Válka na východní Ukrajině již dávno není pouze omezena na Doněckou a Luhanskou oblast a ani na formu ozbrojeného konfliktu. Konflikt mezi Ruskem a Ukrajinou se také odehrává v kyberprostoru. Kolem 17:00 dne 23. prosince 2015 nahlásila energetická firma Prykarpattyaoblenergo výpadek elektřiny v Ivano-Frankovské oblasti. Později vyšlo najevo, že se jednalo o masivní kybernetický útok, který odpojil 30 rozvoden a 80 000 lidí. Do této doby byla kybernetické válka na Ukrajině značně omezená, často popisovaná jako válka, která se nikdy nestala. Jak změnil útok na elektrickou síť kybernetickou válku na Ukrajině? Je kyberválka nyní opravdovou hrozbou?  

cyber

Před ukrajinskou revolucí v roce 2013 se kybernetický prostor na Ukrajině nijak nelišil od ostatních ve východní Evropě. Případy kybernetické kriminality zahrnovaly typické problémy jako phisingové kampaně, ransomware (software zamykající uživatele z přístroje a požadující platbu za jeho zpřístupnění), obchodní špionáž, ale také hacktivismus a kybernetický vandalismus v podobě DDoS útoků nebo defacementu stránek (nahrání vlastního obsahu na cílené stránky) veřejných institucí. Kybernetické prostředí se ale ihned po revoluci změnilo.

Podle šéfa ukrajinského CERTu Nikolaye Kovala se již během revoluce posunula úroveň a sofistikovanost kybernetických útoků a používaného malwaru. Šéf kyjevské pobočky mezinárodní firmy pro IT bezpečnost ISACA Gliba Pakarenka dodal, že po událostech na Majdanu následovaly dva týdny neustálých DDoS útoků. Politický kontext, cíle, načasování a vysoká technologická úroveň útoků naznačily, že za nimi stojí velmi dobře financovaný tým, plný zkušených odborníků s jasnými politickými zájmy zaměřovat se na ukrajinské státní cíle.

Jeden z předchozích největších kybernetických útoků na Ukrajině se stal 21. května 2014, kdy skupina označovaná jako CyberBerkut během prezidentských voleb zaútočila na stánky Centrální volební komise (CEC), které živě přenášely volební výsledky. Stránky byly na 20 hodin nedostupné a později na nich byl zobrazen jako vítěz voleb lídr radikálního Pravého sektoru Dmytro Jaroš. Jednalo se o sofistikovaný a dlouho plánovaný útok.

CyberBerkut údajně k útoku na CEC využilo zranitelnost nultého dne, což je většinou výsada států nebo minimálně státem financovaných skupin, protože zranitelnosti nultého dne jsou drahé a pro nestátní aktéry mnohem hůře získatelné. Zranitelnosti nultého dne jsou chyby v softwaru, které mohou vzniknout při jeho vytváření, a jejich znalost se ihned stává jednou z největších zbraní hackerů.

Tento incident přesně vystihoval charakter kybernetických útoků na Ukrajině, protože byl čistě politického a informačního rázu a jde ruku k ruce k celkovým přístupem Ruska ke kyberprostoru. Rusko výhradně mluví o informační bezpečnosti, ne kybernetické, stejně tak jako o konceptu využívání informací jako zbraně. Jedná se o přístup, který v kontextu ruské propagandy a manipulace s informacemi není překvapivý. Útoky na zpravodajské servery a mediální skupiny ale rozhodně nejsou jednostrannou záležitostí a jak pro-západní, tak i pro-ruské zpravodajské agentury zasáhlo na Ukrajině několik útoků.

Mezi aktéry stojícími za kybernetickými kampaněmi na Ukrajině patří skupiny Ourobros nebo Sandworm známá jako APT 29, která stála za útokem na firmu Prykarpattyaoblenergo. Nejpozoruhodnější skupinou je ale APT 28, která je aktivní mimo Ukrajinu v Turecku, Polsku, Maďarsku, Baltických státech, na Kavkaze, v Norsku a v organizacích jako je NATO a OBSE. Jedná se o jednu z nejdůležitějších a nejschopnějších ruských kybernetických skupin. APT 28 k útokům využilo zranitelnosti nultého dne programů Adobe a Windows získané od nechvalně známé organizace Hacking Team, která poskytuje špionážní software a další kybernetické nástroje pro státy po celém světě. APT 29 k útokům několikrát k útokům využila takzvaných zadních vrátek umožňující neomezený přístup k cílenému počítači, které skupina nainstalovala inovativním způsobem skrz stránky Twitteru a GitHubu a které umožnily nahrání požadovaných dat na internetové úložny, ke kterým měli hackeři přístup.

APT 29 se dařilo své aktivity skrývat v množství internetového provozu během pracovní doby obětí. Obě skupiny využívají sociální inženýrství a phishingových kampaní k získání přístupů do systémů svých obětí. Stejně jako v případě ATP 28 jsou její aktivity z několika důvodů připisované právě Rusku. Jejich cíle jsou v naprostém souladu s geopolitickými zájmy Ruské federace a vysoká technická úroveň jejich útoků poukazuje na značné finanční a personální zdroje. Tyto organizace operují výhradně během pracovní doby v časovém pásmu Moskvy a jejich činnost ustává během ruských národních svátku a víkendů.

