Obrana Ukrajiny: Prvotné poznatky z kybernetickej vojny

Nebolo žiadnym prekvapením, že Rusko namierilo skorý raketový útok na štátne údajové centrum Ukrajiny, a podobne zraniteľné voči útokom konvenčnými zbraňami boli aj iné lokálne servery. Rusko tiež zaútočilo na lokálne počítačové siete svojimi ničivými útokmi typu wiper. Ukrajina si však úspešne zachovala svoje civilné a vojenské operácie tým, že svoju digitálnu infraštruktúru rýchlo rozmiestnila do verejného cloudu, vďaka čomu sa hostiteľom tejto infraštruktúry stali údajové centrá v Európe.

Tento počin zahŕňal rýchle a mimoriadne kroky naprieč celým technologickým sektorom, na ktorých sa podieľal aj Microsoft. Hoci bola práca technologického sektora kľúčová, je zároveň dôležité zamyslieť sa nad dlhotrvajúcejšími poznatkami vyplývajúcimi z tohto úsilia.

Keďže kybernetické aktivity sa nedajú pozorovať voľným okom, pre novinárov a dokonca aj mnohých vojenských analytikov je ťažšie ich sledovať. Microsoft pozoroval viaceré vlny ničivých kybernetických útokov vedených ruským vojskom proti 48 konkrétnym ukrajinským úradom a podnikom. Ich cieľom bolo preniknúť do sieťových domén tak, že najprv napadli stovky počítačov, ktoré následne rozširovali škodlivý softvér navrhnutý na ničenie softvéru a údajov v tisíckach ďalších.

Ruské kybernetické taktiky vo vojne sa líšili od tých, ktoré boli použité pri útoku NotPetya cieleného na Ukrajinu v roku 2017. Pri tomto útoku s použil ničivý škodlivý softvér typu wormable, ktorý mohol preskakovať medzi jednotlivými počítačovými doménami, a teda aj cez hranice do iných krajín. V roku 2022 si Rusko dalo pozor, aby ničivý softvér typu wiper obmedzilo len na konkrétne sieťové domény vnútri samotnej Ukrajiny. Najnovšie a prebiehajúce ničivé útoky sú však sofistikované a ich rozsah je väčší ako ten, ktorý mu pripisujú mnohé správy. Ruská armáda zároveň tieto ničivé útoky ďalej prispôsobuje meniacim sa potrebám vojny, čo zahŕňa aj spájanie kybernetických útokov s použitím konvenčných zbraní.

Definujúcim aspektom týchto ničivých útokov je zatiaľ sila a relatívna úspešnosť kybernetickej obrany. Hoci nie je dokonalá a niektoré ničivé útoky boli úspešné, kybernetická obrana sa ukázala ako silnejšia než útočné kybernetické prostriedky. To odráža dva dôležité a najnovšie trendy. Prvým sú pokroky v analýze hrozieb vrátane používania umelej inteligencie, ktoré pomohli k tomu, aby bolo možné tieto útoky efektívnejšie zistiť. Druhým je skutočnosť, že ochrana koncových bodov pripojených na internet umožnila rýchlu distribúciu ochranného softvérového kódu do cloudových služieb aj iných pripojených počítačových zariadení, vďaka čomu sa tento škodlivý softvér identifikoval a znefunkčnil. Túto ochranu ďalej posilňujú pokračujúce inovácie a opatrenia v čase vojny, ktoré sa uplatňujú v súčinnosti s ukrajinskou vládou. Na zachovanie tejto defenzívnej výhody však bude veľmi pravdepodobne potrebná pokračujúca ostražitosť a inovácie.

V spoločnosti Microsoft sme zaznamenali ruské pokusy o neoprávnené vniknutie do sietí 128 organizácií v 42 krajinách mimo Ukrajiny. Hoci ruským cieľom číslo jeden sú Spojené štáty, prioritou pre túto aktivitu je aj Poľsko, v ktorom sa koordinuje veľká časť logistiky dodávok vojenskej a humanitárnej pomoci. Ruské aktivity boli cielené aj na baltské krajiny a v posledných dvoch mesiacoch došlo k nárastu podobných aktivít zameraných na počítačové siete v Dánsku, Nórsku, Fínsku, Švédsku a Turecku. Zaznamenali sme tiež nárast podobných aktivít zacielených na ministerstvá zahraničných vecí krajín NATO.

