Ukrajina právě teď čelí rozsáhlým kybernetickým útokům, které vypnuly webové stránky úřadu vlády, ministerstva zahraničí nebo kontrarozvědky. Existuje obava, že v případě ruského napadení mohou incidenty zásadně narůst a mířit na řízení dopravy, průmysl nebo elektrickou rozvodovou síť a komunikace. O kapacitách ukrajinské kybernetické obrany a možných scénářích jsme se bavili s Victorem Zhorou.
„Útoky v kybernetické sféře jsou součástí celkové hybridní strategie Ruska, se kterou se potýkáme už osm let. Od začátku tohoto roku ale sledujeme narůstající množství kybernetických incidentů a hybridních útoků,“ říká v aktuálním rozhovoru pro Voxpot ředitel odboru digitální transformace při Úřadu speciální komunikace a informační obrany Ukrajiny Viktor Zhora.
Vojtěch Boháč: Pokud mluvíme o tom, že jsou na hranicích tanky nebo rakety, tak si můžeme v základních obrysech představit, co se s nimi dá dělat. Co bychom pozorovali v případě opravdu rozsáhlého kyberútoku?
Viktor Zhora: To je důležitá otázka. Držel bych se ale dál od modelování konkrétních scénářů, abych tím nedával rady našim protivníkům. Nicméně pokud bude kybernetická operace doprovázet konvenční vojenskou invazi, tak je na místě mluvit o ohrožení kritické infrastruktury (infrastruktura klíčová pro chod společnosti a ekonomiky, pozn. red.). Tuhle zkušenost máme z doby, kdy se útočníci pokusili vypnout elektřinu v některých regionech. Ve třech regionech ukrajiny uspěli v roce 2015 a v Kyjevě pak v roce 2016. Oni mají zkušenosti s útoky, my máme zase zkušenost s obranou. Víme ale, že se tohle riziko může objevit znovu. Abychom se tomu vyhnuli, učinili jsme na konci minulého a v průběhu tohoto roku opatření na posílení naši kybernetické bezpečnosti. Zorganizovali jsme lepší výměnu informací a nastavili systém varování v případě incidentů na kritické infrastruktuře. Nastavili jsme tak nepřetržité monitorování podezřelých aktivit a jakýchkoliv anomálií, které se v kyberprostoru stanou. Proto teď doufáme, že kybernetické agresi odoláme.
V těchto dnech sledujeme narůstající množství ruských vojsk u ukrajinské hranice. Vidíme podobný vzorec i v ukrajinském kyberprostoru?
Běžně vidíme zhruba desetiprocentní nárůst kybernetických incidentů za kvartál. Máme k tomu své statistiky o aktivitách APT skupin (Advanced Persistent Threat Groups, většinou státem sponzorované skupiny schopné získat dlouhodobý utajený přístup do cílových počítačových systémů , pozn. red.), které jsou podporované Ruskem. Právě ty Ukrajinu neustále napadají. To je to, co sledujeme posledních osm let, počínaje útokem na náš volební systém, přes zmíněné útoky na elektrickou rozvodovou síť, a později destruktivní kampaň NotPetya. Všechny tyhle operace byly podle našich zjištění organizované Ruskem.
Jak se to vyvinulo během aktuální eskalace?
V posledních dvou měsících proběhly dva velké kyberútoky na vládní weby, banky a platební systémy. Jeden proběhl 13. až 14. ledna, ten druhý je DDoS útok (útok snažící se vyřadit webovou službu tím, že jí zahltí obrovským množstvím požadavků, pozn. red.), který začal před více než týdnem. Máme důkazy, které nás vedou k závěru, že útok v lednu byl proveden skupinou sponzorovanou Ruskou federací. A co se týče toho současného DDoS útoku, tak tam pokračujeme ve vyšetřován (Spojené státy útok připsaly vojenské rozvědce GRU, pozn. red.). Není snadné vysledovat původ takového útoku. Víme ale, že oba útoky proběhly na objednávku. Otázkou je, kdo si je objednal a kdo nařídil útoky na ukrajinské banky a vládní webové stránky. Abych to shrnul, i tyhle dvě aktivity jsou podle našeho názoru spojené s Ruskou federací a jí sponzorovanými skupinami.
