Kyberválka na Ukrajině: bojiště tone v mlze, nejhorší obavy se zatím nenaplnily

Jan Kašpárek

Ruský útok na Ukrajinu je doprovozen střetem v kybernetickém prostoru. Podle dostupných zpráv je však tento střet zatím menší, než se očekávalo. Existuje však riziko eskalace, Kreml patrně nevyložil všechny karty.

Míra kybernetických útoků ze strany Ruska je podstatně menší, než by být mohla. Důvodů může být více. Je možné, že jsou aktivity ruských hackerů omezeny protiakcemi ze strany Západu a posilováním ukrajinské schopnosti zmírňovat případné dopady útoků. Rusko také teoreticky mohlo situaci podcenit a zkrátka věřit, že není důvod se otravovat kyberbojem, když jeho tanky během pár dní obsadí celou zemi. Ilustrace FB Anonymous Portugal Legion

Agresi Ruské federace proti Ukrajině a střety na bojištích od začátku provází také kybernetická válka. Trvá ale ještě mnohem déle, nejrůznější formy útoků na Ukrajinu formou škodlivých kódů a přetěžování serverů státních i finančních institucí probíhají celých osm let od anexe Krymu.

Jakkoli se pozornost veřejnosti vlivem sociálních sítí stáčí k senzačním zprávám, podle nichž měl hackerský „kolektiv“ Anonymous nabourat to či ono, podstatně vlivnější zůstávají činy státních aktérů. Hlavně IT experti ve službách Kremlu v minulosti už prokázali, že se je nevyplatí podceňovat.

Český Národní úřad pro kybernetickou a informační bezpečnost, známější pod zkratkou NÚKIB, vydal již minulý pátek varování před celou škálou kyberútoků a špionážních metod cílených na „informační a komunikační systémy v České republice, zejména pak na systémy veřejné správy, ale i dalších strategických organizací“. Úřad riziko vyhodnotil jako kritické, tedy „velmi pravděpodobné až téměř jisté.“

A v kyberprostoru se opravdu dějí věci. Jen trochu jiné, než se obecně čekalo. Obě strany střetu se sice například snaží vzájemně si přetěžovat servery, ale skoro chybí zprávy o sofistikovaných a tvrdých formách IT útoků. „Kyberútoky na Ukrajinu jsou podezřelé svou absencí,“ komentoval v úterý The Economist.

Jenže je to trochu složitější. Ví se například, že krátce před a během zahájení invaze probíhala vůči Ukrajině alespoň částečná „palebná příprava“, pravděpodobně plánovaná delší dobu.

Slovenská firma ESET odhalila, že několik hodin před vojenským útokem, třiadvacátého března, začal neznámý aktér útok novým typem takzvaného wiperu, škodlivého kódu určeného k vymazání dat a vyřazení zasaženého počítače. Malware pojmenovaný „HermeticWiper“ měl zasáhnout řádově stovky zařízení finančních institucí a firem s vládními zakázkami. NÚKIB uvádí, že jím byly napadeny i cíle v Litvě a Lotyšsku.

„Tento rok spolu s útokem wiperu WhisperGate v polovině ledna znamená již druhý kybernetický útok na Ukrajině cílící na destrukci dat. V den invaze ruských sil pak byl zaznamenán třetí útok na systémy několika ukrajinských vládních institucí wiperem obdobné funkcionality pojmenovaným společností Eset ‚IsaacWiper‘. (…) Nelze vyloučit, že se s ohledem na situaci mohou cílem útoků stát i české instituce,“ komentuje Úřad. ESET dodává, že hned pětadvacátého, den po invazi, útočníci vypustili aktualizovanou a patrně účinnější verzi Isaacu.

Oba nové wipery byly podle všeho připraveny řádově měsíce předem. Vzbudily pozornost proto, že navazují na delší historii útoků proti Ukrajině, v některých případech skutečně vážných. V čele s útokem „NotPetya“, který roku 2017 napříč světem — ale především na Ukrajině — způsobil miliardové škody. Konkrétní původce nebyl znám, důvodné podezření ale padlo na Rusko. Výmluvné je, že prvotní útok tehdy přišel v předvečer ukrajinského Dne ústavy.

Na zamlženém bojišti

Velká část současných kybernetických kampaní je ale nejasnější a obestírá je válečná mlha. Důvodů je více. Zaprvé obecně v informačním prostoru koluje množství zavádějících či přímo falešných informací, patrně šířených s různými motivacemi oběma stranami konfliktu. Na internetu se přidává tradiční trolling, lidé vychloubající se neexistujícími zásluhami, sklon věřit ve špatných časech dobrým zprávám a podobně.