Prioritnými ruskými cieľmi boli vládne orgány, a to najmä v rámci členských štátov NATO. Zoznam cieľov však zahŕňal aj think tanky, humanitárne organizácie, IT spoločnosti a dodávateľov energie a inej kritickej infraštruktúry. Podľa našich zistení majú ruské cielené útoky od začiatku vojny úspešnosť na úrovni 29 percent. Štvrtina týchto úspešných neoprávnených vniknutí viedla k potvrdenej exfiltrácii údajov organizácie, hoci ako je vysvetlené v správe, ide o podhodnotenie ruských úspechov.

Najväčšie obavy máme naďalej z vládnych počítačov, ktoré sú prevádzkované lokálne a nie v cloude. Odzrkadľuje to aktuálny a celosvetový stav útočnej kybernetickej špionáže a obrannej kybernetickej ochrany. Ako preukázal incident SolarWinds pred 18 mesiacmi, ruské spravodajské služby disponujú mimoriadne sofistikovanými prostriedkami na implantáciu kódu a pôsobia ako rozšírená trvalá hrozba (APT), ktorá dokáže neustále získavať a exfiltrovať citlivé informácie zo siete. Obranná ochrana odvtedy významne pokročila, avšak implementácia týchto pokrokov v európskych štátnych orgánoch je naďalej nerovnomernejšia ako v Spojených štátoch. V dôsledku toho má kolektívna obrana stále významné slabiny.

Psychologické operácie cielené na zahraničie kombinujú taktiky vyvinuté Federálnou bezpečnostnou službou (FSB) v priebehu niekoľkých desaťročí s novými digitálnymi technológiami a internetom, vďaka čomu majú širší geografický dosah, väčší objem, presnejšie cielenie a väčšiu rýchlosť a flexibilitu. V prípade vhodného plánovania a sofistikovanosti žiaľ tieto kybernetické psychologické operácie majú dobré predpoklady na to, aby využili dlhoročnú otvorenosť demokratických spoločností, ako aj polarizáciu verejnosti príznačnú pre súčasnosť.

V rámci pokračujúcej vojny v Ukrajine cielia ruské služby svoje kybernetické psychologické operácie na štyri rôzne cieľové skupiny. Zameriavajú sa na ruské obyvateľstvo s cieľom udržať podporu pre vojenské úsilie. Zameriavajú sa na ukrajinské obyvateľstvo s cieľom podkopať dôveru v odhodlanie a schopnosť krajiny odolávať ruským útokom. Zameriavajú sa na americké a európske obyvateľstvo s cieľom podkopať jednotu západných krajín a odvádzať pozornosť od kritiky vojnových zločinov ruského vojska. Začínajú sa tiež zameriavať na obyvateľstvo neutrálnych krajín, potenciálne a sčasti v záujme udržania ich podpory v rámci OSN a na iných fórach.

Ruské kybernetické psychologické operácie stavajú na taktikách vyvinutých pre iné kybernetické aktivity a sú s nimi prepojené. Tímy označované ako rozšírený trvalý manipulátor (Advance Persistent Manipulator – APM) pôsobia cez sociálne siete a digitálne platformy rovnako ako tímy APT pracujúce v rámci ruských spravodajských služieb. Vopred na ne rozmiestňujú falošné naratívy podobnými spôsobmi, aké sa používajú aj pri vopred rozmiestňovanom škodlivom softvéri a inom softvérovom kóde. Následne spúšťajú rozsiahle a súbežné „informovanie“ o týchto naratívoch cez štátom spravované a spriaznené webové lokality, pričom tieto svoje naratívy umocňujú prostredníctvom technologických nástrojov určených na zneužívanie sociálnych sietí. Nedávne príklady zahŕňajú naratívy týkajúce sa biologických laboratórií v Ukrajine a snahy o zastretie vojenských útokov na ukrajinské civilné ciele.

V rámci novej iniciatívy v Microsofte túto kybernetickú hrozbu sledujeme a prognózujeme s využitím umelej inteligencie, nových analytických nástrojov, širších množín údajov a rozrastajúceho sa kolektívu expertov. Náš odhad stanovený s využitím týchto nových prostriedkov je, že ruské kybernetické psychologické operácie od začiatku vojny posilnili šírenie ruskej propagandy v Ukrajine o 216 percent a v USA o 82 percent.

