Analýza NATO: ruské ciele, záujmy a vplyvové operácie v kybernetickom priestore siahajú ďaleko za Trumpa a americké voľby

Keď v roku 2016 vyhral americké prezidentské voľby Donald Trump, málokto si naplno uvedomoval, že k jeho výhre prispeli aj hackeri zamestnaní v ruských tajných službách. Ukázalo sa, že zahraničné vplyvové operácie môžu zmeniť výsledok volieb alebo podkopať dôveru v štát a jeho inštitúcie aj v stabilných a vyspelých demokraciách.

Obrázok: https://stratcomcoe.org/pdfjs/?file=/cuploads/pfiles/Nato-Cyber-Report_15-06-2021.pdf

Ruské záujmy a aktivity v kybernetickom priestore analyzuje nová publikácia NATO „Ruská stratégia v kyberpriestore“.

Informačná konfrontácia ako súčasť ruskej obrany

Ako krajina s veľkou rozlohou, no len malým počtom prirodzených hraníc, akými sú napríklad pohoria, je Rusko náchylné na útoky zo zahraničia. Veľakrát preto muselo mobilizovať celú svoju spoločnosť, aby sa ubránilo. 

To postupne viedlo k presvedčeniu, že najlepšou obranou pre Rusko je vytvorenie ruskej sféry vplyvu, a teda nárazníkovej zóny, v minulosti pozostávajúcej zo štátov Sovietskeho zväzu.

Ako podotýka správa NATO, rozširovanie aliancie po konci studenej vojny vníma Rusko ako hrozbu. Kremeľ tiež obviňuje Západ zo zahraničných zásahov, napríklad v súvislosti s Arabskou jarou.

Vnímanie Západu ako hrozby bolo zdôraznené aj v doktríne informačnej bezpečnosti z roku 2016, ktorá uvádza: „Spravodajské služby určitých štátov čoraz viac využívajú informačné a psychologické nástroje s cieľom destabilizovať vnútornú politickú a sociálnu situáciu v rôznych regiónoch sveta, podkopávať suverenitu a porušovať územnú celistvosť ostatných štátov.

Hybridná vojna

Obrana vlasti je jedným z dôvodov, ktorými Kremeľ obhajuje svoje zahraničné aktivity. Jednou z metód, ktoré v súčasnosti využíva na ovplyvnenie verejnej mienky a politík v zahraničí vo svoj prospech je tzv. „informačná konfrontácia“, na Západe niekedy prekladaná ako „informačná vojna“.

Ruské ministerstvo obrany tento koncept definuje ako súboj národných záujmov a ideí, kde sa dominancia získava napádaním protivníkovej informačnej infraštruktúry súbežne s ochranou tej vlastnej. Západ pod informačnou bezpečnosťou nechápe len ochranu informačnej infraštruktúry, ale aj kognitívnu integritu spoločnosti.

Pre Rusko je domáci informačný priestor pokračovaním jeho hraníc, ktoré sú podľa neho konštantne napádané zo zahraničia. Naproti tomu, NATO chápe kyberpriestor ako jednu z operačných domén a pokladá ju za súčasť informačného prostredia. Podľa publikácie NATO je kľúčovým cieľom západných demokracií zaistenie slobodného, stabilného a otvoreného internetu, na ktorom sú zaistené základné ľudské práva a slobody.

Rusko sa snaží využiť túto otvorenosť na získanie „informačnej nadradenosti“, a to bez ohľadu na to, či je alebo nie je v konvenčnom konflikte so svojimi odporcami. Pre Kremeľ ide o prostriedok tzv. „strategického odstrašovania“.

Metódy z čias studenej vojny

Pri dosahovaní svojich cieľov využíva Rusko prostriedky známe už z obdobia studenej vojny. Ide napríklad o tzv. „aktívne opatrenia“, ktoré zahŕňajú vydieranie, úplatky či dezinformácie. V kontexte aktívnych opatrení môžeme spomenúť nedávnu správu v médiách, že ruský prezident Vladimír Putin mal na Donalda Trumpa vydieračský materiál.

Ďalšou metódou je tzv. „reflexívna kontrola“, ktorá sa snaží naviesť cieľ určitým spôsobom k nevedomému konaniu. Demokratické informačné priestory sú voči takémuto úsiliu obzvlášť citlivé.