Zadruhé jsou zamlžené pojmy. Zmíněné oživení zájmu o Anonymous je zvlášť neurčité, neboť nejde (a ani dříve nešlo) o jednolitou skupinu, ale spíše o hlavičku, již může ke svému činu či předstírání činu připojit kdokoli. Prakticky nepochybně existují hackeři ve smyslu IT odborníků specializovaných na útok či obranu, kteří pod značkou alespoň ad hoc jednají. Stejně tak sem ale spadají aktivisté provozující patrně jen účty na sociálních sítích, případně zapojující se víceméně náhodně do jednoduchých DDoS kampaní na přetížení protivníkových serverů.

Vladimir Putin se teď zřejmě neusmívá, ovšem není to tím, že máte v prohlížeči otevřenou tuto stránku. Printscreen DR

Pod hlavičku „Anonymních“ se potenciálně mohou ukrýt i státní aktéři, kteří nemohou přiznat zapojení do konfliktu, nebo činitelé ze soukromého sektoru. Soukromý sektor se mimochodem do technologické války zapojuje, čímž vznikají další neznámé: například britská firma ShadowBreak Intl tvrdí, že delší dobu odposlouchává část zastaralých ruských vysílaček a (otevřeně sama za sebe) zveřejňuje záznamy svědčící o kolabující morálce útočníků.

Zatřetí je velká část kyberútoků i běžně těžko ověřitelná z otevřených zdrojů. Instituce pod útokem nebývají nejsdílnější, státní útočníci se k činům zpravidla nepřiznávají, nestátní aktéři naopak svou činnost mnohdy zveličují. Přičtěme, že Rusko nepřiznává vlastní ztráty ani v poli, natož na IT úrovni, a vznikne prostor dokonalé nejistoty.

Postfaktický hacking

Příkladem posledních dní jsou zprávy, podle nichž Anonymous nabourali ruské státní televize, aby vysílaly pravdu o dění na Ukrajině, či podle jiné verze ukrajinskou hymnu. Jen prvotní video údajného vysílání má na Twitteru přes 12 milionů zhlédnutí. O události sice referovala mnohá západní média, z žádné ze zpráv ale nevyplývá, že by proběhlo skutečné ověření. Samotní Rusové mohou na sociálních sítích reagovat těžko, stát jim nejméně od soboty blokuje přímý přístup k Twitteru i Facebooku.

Událost tak v tuto chvíli nejde prohlásit za nutně falešnou, ale ani jasně potvrzenou. Není zcela nemožná, ale nepůsobí ani zvlášť pravděpodobně.

Ještě divočejší senzací bylo údajné ovládnutí ruských špionážních satelitů skrze nabourání ruské kosmické agentury. Twitterový účet „Anonymous TV“ zveřejnil danou informaci doloženou jen několika dosti neurčitými printscreeny. Hackerská skupina NB65, jež má za údajným útokem (a dalšími sofistikovanými, pro tuto chvíli také čistě údajnými útoky) stát, není konkrétnější. Naopak se setrvale vyjadřuje krypticky, předkládá screeny, jež nemusí nic znamenat, a odmítá doložit, jak přesně udávaných úspěchů dosáhla.

Co se týče nabourání satelitů, z více obecných i konkrétních důvodů — včetně principu „zvlášť závažná tvrzení vyžadují zvlášť pevné důkazy“ — působí zpráva velmi nedůvěryhodně. Okamžitě ale přišly tisíce retweetů a reakcí. Ruská strana informaci popřela: čímž ji možná ještě podpořila.

Pro senzační hackerské novinky je takový scénář typický. Problém nastává v momentu, kdy lidé propadnou vlivem všeobecně příznivých — a v tomto případě zřejmě falešných — zpráv dojmu, že je Rusko takřka na kolenou. Což zdaleka není.

Drobné radosti

Co naopak ověřitelné a ověřené je, jsou DDoS útoky (Distributed denial-of-service; poměrně primitivní metoda útoku založená na tom, že se cílový server přehltí mnoha požadavky o přístup, a je tak znefunkčněn například web) a takzvané defacementy (oproti DDoS skutečné nabourání něčeho, v tomto případě webové stránky, na které útočník nahradí původní obsah vlastním, typicky v podobě politického prohlášení).