Napadnout průmysl, vypnout internet
Mnoho analytiků i novinářů dnes očekává, že případný větší konvenční útok bude provázet také vypnutí internetu nebo mobilních sítí. Máte tyto věci dostatečně zabezpečené?
Aktivity proti ukrajinské kritické infrastruktuře můžou mířit i proti mobilním operátorům s cílem pokusit se vypnout internet. Mobilní operátoři tohle riziko vnímají. Pokud protivník povede elektronický boj a pokusí se například oslabit signál vysílačů nebo zaútočit na některé stanice BTS, je možné vypnout komunikaci v určitých oblastech. Ne však v celé zemi najednou. Co se týče internetu, tak ten je napojený tisíci přípojek na ostatní země a je tedy velmi složité izolovat od internetu celou zemi.
V jakých částech ukrajinské kritické infrastruktury vidíte aktivity Ruskem sponzorovaných skupin nejvíc?
Zaprvé, vidíme opakované útoky a pokusy vniknout do vládní sítě. Zkouší napadnout například státní registr a ukrást z něj data obyvatel. Nechci jmenovat konkrétní průmyslové oblasti, ale vidíme, že se pokouší vniknout například do řízení dopravy i dalších kritických průmyslových odvětví. Chci ale zopakovat, že jsme si těchto rizik vědomi a zavádíme potřebná opatření.
Které skupiny útočníků napojených na Rusko jsou na Ukrajině nejvíc aktivní?
To záleží na určitém období – byly tu Fancy Bear, Cozy Bear, v roce 2021 byl nejaktivnější Gamaredon.
Nedávno jsme viděli různé typy útoků jako DDOC nebo defacement (útoky, které zničí nebo promění webovou stránky, pozn. red.). Jaké jsou vaše kapacity bránit se takovým útokům? Máte stále dost kapacit reagovat na tyto útoky, když se dějí téměř každý den?
Ukrajina má kapacity bránit se. Na obraně kybernetické infrastruktury se podílí vládní i soukromé organizace, jsme v systémech výměny informací a máme rozsáhlé lidské zdroje, abychom mohli reagovat na případnou agresi. Co se týče posledních útoků, tak tam se nám podařilo všechno napravit a banky byly během krátkého času opět v provozu. Máme speciální partnerství a dohody s globálními IT společnostmi, které se zabývají kybernetickou bezpečností a tím pádem máme dostatečné kapacity odolávat.
Nebojíte se tedy, že budou vaše kapacity vyčerpány v případě rozsáhlého útoku z Ruska?
Je těžké hodnotit rozsah útoků, které se mohou stát. Máme za to, že nedávné DDOS útoky a kybernetické útoky celkově byly jen testování ukrajinských kapacity se bránit. Naše rychlá reakce v lednu i následné akce ukazují, že na tento stupeň a rozsah útoků jsme připraveni. Je nám ale jasné, že rozsah útoků může být větší.
Spoléháte se hlavně na obranu, nebo jste schopní útok také vrátit?
Ukrajina se pouze brání. Ve vojenské i kybernetické sféře. Neděláme útočné kybernetické operace. Chtěl bych všechny ujistit, že to tak opravdu je. Myslím si, že čistě obranná strategie může být dostatečně efektivní.
Takže nemáme čekat v případě útoku na Ukrajinu žádné kyberincidenty v Rusku?
Ukrajina se chovala v kybernetickém prostoru vždy zodpovědně a pokračujeme v tom i nadále. Nejsem si ale jistý, zda se to v případě opravdové agrese nezmění. Máme tu prezidentský dekret, který ustanovuje kybernetické sily a letos musíme přijmout speciální zákon a tyto síly zorganizovat.