Během útoku na ukrajinskou elektrárnu se hackeři do systému infiltrovali díky ukradeným přístupovým údajům do IT systému firmy, které získali jednoduchou phishingovou kampaní skrz malware BlackEnergy3 schovaný ve wordových a excelových dokumentech. Mnohem delikátnější ale bylo získání přístupu k průmyslovému systému, což jim umožnilo odpojit elektřinu od 80 000 lidí. Útokům předcházelo šest měsíců získávání informací, monitoringu bezpečnostní a informační architektury sítě ale zejména získání přístupu k serverům virtuální privátní sítě společnosti, skrz které se mohli spojit fyzickými ovladači elektrického vedení.

Hackeři pak nainstalovali na konektory mezi regulérním internetovým a sériovým spojením na fyzických vypínačích elektřiny na rozvodnách na míru vyrobený malware KillDisk, který je odpojil a vymazal veškerá jejich data. Jednalo se tedy o velmi sofistikovanou akci a zejména o první masivní útok na kritickou infrastrukturu tohoto druhu. Podle členů amerického ICS-CERTu, kteří s Ukrajinci spolupracovali na vyšetřování incidentu, se takový útok může stát komukoliv.

Hrozí tedy takový útok všem elektrickým sítím? Vedení slovenského CSIRTu tento útok považuje za naprosto běžný, stejně jako většina odborníků. Vzhledem k tomu, že se útočnici pohybovali v systému šest měsíců a vzdáleně se připojovali k fyzickým ovladačům vedení, celý problém by vyřešil jakýkoliv program na bezpečnostní monitoring IT systému – klidně i volně stažitelný z internetu – který by všechny tyto aktivity odhalil. Útok BlackEnergy, jak se mu přezdívá, spíše poukazuje na slabost kybernetické obrany na Ukrajině. To bylo zdůrazněno také faktem, že hackeři během útoku spustili DDoS útok na telefonní centrum energetické společnosti, což znemožnilo komunikaci zákazníků s firmou a zejména poukázalo na nekompetentnost ukrajinské firmy v oblastech bezpečnosti.

Tento útok tak můžeme pokládat spíše za výjimku a naprosté selhání na ukrajinské straně. Útoky na Ukrajině totiž mají jasně informační charakter a útok BlackEnergy byl prvním s opravdovým fyzickým dopadem. Místo destruktivních kybernetických útoků na vojenské kapacity Ukrajiny v rámci války na východě země se hackerské kampaně výhradně zaměřují na získávání informaci nebo krádež sensitivních vládních, vojenských či zpravodajských dokumentů. Schopnost ruských hackerů přesměrovat GPS signál přes vlastní sítě nebyla využita ke kinetickým útokům, ale čistě k získávání informací.

Jednou z největších kybernetických kampaní byla operace Armagedon, masivní špionážní kampaň na ukrajinské úřady, armádu a zpravodajské služby trvající od roku 2013, během které útočníci využívali falešné aktualizace programů Internet Explorer, Adobe Flash Player nebo Google Chrome, aby skryli krádež informací a dalších aktivit v systémech obětí.

Aktivity skupin jako ATP28 a 29 jsou zaměřeny hlavně na získávání informací a ne k velkým kinetickým útokům, což poukazuje na ruský přístup ke kyberprostoru, který je založen na konceptech informační války a informační bezpečnosti. Události na Ukrajině ukazují, že koncept kybernetické války, by tedy měl být spíše chápán jako válka informační. Kybernetická válka může mít strategický, ale ne čistě vojenský efekt. Útoky tak mají pouze podpůrný charakter pro tradiční kinetický konflikt.

Nicméně, i to představuje značné nebezpečí, jelikož takové využití kyberprostoru má jasný psychologický efekt skrz ovlivňování veřejného mínění, podkopávání legitimity státních autorit nebo vytvářejí zmatku či strachu. Z více vojenského hlediska pak jde o manipulaci dat, softwaru a získávání důležitých informací.

Útok s velkým kinetickým dopadem vyžadující značnou finanční nebo technologickou podporou, by nezapadal do současného oficiálního diskurzu Ruska, které tvrdí, že do války na Ukrajině není nijak zapojeno. V případě otevřené války by tomu mohlo být samozřejmě jinak. Nicméně, na Ukrajině se jednoduchý fyzický útok stále prokázal být mnohem snazší a efektivnější.

Jednou z prvních obsazených budov při obsazení Krymu neidentifikovatelnými ruskými zelenými mužíčky byla budova Internet Exchange Point – čímž Rusové ihned získali kontrolu nad internetem na Krymu – bez potřeby kybernetického útoku. Stejně tak ukrajinští pravicoví extremisté jednoduše přestříhli elektrické vedení připojující Krym k ukrajinské elektrické sítí. Přestřihnutí drátu je tak stále jednodušší a rychlejší.

Před incidentem s elektrickou sítí v Ivano-Frankovské oblasti žádný z kybernetických útoků na Ukrajině nepřekročil hranici fyzického napadení. Rusko tak potvrdilo, že kyberprostor nabízí skvělý nástroj pro hybridní válku, zejména díky využívání šedé sféry mezinárodního práva a technické nemožnosti kybernetický útok s právní jistotou připsat jakémukoli aktérovi. Vzhledem k tomu, že útok na ukrajinskou elektrickou síť byl jen běžným a lehce zastavitelným incidentem, samotná kybernetická válka tak není přímou hrozbou.

Hrozbu ale představuje válka informační a fakt, že ministerstva obrany některých evropských členských států NATO se konceptům kybernetické a informační bezpečnosti nijak speciálně nevěnují, je ve světle událostí na Ukrajině rozhodně znepokojující.

Autor: Petr Boháček, pro Natoaktual