Někdy je potřeba opakovaně připomínat, že ruská agrese proti Ukrajině nezačala v únoru 2022, ale už v roce 2014. Co se týče kyberútoků, platí to dvojnásob. Cílem tohoto seriálu je popsat metody ruské kyberagrese a hlavní kyberútoky, ke kterým došlo na Ukrajině i v jiných státech. Nejde o výčet úplný, protože ten by si vyžádal mnohem víc prostoru, než máme k dispozici. Namísto toho si ukážeme příklady kyberútoků, které ilustrují specifické metody ruských zpravodajských služeb. Nebudeme se zabývat ani “běžnou” kyberšpionáží, které se vedle Ruska věnuje i většina ostatních států v zájmu zajištění vlastní bezpečnosti. Rusko ale podniká i kyberútoky, které mají znaky válečné agrese a mají za cíl přímo poškodit státy, které vnímá jako nepřátelské.
Kyberútok jako nástroj hybridní války
Kyberútoky jsou jako nástroj hybridní agrese velmi výhodné z několika důvodů. Prvním je schopnost přímo zasahovat týl nepřítele. V běžném kinetickém konfliktu mezi agresorem a civilní kritickou infrastrukturou oběti obvykle stojí bránící armáda, kterou je třeba porazit, nebo alespoň prolomit její obranu. Pak je teprve možné zasáhnout citlivá zařízení bránícího se státu. Kyberútok takový problém s obranou nemá, jak si ukážeme na několika příkladech z Ukrajiny i jiných zemí. Další výhodou je popiratelnost, tedy možnost agresora popřít, že za útokem stojí. Vysledovat agresora v kyberprostoru je složité a přinést nezvratné důkazy o jeho činnosti je prakticky nemožné. Útočník se tak může vydávat za nezávislou organizaci nebo za jiný stát. Další obrovskou výhodou kyberútoku je cena. Zatímco výdaje na účast v kinetickém konfliktu i malého rozsahu se záhy dostanou do řádů miliard dolarů, kyberútok je podstatně levnější záležitost. Obzvlášť pokud se podaří využít již existující kapacity IT odborníků a infrastrukturu, kterou disponuje například kyberkriminalita.
Estonsko bylo první
Prvním státem, který se stal obětí ruské kyberagrese velkého rozsahu, bylo v roce 2007 Estonsko. Místní vláda se rozhodla přesunout sochu rudoarmějce z náměstí v hlavním městě Tallinu na vojenský hřbitov. To vyvolalo odpor ruské vlády, která přesun vnímala jako útok na úlohu Rudé armády za druhé světové války.
Kromě protestů místní ruské komunity záhy následovala i bezprecedentní vlna kyberútoků. Většina z nich měla podobu takzvaných Distributed Denial of Service (DDoS), tedy zdánlivě poměrně nesofistikovaných útoků, které mají za cíl zahltit mnoha požadavky na spojení konektivitu cílového serveru. Ten v důsledku vyčerpání kapacity přestane odpovídat i na legitimní požadavky a zůstane nedostupný.
Estonsko bylo pro takové útoky ideálním cílem. Již v první dekádě 21. století dosáhlo vysoké míry digitalizace. Jeho IT infrastruktura tak byla pro obyvatele velmi důležitá a její narušení způsobilo nedostupnost základních funkcí státu a společnosti.
K útokům na Estonsko se jako organizátor přihlásilo hnutí “Naši”, tehdejší mládežnická organizace vládní strany Jednotné Rusko. Už první vyšetřování ale odhalilo, že skutečnost je jiná. Zaprvé, ani sebevětší ruské mládežnické hnutí by nedokázalo vygenerovat takový objem internetového provozu, jaký mířil na estonské servery. Tento provoz navíc evidentně vycházel ze známých kyberkriminálních botnetů. To jsou sítě běžných počítačů, které ovládají kyberzločinci a používají je pro své účely, jako je rozesílání spamu nebo podvody s internetovou reklamou. V roce 2007 dali kyberzločinci svou infrastrukturu plně do služeb ruského státu. Dalším důvodem nepravděpodobnosti oficiálního vysvětlení bylo přesné cílení útoků na klíčové prvky estonské internetové infrastruktury. To nebylo možné na základě informací dostupných mládežnickému hnutí, ale jen s pomocí státem řízených zpravodajských služeb.
Už tento první případ tak ukázal základní body, které můžeme v případech ruské kyberagrese sledovat dodnes. Jde o úzké propojení ruských zpravodajských služeb a kyberkriminálních gangů a vydávání se za “hacktivismus”, tedy politický aktivismus projevovaný pomocí online útoků.
Dlužno podotknout, že Estonsko se z ruské agrese poučilo. Kromě intenzivní práce na zvýšení odolnosti své kritické infrastruktury začalo rozvíjet aktivní kyberobranu, kterou formou organizace Cooperative Cyber Defence Center of Excellence (CCD COE) nabízí spojencům v NATO i dalším státům.