Tieto pokračujúce ruské operácie stavajú na nedávnych sofistikovaných snahách o šírenie falošných naratívov o ochorení COVID-19 vo viacerých západných krajinách. Tie zahŕňali štátom podporované kybernetické psychologické operácie v roku 2021, ktorých cieľom bolo spochybňovať očkovanie prostredníctvom internetových správ v angličtine a zároveň naopak nabádať k používaniu vakcín prostredníctvom lokalít v ruštine. V priebehu posledných šiestich mesiacov sa podobné ruské kybernetické psychologické operácie usilovali o vyvolanie odporu verejnosti voči politikám týkajúcim sa ochorenia COVID-19 na Novom Zélande a v Kanade.

Túto prácu v Microsofte budeme ďalej rozvíjať v nadchádzajúcich týždňoch a mesiacoch. Popri internom raste to zahŕňa aj minulý týždeň ohlásenú zmluvu o akvizícii poprednej spoločnosti Miburo Solutions, ktorá sa zaoberá analýzou a výskumom kybernetických hrozieb so špecializáciou na odhaľovanie zahraničných kybernetických psychologických operácií a reagovanie na ne.

Znepokojuje nás, že mnohé súčasné ruské kybernetické psychologické operácie v súčasnosti prebiehajú mesiace bez náležitého odhalenia, analýzy či informovania verejnosti. Čoraz viac vplývajú na širokú škálu dôležitých inštitúcií vo verejnom aj súkromnom sektore. A je pravdepodobné, že čím dlhšie bude trvať vojna v Ukrajine, tým významnejšími sa tieto operácie stanú pre samotnú Ukrajinu. Dôvodom je, že dlhšia vojna si bude vyžadovať zachovanie pokračujúcej verejnej podpory napriek neodvratnému narastaniu únavy. To len zdôrazňuje naliehavosť a dôležitosť posilnenia obrany západných krajín proti týmto typom zahraničných kybernetických psychologických útokov.

Hoci sú medzi týmito hrozbami rozdiely, vojna v Ukrajine ilustruje, že ruská vláda ich nerealizuje ako oddelené činnosti a nemali by sme ich dávať do oddelených analytických korpusov. Z diania v Ukrajine navyše vidno, že pri obranných stratégiách je nutné brať do úvahy koordináciu týchto kybernetických operácií s kinetickými vojenskými operáciami.

Na marenie týchto kybernetických hrozieb je potrebný ďalší pokrok, ktorý bude stáť na štyroch spoločných princípoch a, minimálne na najvyšších úrovniach, aj na spoločnej stratégii. Prvý obranný princíp by mal zohľadňovať, že ruské kybernetické hrozby rozširuje spoločný súbor aktérov vnútri ruskej vlády i mimo nej a opierajú sa o podobné digitálne taktiky. Na boj proti nim preto bude potrebný pokrok v oblasti digitálnej technológie, umelej inteligencie a údajov. Druhým princípom je, že na rozdiel od tradičných hrozieb v minulosti je pri reagovaní na kybernetické hrozby potrebná väčšia spolupráca verejného a súkromného sektora. Tretím princípom je nutnosť úzkej a koordinovanej multilaterálnej spolupráce medzi vládami na ochrane otvorených a demokratických spoločností. Štvrtým a posledným obranným princípom je rešpektovanie slobody prejavu a zákazu cenzúry v demokratických spoločnostiach aj v situácii, keď sú potrebné nové kroky na riešenie celej škály kybernetických hrozieb zahŕňajúcich aj kybernetické psychologické operácie.

Účinná reakcia musí na týchto princípoch postaviť štyri strategické piliere. Tieto piliere by mali posilňovať našu kolektívnu schopnosť zahraničné kybernetické hrozby (1) odhaľovať, (2) narúšať, (3) brániť sa im a (4) odstrašovať od ich použitia. Tento prístup sa už uplatňuje pri mnohých spoločných snahách v rámci boja proti ničivým kybernetickým útokom a kybernetickej špionáži. Vzťahuje sa aj na kritické a pokračujúce práce potrebné na riešenie útokov ransomwaru. Podobný a komplexný prístup teraz potrebujeme uplatniť aj s novými možnosťami a obrannými prostriedkami na boj proti ruským kybernetickým psychologickým operáciám.

Ako sa uvádza v tejto správe, vojna v Ukrajine nie je len zdrojom poznatkov, ale aj výzvou na prijímanie účinných opatrení, ktoré budú rozhodujúce pre ochranu budúcnosti demokracie. V spoločnosti Microsoft toto úsilie podporujeme prostredníctvom pokračujúcich a nových investícií do technológie, údajov a partnerstiev, ktoré pomôžu vládam, spoločnostiam, mimovládnym organizáciám a univerzitám.

Ak chcete zistiť viac, prečítajte si celú správu.