Internet pod ognjem
Usklajeno z začetkom ruske invazije na Ukrajino je napreden hekerski napad onesposobil ponudnika satelitskega interneta KA-SAT in z interneta vrgel dobrih deset tisoč uporabnikov v Ukrajini ter okoliških državah. Toda strah, da gre za uvod v uničujoče digitalne napade na tamkajšnjo infrastrukturo, se ni uresničil, to dejstvo pa prinaša pomembne lekcije o dejanskem potencialu hekerskih orožij v večjih vojaških spopadih.
Zloslutne napovedi, da bomo v Ukrajini priče širokopoteznemu internetnemu opustošenju, so se zdele precej utemeljene. Rusija se je v preteklem desetletju profilirala kot zelo nevarna in brezobzirna sila v kibernetskem vojskovanju. Njene obveščevalno-varnostne službe usmerjajo več odlično usposobljenih in opremljenih ekip, ki jih večidel uporabljajo za vohunjenje po zahodnih omrežjih, občasno pa tudi za neposredne uničevalne napade. Zloglasne skupine medvedov, kot so Fancy Bear, Cozy Bear in Berserk Bear, so si razvpitost pridobile s serijo odmevnih vdorov, med drugim v parlamente in medijske hiše zahodnoevropskih držav, pa v ameriške ustanove ob predlanskem napadu SolarWinds.
Ukrajina je po zasedbi Krima leta 2014 za ruske hekerje postala še posebno priljubljen poligon, na katerem smo videli vrsto akcij. V letih 2015 in 2016 je skupina Sandworm, ki naj bi bila povezana z rusko vojaško obveščevalno službo, v delih države za več ur podrla elektrodistribucijsko omrežje. Isti ekipi pripisujejo tudi uničevalnega črva notpetya, ki je udaril leto pozneje in povzročil še dosti več preglavic. Avtomatizirani virus se je namreč iz Ukrajine hitro raztepel po svetu in okužil na tisoče ustanov. Na videz je imel obliko klasične izsiljevalske zlobne kode, ki zašifrira podatke in zanje zahteva odkupnino. Toda v resnici je datoteke zaklepal nepovratno in tako globalno povzročil za okoli deset milijard evrov škode, s čimer gre za enega najbolj uničevalnih virusov v zgodovini.
Za nameček smo lani videli vrhunec »epidemije« izsiljevalskih napadov (ransomware), ki imajo običajno izvor v kriminalnih tolpah iz vzhodne Evrope in Azije. V začetku maja je izsiljevalski vdor ohromil ameriškega distributerja goriva Colonial Pipeline, konec istega meseca pa še mesnega predelovalca JBS. Takrat so takšni napadi prvič v zgodovini prizadeli veliko ljudi hkrati, saj so mnogi obstali pred praznimi bencinskimi črpalkami. Ni sicer dokazov, da bi bile ruske oblasti s takšnimi tolpami neposredno povezane ali bi jih usmerjale, je pa mogoče pokazati, da si državni hekerji s kriminalci izmenjujejo orodja in izkušnje, prav tako med obema skupinama prehajajo njihovi člani.
Črni oblaki
Dogajanje v začetku letošnjega leta je napovedovalo, da se v Ukrajini pripravlja nekaj velikega. Sredi januarja se je v več tamkajšnjih državnih institucij pritihotapil virus, ki so ga pri Microsoftu poimenovali whispergate. Podobno kot notpetya je nosil krinko izsiljevalskega črva, a je šlo precej očitneje za »wiperja«, torej zlobno kodo, ki podatke pobriše. Sledil je hudournik napadov s preobremenitvijo ali DDoS (distributed denial of service), ki s čezmernim internetnim prometom zasičijo spletne strani, da postanejo nedostopne. Po podatkih ukrajinskih organov so sredi februarja zaznali po več sto napadov te vrste na dan, tarče pa so bile poleg vladnih spletnih strani tudi spletna mesta bank in transportnih podjetij.
Zato je Ukrajina takrat za pomoč zaprosila Evropsko unijo, ki se je 22. februarja odzvala z napotitvijo ducata varnostnih strokovnjakov, da bi Ukrajincem pomagali pri obrambi. Že naslednji dan je udarila nova digitalna radirka. Varnostni podjetji Eset in Symantec sta identificirali še enega črva, imenovanega hermeticwiper, ki je bil precej podoben whispergatu, le da se je osredotočal na brisanje podatkov, potrebnih za zagon računalnikov. Ta zlobna koda naj bi nastala decembra lani, kar daje približno sliko o tem, kdaj so napad načrtovali in začeli izvajati. V vseh treh naštetih primerih je pristojnim ukrajinskim službam škodo uspelo dodobra omejiti, a glede na izkušnje se je upravičeno porajal strah, da imajo Rusi na zalogi še bolj destruktivne prijeme.