Pocit bezpečí do každého domu
Bavili jsme se o vypínání vládních stránek nebo výpadcích elektřiny. Jaký je dopad těchto útoků na ukrajinskou populaci?
Jestli se bavíme o velkých masách lidí, tak ty zasáhl únorový útok na banky. Ty totiž byly pod útokem více než 20 hodin a některé platby nebo mobilní bankovnictví nebylo k dispozici. Klienti si toho samozřejmě všimli a můžeme říct, že to byl moment, kdy si mnozí lidé teprve uvědomili, že existují nějaké otázky spojené s kybernetickou bezpečností. Už předtím ale část společnosti zasáhl ransomwarový útok NotPetya, kdy lidé zjistili, že mají zašifrované počítače a ztracená data, nyní zase nefungovaly platební karty v supermarketech, na benzínkách, v automatech. Kyberútoky se tak dostaly prakticky do každého domu. Našim cílem je do každého ukrajinského domu přinést zpět pocit bezpečí.
Myslíte si, že takové incidenty mohou dovést lidi k pochybám, že je ukrajinská vláda může ochránit?
To je zřejmě cílem útočníků. Není to jen izolovaný kybernetický útok, je to součástí velké informační a psychologické operace proti Ukrajině. Kybernetická složka je jen jednou částí. Jedním z cílů je přesvědčit ukrajinské občany, že je vláda nedokáže ubránit. To samozřejmě není pravda. Věřím, že naše rychlá reakce jak v právní, tak v technické sféře dělají Ukrajinu mnohem odolnější vůči agresi v kyberprostoru.
V kybernetické oblasti je asi nejtěžší úkol najít původce útoku. Jak pracujete s atribucemi a jak se rozhodujete, že určitý útok budete sledovat podrobněji, protože je zřejmě spojený s Ruskem?
To je vždy náročný úkol. Podle mě první úspěšný ukrajinský případ vysledování původce útoku byl minulé léto, kdy Služba bezpečnosti Ukrajiny (ukrajinská kontrarozvědka, pozn. red.) odhalila identitu skupiny Gamaredon, krymské skupině spadající pod FSB složené částečně z lidí, kteří byli předtím v bezpečnostních složkách Ukrajiny. Přišli jsme na to ve spolupráci s našimi partnery a spojenci. Každá skupina má určité techniky, taktiky a postupy (zkráceně TTPs, pozn. red.), které analyzujeme. Jde o obrovské množství dat, které musíme zpracovat, abychom dospěli k nějakému závěru. Úspěch byl, když po přisouzení některých útoků skupině Sandworm bylo šest jejich členů obviněno Spojenými státy z kybernetických zločinů.
Je to velmi intenzivní a složitá práce, analyzovat všechny sesbírané digitální důkazy, analyzovat zpravodajské informace, propojit je s informacemi o kybernetických hrozbách, analyzovat vzorky malwaru a porovnat je s už známými škodlivými kódy, a to nemluvíme o úplně novém malwaru, který využívá zranitelnosti, které ještě nikdo neobjevil. Nicméně všechny tyhle aktivity mají dohromady za cíl dosáhnout konečné atribuce. Není jednoduchý úkol, ale jsme přesvědčeni, že potřebujeme stoprocentní důkazy, abychom všechny přesvědčili, že naše kroky byly správné.
Dostává se vám dostatečné pomoci od vašich spojenců?
Nepotřebujeme mezinárodní pomoc pro úplně všechny kybernetické incidenty, které řešíme. Například ten lednový útok byl ale největší za více než čtyři roky od kampaně NotPetya. Šlo o útok na počítačové systémy ukrajinské vlády, takže všechny atribuce by měly být velmi přesná, protože může být následně využita v prohlášeních a aktivitách geopolitického významu.