Kyberútok jako součást kinetické války
Už v následujícím roce ruská agrese dostala daleko závažnější podobu. Po celou první polovinu roku 2008 ruští aktéři v gruzínském regionu Jižní Osetie i dislokovaní ruští vojáci stupňovali provokace proti gruzínské armádě a pohraničníkům. Gruzínská vláda se pak v srpnu 2008 pokusila převzít kontrolu nad jihoosetinským městem Tsikinvali. Na Gruzínce zaútočila připravená ruská armáda a následovala krátká válka, ve které byly gruzínské síly poraženy a Rusko okupovalo další gruzínské území.
Připravená ale nebyla jen ruská armáda, ale i agrese v kyberprostoru. Gruzie byla v úplně jiné situaci než předchozího roku Estonsko. Gruzínská IT infrastruktura a služby nebyly zdaleka tak rozvinuté. Kyberútok také neměl za cíl vyřadit klíčové internetové služby, ale omezit spojení Gruzie se světem. Protože válka vypukla překvapivě, nebyli na místě zpravodajové západních médií. Omezení spojení z Gruzie znamenalo, že světová média musela přebírat zpravodajství ruských agentur a bez ohledu na vlastní sympatie tak přebírala i ruský narativ o průběhu konfliktu. Z technického hlediska byla situace útočníků o to snazší, že Gruzie měla velmi omezenou konektivitu se zahraničím. Šlo jen o dvě linky, z nichž jedna vedla přes Rusko (ta byla samozřejmě vyřazena jako první) a druhá přes Turecko. Při podrobné znalosti gruzínské internetové infrastruktury tak nebylo složité toto spojení vyřadit. Také tady ruská strana použila podobné metody, jako při útoku na Estonsko. Jednalo se převážně o DDoS útoky. Znovu se k nim přihlásilo hnutí Naši, ale ve skutečnosti je způsobil největší ruskojazyčný kyberkriminální gang, který se označoval jako “Business Club”.
Útoky na demokracii
Ačkoli se DDoS útoky Rusku nepochybně osvědčily, záhy se staly podstatně méně efektivními. Potenciální oběti se naučily lépe bránit a kritická internetová infrastruktura se stala méně zranitelnou. Zatímco Rusko v roce 2014 zahájilo rozsáhlou kyberagresi vůči Ukrajině (o té v příštím díle), začalo útočit i na západní státy, které obviňovalo ze snahy šířit demokracii a tak ohrožovat ruskou sféru vlivu.
Jedním z projevů této agrese vůči západním státům a jejich politickým procesům se staly útoky typu hack&leak. Jde o spojení kyberútoku a propagandy. Typickým příkladem jsou pokusy o ovlivnění amerických prezidentských voleb v roce 2016. Hned dva ruští aktéři (řízení zpravodajskými službami SVR a GRU) napadli emailové účty předních představitelů Demokratické strany. Ukradené emaily, které měly dokazovat volební manipulace, pak útočníci zveřejnili. Použili přitom známý server WikiLeaks a také se vydávali za rumunského hackera Guccifera 2.0. Původní Guccifer byl přitom skutečný rumunský hacker, který tou dobou byl už ale v americkém vězení.
Stojí za zmínku, že velmi podobný případ hack&leak zaznamenala i Česká republika. V roce 2016 se neznámý útočník dostal do soukromé emailové schránky tehdejšího předsedy vlády, Bohuslava Sobotky. Jeho emaily byly následně zveřejněny na neonacistickém serveru White Media. Ačkoli se útočníka v tomto případě nepodařilo identifikovat, útok nese jasné znaky “ruské školy”. Ať už jde o metodu hack&leak, nebo vydávání se za “hacktivistický” subjekt. Navíc k němu došlo v době vyhroceného konfliktu mezi Sobotkou a otevřeně proruským prezidentem Zemanem.
Výše uvedené případy zdaleka nejsou jediné příklady ruské agrese v kyberprostoru. Jejím cílem se stala řada dalších států a organizací. Můžeme zmínit World Anti-Doping Agency (WADA) nebo francouzskou televizi TV5 Monde. V tomto případě se ruští zpravodajci dokonce vydávali za příslušníky teroristické organizace Islámský stát. Množily se také příklady rostoucího prorůstání ruských zpravodajských služeb a kyberkriminality. Šlo například o aktivní ochranu zločinců ze strany Ruska a zejména bránění jejich vydání ke stíhání do USA. To jsme mohli sledovat i my na případu Jevgenije Nikulina, který byl zatčený v Česku. Objevily se také případy obvinění ruských expertů a policistů z velezrady poté, co na vyšetřování kyberkriminality spolupracovali s policejními orgány západních států. Zcela novou úroveň ale ruská kyberagrese dostala v roce 2014 v souvislosti s útokem na Ukrajinu.
Tomáš Flídr je zakládající člen Team4Ukraine, odborník na IT a kyberbezpečnost.
Powered by Froala Editor