Poslednou z metód, ktorú spomína report NATO, je tzv. „maskirovka“, zahŕňajúca utajovanie a klamanie. Cieľom maskirovky je napríklad presvedčiť protivníka o prítomnosti cieľov alebo jednotiek na miestach, kde nie sú. Protivníka má viesť do omylu, prinútiť ho, aby rozmiestnil svoje vojská inde a podkopať jeho morálku. Používa sa teda najmä vo vojenstve.

Okrem napádania protivníka v kyberpriestore je zároveň dôležité zaistiť obranu pred rovnakými aktivitami zo zahraničia. Ruské strategické myslenie operacionalizuje ochranu svojho vlastného informačného priestoru prostredníctvom rozsiahlej siete kódexov, právnych kontrol a dohľadu.

V snahe dosiahnuť digitálnu suverenitu vznikol koncept RuNet – ruskojazyčný a relatívne uzavretý segment internetu, o ktorom sme nedávno písali.

Rusko si vytýčilo cieľ, že do roku 2024 bude len 10 % internetovej premávky prechádzať cez zahraničné servery. V tejto súvislosti podniklo niekoľko krokov, napríklad vytvorilo čiernu listinu stránok a online služieb, ktoré sú v Rusku zakázané.

Hackeri v službách Kremľa

Na realizáciu svojich informačných operácií využíva Kremeľ rozsiahlu sieť hackerov, ktorí sú súčasťou ruských tajných služieb. V rámci Federálnej bezpečnostnej služby (FSB) pôsobí hackerská skupina Turla APT. Súčasťou Zahraničnej spravodajskej služby (SVR) je skupina APT29 známa aj ako Cozy Bear.

Najviac skupín operuje v rámci Hlavnej správy rozviedky (GRU). Ide o skupiny APT28 (známa aj ako Fancy Bear), CyberBerkut, CyberCaliphate a SandWorm. 

Je však potrebné uviesť, že nie všetky hackerské skupiny v Rusku sú napojené na vládu. Môže ísť o vlasteneckých hackerov, ktorí nie sú oficiálne súčasťou ruských tajných služieb a často konajú sami za seba alebo skupiny, ktoré podnikajú aktivity za účelom vlastného zisku.

Okrem hackerov zamestnáva Kremeľ aj známu petrohradskú farmu trollov – „Agentúru na výskum internetu“ (IRA), ktorá je zodpovedná za šírenie dezinformácií.

Tieto, ale aj ďalšie skupiny podnikli v posledných rokoch informačné operácie namierené proti viacerým krajinám, napríklad Ukrajine, Gruzínsku a Čiernej hore. Ďalej išlo o početné snahy ovplyvniť voľby, pričom k najlepšie zdokumentovaným prípadom patria prezidentské voľby v USA v roku 2016 a o rok na to prezidentské voľby vo Francúzsku.

Prozápadné smerovanie malo pre Ukrajinu a Gruzínsko neblahé následky

V roku 2015 a 2016 bola Ukrajina terčom kyberútokov smerujúcich na jej energetickú infraštruktúru, ktoré spôsobili výpadky elektriny pre stovky tisíc ľudí. Ďalší hackerský útok zasiahol Ukrajinu v roku 2017, keď ransomvér NotPetya vymazal dáta z počítačov bánk, energetických firiem, letísk a vysoko postavených vládnych úradníkov. Tieto útoky boli neskôr pripísané jednotke 74455 známej aj ako Sandworm, operujúcej v rámci GRU.

Ďalšou krajinou, ktorá bola viacnásobne napadnutá hackermi pracujúcimi pre Kremeľ, je Gruzínsko. Počas rusko-gruzínskej vojny v lete 2008 hackeri znefunkčnili webové stránky vlády, vrátane stránky vtedajšieho prozápadného gruzínskeho prezidenta Mikhaila Saakashviliho, stránku najväčšej gruzínskej komerčnej banky a stránky niektorých najčítanejších médií. 

Podľa reportu NATO je incident príkladom použitia kybernetických útokov súbežne s klasickými vojenskými operáciami.

Aktuálnejším prípadom bol útok voči Gruzínsku z októbra 2019, ktorého súčasťou boli kyberútoky na viac ako 2 000 webových stránok a viaceré psychologické operácie. Útok tiež poškodil servery v kancelárii gruzínskeho prezidenta, zasiahol justičný systém, samosprávy aj mimovládne organizácie a narušil vysielanie televíznych staníc. 

USA a Veľká Británia tento útok pripísali už spomínanej skupine Sandworm.

