Agresi Ruské federace proti Ukrajině a střety na bojištích od začátku provází také kybernetická válka. Trvá ale ještě mnohem déle, nejrůznější formy útoků na Ukrajinu formou škodlivých kódů a přetěžování serverů státních i finančních institucí probíhají celých osm let od anexe Krymu.

Jakkoli se pozornost veřejnosti vlivem sociálních sítí stáčí k senzačním zprávám, podle nichž měl hackerský „kolektiv“ Anonymous nabourat to či ono, podstatně vlivnější zůstávají činy státních aktérů. Hlavně IT experti ve službách Kremlu v minulosti už prokázali, že se je nevyplatí podceňovat.

Český Národní úřad pro kybernetickou a informační bezpečnost, známější pod zkratkou NÚKIB, vydal již minulý pátek varování před celou škálou kyberútoků a špionážních metod cílených na „informační a komunikační systémy v České republice, zejména pak na systémy veřejné správy, ale i dalších strategických organizací“. Úřad riziko vyhodnotil jako kritické, tedy „velmi pravděpodobné až téměř jisté.“

A v kyberprostoru se opravdu dějí věci. Jen trochu jiné, než se obecně čekalo. Obě strany střetu se sice například snaží vzájemně si přetěžovat servery, ale skoro chybí zprávy o sofistikovaných a tvrdých formách IT útoků. „Kyberútoky na Ukrajinu jsou podezřelé svou absencí,“ komentoval v úterý The Economist.

Jenže je to trochu složitější. Ví se například, že krátce před a během zahájení invaze probíhala vůči Ukrajině alespoň částečná „palebná příprava“, pravděpodobně plánovaná delší dobu.

Slovenská firma ESET odhalila, že několik hodin před vojenským útokem, třiadvacátého března, začal neznámý aktér útok novým typem takzvaného wiperu, škodlivého kódu určeného k vymazání dat a vyřazení zasaženého počítače. Malware pojmenovaný „HermeticWiper“ měl zasáhnout řádově stovky zařízení finančních institucí a firem s vládními zakázkami. NÚKIB uvádí, že jím byly napadeny i cíle v Litvě a Lotyšsku.

„Tento rok spolu s útokem wiperu WhisperGate v polovině ledna znamená již druhý kybernetický útok na Ukrajině cílící na destrukci dat. V den invaze ruských sil pak byl zaznamenán třetí útok na systémy několika ukrajinských vládních institucí wiperem obdobné funkcionality pojmenovaným společností Eset ‚IsaacWiper‘. (…) Nelze vyloučit, že se s ohledem na situaci mohou cílem útoků stát i české instituce,“ komentuje Úřad. ESET dodává, že hned pětadvacátého, den po invazi, útočníci vypustili aktualizovanou a patrně účinnější verzi Isaacu.

Oba nové wipery byly podle všeho připraveny řádově měsíce předem. Vzbudily pozornost proto, že navazují na delší historii útoků proti Ukrajině, v některých případech skutečně vážných. V čele s útokem „NotPetya“, který roku 2017 napříč světem — ale především na Ukrajině — způsobil miliardové škody. Konkrétní původce nebyl znám, důvodné podezření ale padlo na Rusko. Výmluvné je, že prvotní útok tehdy přišel v předvečer ukrajinského Dne ústavy.

Na zamlženém bojišti

Velká část současných kybernetických kampaní je ale nejasnější a obestírá je válečná mlha. Důvodů je více. Zaprvé obecně v informačním prostoru koluje množství zavádějících či přímo falešných informací, patrně šířených s různými motivacemi oběma stranami konfliktu. Na internetu se přidává tradiční trolling, lidé vychloubající se neexistujícími zásluhami, sklon věřit ve špatných časech dobrým zprávám a podobně.

Zadruhé jsou zamlžené pojmy. Zmíněné oživení zájmu o Anonymous je zvlášť neurčité, neboť nejde (a ani dříve nešlo) o jednolitou skupinu, ale spíše o hlavičku, již může ke svému činu či předstírání činu připojit kdokoli. Prakticky nepochybně existují hackeři ve smyslu IT odborníků specializovaných na útok či obranu, kteří pod značkou alespoň ad hoc jednají. Stejně tak sem ale spadají aktivisté provozující patrně jen účty na sociálních sítích, případně zapojující se víceméně náhodně do jednoduchých DDoS kampaní na přetížení protivníkových serverů.

Pod hlavičku „Anonymních“ se potenciálně mohou ukrýt i státní aktéři, kteří nemohou přiznat zapojení do konfliktu, nebo činitelé ze soukromého sektoru. Soukromý sektor se mimochodem do technologické války zapojuje, čímž vznikají další neznámé: například britská firma ShadowBreak Intl tvrdí, že delší dobu odposlouchává část zastaralých ruských vysílaček a (otevřeně sama za sebe) zveřejňuje záznamy svědčící o kolabující morálce útočníků.

Zatřetí je velká část kyberútoků i běžně těžko ověřitelná z otevřených zdrojů. Instituce pod útokem nebývají nejsdílnější, státní útočníci se k činům zpravidla nepřiznávají, nestátní aktéři naopak svou činnost mnohdy zveličují. Přičtěme, že Rusko nepřiznává vlastní ztráty ani v poli, natož na IT úrovni, a vznikne prostor dokonalé nejistoty.