Oba druhy útoků slouží spíše demoralizaci protivníka než reálnému poškození infrastruktury. Kromě kyberaktivistů se jim ovšem zjevně věnují i státy — jak Rusko, tak Ukrajina. Ta po invazi založila veřejnou „IT armádu“ s kanálem na Telegramu, která se podle dostupných informací zaměřuje právě na DDoS a defacement.

Druhá zmíněná metoda se projevila začátkem týdne i pod hlavičkou Anonymous. Na stránkách některých ruských médií včetně agentury TASS či tamější mutace Forbesu se místo běžného obsahu objevila výzva, aby se ruští občané postavili proti invazi.

Další příklady defacementu pozorujeme na Telegramu IT Army of Ukraine. Údajně se povedlo přepsat více než desítku webů pod ruským, respektive krymským poskytovatelem internetu Miranda-media. Čin se nepodařilo ověřit, po několika hodinách od údajného útoku jsou ale všechny dané portály offline, alespoň tedy při přístupu ze všemožných zemí kromě Ruska.

Defacement doplňují a doplňovaly — ať už plánovitě či náhodou — DDoS útoky na další ruská média. Mezi napadenými a shozenými se ocitla oficiální stránka Kremlu či některých ruských těžebních korporací. Více či méně intenzivním pokusům o útok čelily patrně alespoň vyšší desítky ruských webů.

Zdá se, že DDoS je do jisté míry koordinováno, mimo jiné zmíněným telegramovým kanálem „IT Army of Ukraine“. Poměrně pravidelně se tu objevují výzvy k útokům či oslavy momentálního výpadku webu, kupříkladu ruské tajné služby FSB.

Když dva dělají totéž, není to totéž

DDoS jako takový může přinést drobné nepohodlí, neudělat nic nebo zasažené instituci způsobit citelnější obtíž — zvláště je-li závislá na nepřetržité dostupnosti, jako jsou banky, média, úřady zrovna řešící krizovou situaci a podobně. Útok přehlcením je v internetové kultuře tradiční, spjatý s fenoménem Anonymous před zhruba deseti a více lety. Dnes se použití trochu liší.

V prvé řadě je tu rozdíl mezi skutečně intenzivním, cíleným útokem schopnějších či státních aktérů, kteří pro zahlcení nepřátelského serveru použijí takzvaný botnet (síť „zotročených“ zařízení od počítačů po prakticky cokoli, co je schopno připojit se k internetu), a víceméně nahodilým užíváním nyní populárních „ddosovacích“ webů.

Ty uživatelům nabízejí připojit se k mezinárodnímu útoku, k čemuž stačí si otevřít stránku v prohlížeči. Skript rozběhnutý na dané stránce sice skutečně vysílá požadavky na vypsané ruské mediální, státní a komerční weby, aktivita má ale své limity, jež ji podle některých expertů posouvají na hranici bezúčelnosti.

Počty dotazů na dané portály nejsou zvlášť velké, k efektu by tedy bylo zapotřebí skutečně mnoho účastníků. Pro ruské správce serverů navíc není problém přístupy z Evropy zkrátka zablokovat — a řada tamějších webů, jako je státní televize RT, podobnou ochranu po prvotních DDoS výpadcích obratem zavedla. Dá se sice obejít, servery je ale naopak možné zabezpečit i proti opakovaným požadavkům jako takovým.

Má tedy aktivita smysl? Těžko říci — pokud jsou ruské weby špatně spravované a „útoku“ se účastní opravdu mnoho lidí, snad. Faktem je, že některé portály zahrnuté v nejznámějších DDoSovacích stránkách vykazovaly problémy nebo padaly. Na druhou stranu se nabízí, že Ukrajině jde pomoci i jednoznačněji, například zasláním peněz.

Uživatelé by si měli být alespoň vědomi, že pokud na danou „útočnou“ stránku přistupují bez VPN a ze svého běžného prohlížeče, poskytují provozovateli potenciálně mnoho vlastních údajů. Proto před podobnými aktivitami varovala česká kyberbezpečnostní firma Avast. Je navíc teoreticky možné, že některé stránky maskující se jako DDoS útok na Rusko budou falešné — směřující provoz jinam —, případně budou obsahovat škodlivý kód.

Podílení se na DDoS může být hodnoceno jako trestný čin, byť se zdá velmi nepravděpodobné, že by represivní složky zrovna nyní něco podobného zajímalo. I tak patrně minimálně v jednom nedávném případě český poskytovatel webhostingu ukončil provoz stránky, která útok z prohlížeče umožňovala.