Toda uvodoma opisani napad na satelitsko omrežje KA-SAT je bil v prvem mesecu vojne tudi edini omembe vreden hekerski podvig z ruske strani. Pri tem pravzaprav niso shekali samih satelitov, temveč so po doslej znanih podatkih pokvarili strojno kodo (firmware) modemov odjemalcev, da so postali neuporabni in jih je bilo treba zamenjati. Zadeva je povzročila nevšečnosti tudi zunaj Ukrajine, saj je omrežje, ki je sicer v lasti Viacoma, v rabi v več zahodnoevropskih državah. V Nemčiji je tako izpad onemogočil nadzor na daljavo za 5800 vetrnic za pridobivanje električne energije podjetja Enercon. Takšna kolateralna škoda je ena glavnih nevarnosti kibernetskih napadov z virusi, saj se ti lahko širijo nenadzorovano, kar v primeru interneta pomeni – povsod po svetu. Tako je bilo navsezadnje tudi z notpetyo.
Boj neznancev
A kdor je s strahom pričakoval uničene transformatorske postaje, iztirjene vlake in podivjane globalne viruse, si je lahko kmalu oddahnil. Namesto da bi uvodni dnevi ruskega napada odzvanjali v zloglasni hibridni vojni, se pravi spopadanju, ki kombinira ubojno silo z drugotnimi ukrepi, kot so digitalni napadi, propaganda in ekonomsko izsiljevanje, smo lahko v realnem času opazovali brezglavo dirkanje ruskih enot proti Kijevu. Ne samo da jim Ukrajincev ni uspelo utišati, internetni aktivisti pod rumeno-modro zastavo so nasprotnika v prvih tednih celo potolkli. O kibervojni ni bilo na videz ne duha ne sluha, povsem jo je zamenjal propagandni dvoboj med privrženci ene ali druge strani na družbenih omrežjih. Kaj se je zgodilo?
Najprej je treba poudariti, da srdit boj med IT-bojevniki v resnici ves čas poteka, le da je za zdaj razmeroma omejen na strokovnjake. To se pravi, medtem ko so običajni ljudje v iskanju grotesknih posnetkov prikovani na twitter, je dnevna rutina za ukrajinske in ruske sistemske administratorje ter varnostne uslužbence bistveno bolj pestra. Že prve dni je ukrajinski minister za digitalno transformacijo Mihajlo Fedorov pozval k oblikovanju »IT-armade«, množice prostovoljcev za napadanje ruskih spletnih mest. Organizirajo se skozi sporočilno aplikacijo telegram, med prvimi cilji na njihovem spisku pa so bila poleg ruskih vladnih in medijskih ustanov še podjetja v lasti Putinovih oligarhov. Zganila se je tudi razvpita združba aktivistov Anonymous in odločno stopila na stran Ukrajine. Na drugi strani so se na okope postavili ruski aktivisti in nekatere kriminalne združbe.
To je v prvih tednih spopada poskrbelo za kaotično in včasih komično dogajanje, ko so si različne ad hoc ekipe izmenjevale udarce. Po tem, ko je izsiljevalska tolpa Conti napovedala obrambo ruskih omrežij, je ukrajinski strokovnjak objavil njeno notranjo komunikacijo in jo hitro utišal. Ukrajinski aktivisti so vdrli v spletno stran medijske hiše Tass in objavili svoje podatke o ruskih izgubah v vojni, pričevanja pa so tudi o vdorih v ruske televizijske mreže ter objavah videoposnetkov z uničenjem iz Harkova in Mariupolja. Na drugi strani so ruske združbe uporabile svoje ogromne botnete, omrežja okuženih »zombi računalnikov«, in z napadi DDoS onesposabljale portale, skozi katere se je organiziral Anonymous. Hekersko delovanje je imelo doslej torej prvenstveno propagandno usmeritev, medtem ko se je internetno omrežje v Ukrajini obdržalo na nogah in še vedno igra bistveno vlogo pri širjenju ukrajinskega pogleda na konflikt.
