Kyberválka na Ukrajině: bojiště tone v mlze, nejhorší obavy se zatím nenaplnily
Jan KašpárekRuský útok na Ukrajinu je doprovozen střetem v kybernetickém prostoru. Podle dostupných zpráv je však tento střet zatím menší, než se očekávalo. Existuje však riziko eskalace, Kreml patrně nevyložil všechny karty.
Agresi Ruské federace proti Ukrajině a střety na bojištích od začátku provází také kybernetická válka. Trvá ale ještě mnohem déle, nejrůznější formy útoků na Ukrajinu formou škodlivých kódů a přetěžování serverů státních i finančních institucí probíhají celých osm let od anexe Krymu.
Jakkoli se pozornost veřejnosti vlivem sociálních sítí stáčí k senzačním zprávám, podle nichž měl hackerský „kolektiv“ Anonymous nabourat to či ono, podstatně vlivnější zůstávají činy státních aktérů. Hlavně IT experti ve službách Kremlu v minulosti už prokázali, že se je nevyplatí podceňovat.
Český Národní úřad pro kybernetickou a informační bezpečnost, známější pod zkratkou NÚKIB, vydal již minulý pátek varování před celou škálou kyberútoků a špionážních metod cílených na „informační a komunikační systémy v České republice, zejména pak na systémy veřejné správy, ale i dalších strategických organizací“. Úřad riziko vyhodnotil jako kritické, tedy „velmi pravděpodobné až téměř jisté.“
A v kyberprostoru se opravdu dějí věci. Jen trochu jiné, než se obecně čekalo. Obě strany střetu se sice například snaží vzájemně si přetěžovat servery, ale skoro chybí zprávy o sofistikovaných a tvrdých formách IT útoků. „Kyberútoky na Ukrajinu jsou podezřelé svou absencí,“ komentoval v úterý The Economist.
Jenže je to trochu složitější. Ví se například, že krátce před a během zahájení invaze probíhala vůči Ukrajině alespoň částečná „palebná příprava“, pravděpodobně plánovaná delší dobu.
Slovenská firma ESET odhalila, že několik hodin před vojenským útokem, třiadvacátého března, začal neznámý aktér útok novým typem takzvaného wiperu, škodlivého kódu určeného k vymazání dat a vyřazení zasaženého počítače. Malware pojmenovaný „HermeticWiper“ měl zasáhnout řádově stovky zařízení finančních institucí a firem s vládními zakázkami. NÚKIB uvádí, že jím byly napadeny i cíle v Litvě a Lotyšsku.
„Tento rok spolu s útokem wiperu WhisperGate v polovině ledna znamená již druhý kybernetický útok na Ukrajině cílící na destrukci dat. V den invaze ruských sil pak byl zaznamenán třetí útok na systémy několika ukrajinských vládních institucí wiperem obdobné funkcionality pojmenovaným společností Eset ‚IsaacWiper‘. (…) Nelze vyloučit, že se s ohledem na situaci mohou cílem útoků stát i české instituce,“ komentuje Úřad. ESET dodává, že hned pětadvacátého, den po invazi, útočníci vypustili aktualizovanou a patrně účinnější verzi Isaacu.
Oba nové wipery byly podle všeho připraveny řádově měsíce předem. Vzbudily pozornost proto, že navazují na delší historii útoků proti Ukrajině, v některých případech skutečně vážných. V čele s útokem „NotPetya“, který roku 2017 napříč světem — ale především na Ukrajině — způsobil miliardové škody. Konkrétní původce nebyl znám, důvodné podezření ale padlo na Rusko. Výmluvné je, že prvotní útok tehdy přišel v předvečer ukrajinského Dne ústavy.
Na zamlženém bojišti
Velká část současných kybernetických kampaní je ale nejasnější a obestírá je válečná mlha. Důvodů je více. Zaprvé obecně v informačním prostoru koluje množství zavádějících či přímo falešných informací, patrně šířených s různými motivacemi oběma stranami konfliktu. Na internetu se přidává tradiční trolling, lidé vychloubající se neexistujícími zásluhami, sklon věřit ve špatných časech dobrým zprávám a podobně.
Zadruhé jsou zamlžené pojmy. Zmíněné oživení zájmu o Anonymous je zvlášť neurčité, neboť nejde (a ani dříve nešlo) o jednolitou skupinu, ale spíše o hlavičku, již může ke svému činu či předstírání činu připojit kdokoli. Prakticky nepochybně existují hackeři ve smyslu IT odborníků specializovaných na útok či obranu, kteří pod značkou alespoň ad hoc jednají. Stejně tak sem ale spadají aktivisté provozující patrně jen účty na sociálních sítích, případně zapojující se víceméně náhodně do jednoduchých DDoS kampaní na přetížení protivníkových serverů.
Pod hlavičku „Anonymních“ se potenciálně mohou ukrýt i státní aktéři, kteří nemohou přiznat zapojení do konfliktu, nebo činitelé ze soukromého sektoru. Soukromý sektor se mimochodem do technologické války zapojuje, čímž vznikají další neznámé: například britská firma ShadowBreak Intl tvrdí, že delší dobu odposlouchává část zastaralých ruských vysílaček a (otevřeně sama za sebe) zveřejňuje záznamy svědčící o kolabující morálce útočníků.
Zatřetí je velká část kyberútoků i běžně těžko ověřitelná z otevřených zdrojů. Instituce pod útokem nebývají nejsdílnější, státní útočníci se k činům zpravidla nepřiznávají, nestátní aktéři naopak svou činnost mnohdy zveličují. Přičtěme, že Rusko nepřiznává vlastní ztráty ani v poli, natož na IT úrovni, a vznikne prostor dokonalé nejistoty.