Pro Rusko jde o rutinu

DDoS se tradičně a někdy úspěšně věnuje především Rusko. Ještě déle před invazí, čtrnáctého února, proběhl asi největší útok na weby ukrajinských úřadů za několik let. Vypadl provoz asi sedmdesáti stránek, na některých proběhl defacement protiukrajinskými výhrůžkami. V dalších dnech DDoS útoky přerušily fungování několika ukrajinských bank a webu armády. Velká Británie z akce přímo obvinila Ruskou federaci, potažmo tamější rozvědku GRU.

Útokům přetížením čelila například i ukrajinská ambasáda v České republice či portály ministerstva vnitra a policie. Výpadky byly poměrně malé. Pod útokem byla dříve i některá zdejší média v čele s Českou televizí. DDoS udeřil i na českého poskytovatele webového hostingu Wedos působícího v Rusku, který si na svůj ruský web dal na protest proti invazi ukrajinskou vlajku. Útok byl podle ředitele firmy poměrně silný, nyní ovšem portál normálně funguje.

Jak popsala BBC, neangažuje se zřejmě jen stát, ale i „vlastenečtí“ nadšenci, kteří ve volném čase přehlcují ukrajinské servery a provádějí i nikoli zvlášť sofistikované, ale poměrně účinné druhy dalších útoků. Údajně se mimo jiné připojují k šíření zmatku rozesíláním bombových hrozeb.

Krom toho se ruští hackeři věnují reálnějším formám kybernetického boje, hlavně shora zmíněnému rozesílání škodlivého softwaru, který má schopnost zasažené instituce buď úplně paralyzovat nebo je alespoň připravit o část provozuschopných počítačů a dat. Dlouhodobým fenoménem je vyděračský ransomware — škodlivý kód, který po průniku do sítě zašifruje disky napadených zařízení a požaduje výkupné za odemčení.

Jde o doménu (často ruských) kyberzločinců zasílajících typicky viry do různých firem v přílohách e-mailů. NÚKIB v nynějším kontextu i dříve před ransomwarem varoval mimo jiné nemocnice. Jaký efekt má zašifrování všech nemocničních systémů, jsme viděli začátkem pandemie, kdy jednomu z daných virů padla za oběť nemocnice v Benešově.

Pokud je Kreml připravený, může přitvrdit

V úhrnu kolem ruské agrese vůči Ukrajině probíhá i kybernetický boj, ale jeho míra je vskutku podstatně menší, než by být mohla. Důvodů může být více. Je možné, že jsou aktivity ruských hackerů omezeny protiakcemi ze strany Západu a posilováním ukrajinské schopnosti zmírňovat případné dopady útoků. Rusko také teoreticky mohlo situaci podcenit a zkrátka věřit, že není důvod se otravovat kyberbojem, když jeho tanky během pár dní obsadí celou zemi.

Nenaplnily se zatím teorie o vyloženě apokalyptických akcích, jež by vyřadily z provozu zásadní, často nevalně zabezpečenou civilní infrastrukturu (rozvody energií, hromadnou dopravu a celkově základní logistické systémy nezbytné pro fungování společnosti). Také se dosud neobjevily zprávy o přímém využití IT boje v „kinetické“ válce, tedy přímo na fyzickém bojišti.

Příprava obojího by si žádala čas, nejde tedy snad o něco, co by šlo nyní udělat jen tak na koleni. Rizika ale existují, neexistuje navíc záruka, že Kreml nedisponuje promyšlenou a tvrdou strategií kyberútoku, kterou pouze dosud nespustil. Bylo by to spíše k podivu.

To platí i obecně. V České republice se sice připravenost na kybernetický konflikt v posledních letech jistě zlepšila, instituce působí vzdělaněji než před několika lety a mimo jiné se NÚKIB vskutku systematicky věnuje varováním a konkrétním doporučením k aktuálním hrozbám, na druhou stranu je evidentní, že zdejší veřejný sektor často není s to zaplatit prvotřídní odborníky a řada jeho zaměstnanců má patrně o IT hrozbách jen velmi základní přehled.

Hovoří-li se v aktuálním kontextu o zlepšení české připravenosti na další konflikty, bude jistě namístě investovat nejen do konvenčních bojových prostředků, ale nadále i do kybernetické obrany. Kreml takřka určitě zatím nevyložil všechny karty.