Sesuta doktrina
Da o zloglasnih ruskih advanced persistent threat actorjih, kakor tamkajšnje državne hekerje imenujejo zahodni strokovnjaki, ta hip ne slišimo nič otipljivega, sta vsaj dva temeljna razloga. Najprej tisti, da je kibernetsko bojevanje bistveno bolj smiselno v mirnodobnem času kot pa v vojni. Elektroenergetsko ali transportno omrežje je neprimerno lažje onesposobiti tako, da se ga zbombardira, kot pa z digitalnim vdorom. Kraje podatkov, ki jih uprizarja Anonymous, so za ruska podjetja v luči sankcij zgolj malenkostna nadloga. Ponečedenja spletnih strani in napadi DDoS so razmeroma preprosti ukrepi, hitra in enostavna pa je tudi obramba pred njimi, zato je njihov učinek omejen in prehoden. Širokopotezni uničevalni napadi na infrastrukturo, ki delovanje družbe ohromijo za več dni, pa navadno zahtevajo veliko več truda, časa in sreče. Za nameček so močno oteženi, če jih napadeni pričakuje.
Pri najbolj škodljivih izsiljevalskih krizah v preteklih letih so zlikovci ciljana omrežja pritajeno opazovali več mesecev in se vanje pririnili z zlorabo raznoraznih ranljivosti ter lahkovernosti tamkajšnjih uslužbencev. To pomeni: za uspeh takšnih vdorov je ponavadi kriva malomarnost napadenega, pri čemer nepridipravi pač prečesavajo internet toliko časa, dokler ne najdejo primerne »luknje«. Napadanje točno določenih in dobro branjenih ciljev na točno določen datum je zato veliko zahtevnejši in dostikrat nemogoč podvig. Da bi ruski hekerji na začetku invazije lahko sočasno uprizorili daljšo serijo uspehov, kot je bil vdor v KA-SAT, bi morali akcije skrbno pripravljati več mesecev vnaprej in v tesnem sodelovanju z oboroženimi silami.
S tem povezan je drugi bistveni razlog za odsotnost ruskih potez v tej smeri: nedorečenost vojaškega načrta. Vladimir Putin naj bi načrtoval gladko zmago v nekaj dneh in ni želel uničiti ukrajinskih komunikacij. Po doslej znanih informacijah je za njegove namere vedel le ožji krog vojaškega vodstva, medtem ko naj bi sama odločitev za napad padla šele tik pred zdajci. V takšnem ozračju je izvajanje kibernetskih napadov za podporo vojaškemu delovanju močno oteženo. Zakaj obenem ne vidimo kaj dosti aktivnosti proruskih kriminalcev, pa so ti pojasnili kar sami. Združbe, kot je Lockbit, so navedle, da se ne mislijo vmešavati, ker vojna za njihov posel preprosto ni koristna. V oboroženih spopadih gospodarstvo trpi, kar pomeni manjše odškodnine za ugrabljene podatke, tudi zaradi klavzul zavarovalniških hiš, ki veljajo med vojno. Kriminalce pač zanima predvsem zaslužek in si nočejo nakopati na glavo še dodatnega srda vojaških kibernetskih bojevnikov.
Druga runda
Kaj v neprespanih nočeh doživljajo ukrajinski obrambni strokovnjaki, bomo bržkone izvedeli šele po koncu vojne. Znano je, da serviserji internetnih omrežij vsakodnevno tvegajo glavo na območjih spopadov, da popravljajo poškodovane vode. Vemo tudi, da plaz napadov DDoS z ruske strani ne pojenja in da si ruski državni hekerji verjetno ta hip dajejo največ opravka z vohunjenjem. Koliko je za odsotnost večjih ruskih uspehov zaslužna odpornost ukrajinskih omrežij, je še težko reči. V zadnjih letih so sicer Ukrajinci s pomočjo ZDA in Evropske unije svoje zmogljivosti občutno nadgradili. Ameriška organizacija USAID je med letoma 2018 in 2020 temu namenila nekaj čez 15 milijonov evrov, še dvakrat toliko pa jih je načrtovala za letos, a jo je prehitela vojna.
Odgovore bi lahko dali prihodnji tedni, saj je še najbolj smiselna napoved, da se bo hekersko delovanje okrepilo. Putinova vojska poskuša po šoku zaradi uvodnih ukrajinskih uspehov strniti vrste, obenem pa se zarisuje lažje določljiva frontna črta med vzhodom in zahodom Ukrajine. To za hekerje pomeni lažje določljive cilje in več časa v iskanju ranljivosti v njihovi obrambi. Konec marca je tako ukrajinsko komunikacijsko podjetje Ukrtelecom doživelo vdor, ki je za ves dopoldan spodnesel internetne povezave. Obenem velja opomniti, da bodo ruski cilji verjetno tudi zunaj vojnega območja, v »neprijateljskih« deželah. Prejšnji teden so britanski obveščevalci že poročali, da so zaznali pritisk na Natova omrežja. Severnoatlantska zveza je ob tem opozorila, da bi bil uničevalen napad na katero od članic lahko dovoljšen razlog za vstop v vojno, toda dobro vemo, kako prefinjeni provokatorji znajo biti ruski medvedje.