Postfaktický hacking

Příkladem posledních dní jsou zprávy, podle nichž Anonymous nabourali ruské státní televize, aby vysílaly pravdu o dění na Ukrajině, či podle jiné verze ukrajinskou hymnu. Jen prvotní video údajného vysílání má na Twitteru přes 12 milionů zhlédnutí. O události sice referovala mnohá západní média, z žádné ze zpráv ale nevyplývá, že by proběhlo skutečné ověření. Samotní Rusové mohou na sociálních sítích reagovat těžko, stát jim nejméně od soboty blokuje přímý přístup k Twitteru i Facebooku.

Událost tak v tuto chvíli nejde prohlásit za nutně falešnou, ale ani jasně potvrzenou. Není zcela nemožná, ale nepůsobí ani zvlášť pravděpodobně.

Ještě divočejší senzací bylo údajné ovládnutí ruských špionážních satelitů skrze nabourání ruské kosmické agentury. Twitterový účet „Anonymous TV“ zveřejnil danou informaci doloženou jen několika dosti neurčitými printscreeny. Hackerská skupina NB65, jež má za údajným útokem (a dalšími sofistikovanými, pro tuto chvíli také čistě údajnými útoky) stát, není konkrétnější. Naopak se setrvale vyjadřuje krypticky, předkládá screeny, jež nemusí nic znamenat, a odmítá doložit, jak přesně udávaných úspěchů dosáhla.

Co se týče nabourání satelitů, z více obecných i konkrétních důvodů — včetně principu „zvlášť závažná tvrzení vyžadují zvlášť pevné důkazy“ — působí zpráva velmi nedůvěryhodně. Okamžitě ale přišly tisíce retweetů a reakcí. Ruská strana informaci popřela: čímž ji možná ještě podpořila.

Pro senzační hackerské novinky je takový scénář typický. Problém nastává v momentu, kdy lidé propadnou vlivem všeobecně příznivých — a v tomto případě zřejmě falešných — zpráv dojmu, že je Rusko takřka na kolenou. Což zdaleka není.

Drobné radosti

Co naopak ověřitelné a ověřené je, jsou DDoS útoky (Distributed denial-of-service; poměrně primitivní metoda útoku založená na tom, že se cílový server přehltí mnoha požadavky o přístup, a je tak znefunkčněn například web) a takzvané defacementy (oproti DDoS skutečné nabourání něčeho, v tomto případě webové stránky, na které útočník nahradí původní obsah vlastním, typicky v podobě politického prohlášení).

Oba druhy útoků slouží spíše demoralizaci protivníka než reálnému poškození infrastruktury. Kromě kyberaktivistů se jim ovšem zjevně věnují i státy — jak Rusko, tak Ukrajina. Ta po invazi založila veřejnou „IT armádu“ s kanálem na Telegramu, která se podle dostupných informací zaměřuje právě na DDoS a defacement.

Druhá zmíněná metoda se projevila začátkem týdne i pod hlavičkou Anonymous. Na stránkách některých ruských médií včetně agentury TASS či tamější mutace Forbesu se místo běžného obsahu objevila výzva, aby se ruští občané postavili proti invazi.

Další příklady defacementu pozorujeme na Telegramu IT Army of Ukraine. Údajně se povedlo přepsat více než desítku webů pod ruským, respektive krymským poskytovatelem internetu Miranda-media. Čin se nepodařilo ověřit, po několika hodinách od údajného útoku jsou ale všechny dané portály offline, alespoň tedy při přístupu ze všemožných zemí kromě Ruska.

Defacement doplňují a doplňovaly — ať už plánovitě či náhodou — DDoS útoky na další ruská média. Mezi napadenými a shozenými se ocitla oficiální stránka Kremlu či některých ruských těžebních korporací. Více či méně intenzivním pokusům o útok čelily patrně alespoň vyšší desítky ruských webů.

Zdá se, že DDoS je do jisté míry koordinováno, mimo jiné zmíněným telegramovým kanálem „IT Army of Ukraine“. Poměrně pravidelně se tu objevují výzvy k útokům či oslavy momentálního výpadku webu, kupříkladu ruské tajné služby FSB.

Když dva dělají totéž, není to totéž

DDoS jako takový může přinést drobné nepohodlí, neudělat nic nebo zasažené instituci způsobit citelnější obtíž — zvláště je-li závislá na nepřetržité dostupnosti, jako jsou banky, média, úřady zrovna řešící krizovou situaci a podobně. Útok přehlcením je v internetové kultuře tradiční, spjatý s fenoménem Anonymous před zhruba deseti a více lety. Dnes se použití trochu liší.

V prvé řadě je tu rozdíl mezi skutečně intenzivním, cíleným útokem schopnějších či státních aktérů, kteří pro zahlcení nepřátelského serveru použijí takzvaný botnet (síť „zotročených“ zařízení od počítačů po prakticky cokoli, co je schopno připojit se k internetu), a víceméně nahodilým užíváním nyní populárních „ddosovacích“ webů.