Guerrero-Saade na rozdíl od Taillata považují rusko-ukrajinské soupeření v kyberprostoru za skutečnou kybernetickou válku. „Chceme zpochybnit myšlenku, že ke kybernetické válce nedošlo,“ uvedl Hegel. Shodně s Taillatem ovšem uvádí, že kybernetické operace spíše jen podporovaly vojenské cíle Ruska nebo Ukrajiny a nesnažily se způsobit fyzické škody nebo smrt. „Spojení s válkou tkví v pokusech zničit nebo narušit infrastrukturu nebo získat převahu během ozbrojeného konfliktu, i když se koordinace kinetických útoků s kybernetickými operacemi neuskutečňuje.“

Ačkoli se typicky nepovažují za součást kybernetické války, Hegel zejména poukazuje na dlouhodobé informační operace jako důležitou komponentu probíhajícího konfliktu. Rusko realizuje dezinformační strategii s cílem ovlivnit veřejné mínění ve vybraných zemích a získat podporu pro své nároky na ukrajinské území. Ukrajinské informační operace usilují naopak o oslabení podpory pro ruskou invazi a maximalizaci dodávek zbraní.

„Dezinformační operace představují významnou součást této války, ale ještě větší roli hraje využívání již existujících veřejných informací jako zbraní,“ řekl Hegel. „Dobrým příkladem je třeba zpráva Amnesty International a účty na sociálních sítích podporující Rusko, které rozšiřují výlučně části dokumentu kritické vůči Ukrajině.“

Hegel a Guerrero-Saade v souvislosti s rusko-ukrajinskou válkou k tomu vypozorovali určité technologické změny. Jednou z nich se stalo zvýšené používání wiperů, např. HermeticWiperu, AcidWiperu, WhisperGate a CaddyWiperu. „Předtím existovalo jen pár programů zaměřených na mazání dat, které používali státní aktéři,“ vysvětlil Guerrero-Saade během konference Black Hat 2022. „Dříve nebyly příliš populární, protože se jejich využití rovnalo ztrátě přístupu do systému.“ Jejich četné nasazení američtí výzkumníci přisuzují větší ochotě útočníků wipery aktivovat a také jejich možnou dlouhodobou pasivní přítomností v ukrajinských systémech.

Alarmující byl i objev nového malwaru pro průmyslové řídicí systémy s názvem Incontroller. „Profesionální práce zkušeného dodavatele, který vytvořil nový malware,“ uvedl na jeho adresu Guerrero-Saade. „Objevili ho ještě před nasazením. Nemáme tak tušení, kde ho plánovali použít.“ Obavy vzbuzuje i možnost přelévání útoků podobně jako v sérii malwarových útoků NotPetya, které v roce 2017 zasáhly Ukrajinu. Guerrero-Saade takový vývoj nicméně prozatím nepozoruje. „Očekává se šíření wiperů všude možně, ale někdo pravděpodobně učinil operativní rozhodnutí nenechat věci šířit se dál,“ vysvětlil americký analytik.   

Novou realitou se podle amerických výzkumníků stala rychlost, se kterou dochází k novému vývoji. Každý týden lze pozorovat nové cíle a nový malware, což znesnadňuje udržet si přehled o vznikajících hrozbách. Pro Guerrero-Saadea se jedná o zajímavý posun oproti dosavadnímu vývoji. Cenným partnerem pro spolupráci v kybernetické bezpečnosti se stala ukrajinská organizace CERT-UA (Computer Emergency Response Team of Ukraine), jež západním společnostem poskytuje aktuální upozornění. „Mnoho lidí o tom nemluví, ale celé odvětví se spoléhá na tato upozornění, aby získalo včasný přehled o nepřátelských hrozbách,“ prozradil Guerrero-Saade.

Hegel a Guerrero-Saade předpovídají nejistý vývoj rusko-ukrajinské války v kyberprostoru. Analytici odhadují zvýšené množství kybernetických útoků s nástupem zimy. Za pravděpodobné navíc pokládají růst nepřátelských akcí proti evropským zemím, které podpořily Ukrajinu a odklonily se od Ruska jako hlavního dodavatele ropy a plynu.

Zdroje: Energoatom, Areion24,  DARKReading, Techtarget