Pokus o prevrat v Čiernej hore

Ruským hackerom sa nevyhla ani Čierna hora, ktorá čelila útokom v súvislosti s jej plánovaným vstupom do NATO. Členom aliancie sa stala v roku 2017. Rok predtým, v deň parlamentných volieb 16. októbra 2016, ochromil webové stránky štátu a digitálnu infraštruktúru Čiernej hory rozsiahly DDoS útok. 

Ide o typ útoku, v ktorom sú informačné systémy a webové stránky úmyselne preťažené do takej miery, že dôjde k jeho spomaleniu alebo zlyhaniu.

V ten istý deň úrady Čiernej hory odhalili pokus o prevrat, ktorému asistovali ruské spravodajské služby. O niekoľko dní neskôr, 20. októbra, zasiahol parlament balkánskeho štátu phishingový útok, no útočníkom sa nepodarilo získať žiadne informácie. 

Ďalšie phishingové útoky zasiahli ministerstvo obrany Čiernej hory vo februári 2017. E-maily tváriace sa, že pochádzajú z EÚ a NATO, obsahovali prílohy, ktoré hackerom umožňovali na dotknuté počítače nainštalovať škodlivý softvér Gamefish.

Známe spoločnosti poskytujúce služby v oblasti kyberbezpečnosti – FireEye, Trend Micro a ESET, pripísali tieto útoky ruskej skupine APT28.

Zásahy do volieb

Z hľadiska informačných operácií sú nezanedbateľné aj pokusy Kremľa o ovplyvnenie výsledku volieb vo viacerých krajinách vo svoj prospech. 

Najlepšie zdokumentovaným príkladom takýchto snáh sú prezidentské voľby v USA v roku 2016. Hackeri vtedy získali a následne zverejnili údaje kompromitujúce demokratickú kandidátku Hillary Clinton. Vo veľkom sa angažovala aj IRA a ruské štátne médiá.

O rok neskôr Kremeľ pravdepodobne zasahoval do volieb vo Francúzsku. Hackeri sa nabúrali minimálne do piatich účtov blízkych spolupracovníkov vtedy ešte prezidentského kandidáta Emmanuela Macrona a ukradli 15 GB dát, vrátane viac ako 21-tisíc e-mailov.  

Zverejnili ich dva dni pred druhým kolom volieb. Dve hodiny pred záverečnou televíznou debatou medzi Macronom a Marine Le Pen sa medzi ľuďmi rozšírila fáma #MacronGate, podľa ktorej mal Macron tajný zahraničný účet. 

Tesne pred voľbami bol únik propagovaný trollmi a falošnými účtami na Twitteri. Takýchto tweetov sa objavilo za 24 hodín takmer pol milióna.

Francúzsko síce oficiálne neprisúdilo túto operáciu Rusku, urobilo tak však niekoľko firiem v oblasti kybernetickej bezpečnosti, podľa ktorých sa malo jednať o skupinu APT28.

Operácia Ghostwriter

Vplyvovým operáciám Kremľa sa nevyhlo ani Pobaltie. V apríli 2020 sa na blogu známeho litovského novinára Viliusa Petkauskasa objavil falošný článok o tom, že NATO sa chystá opustiť Pobaltie kvôli situácii spojenej s pandémiou nového koronavírusu. Článok sa okamžite rozšíril aj na ďalšie weby vystupujúce voči NATO.

V rovnakom čase bol litovskému ministerstvu obrany, ústrediu NATO v Bruseli a viacerým litovský médiám a vládnym inštitúciám prostredníctvom e-mailu doručený falošný list napísaný v mene generálneho tajomníka NATO Jensa Stoltenberga o tom, že NATO kvôli Covid-19 sťahuje svoje jednotky z Litvy.

Dezinformačná kampaň bola síce rýchlo odhalená, no podľa reportu NATO demonštruje snahu Ruska o spojenie „technických“ a „informačných“ aspektov vplyvových operácií v kyberpriestore.

Záver a odporúčania

Rusko neuplatňuje na všetky ciele rovnakú stratégiu kybernetických útokov, ale postupne sa prispôsobuje a využíva nové príležitosti. Ruskí operatívci sa neobávajú ani po ich odhalení znovu zaútočiť na ten istý cieľ.

Report odporúča, aby sa NATO zameralo na budovanie odolnosti voči celému spektru hrozieb, vrátane tých z Ruska. Ako sa však ďalej píše v reporte, západné krajiny si čoraz viac uvedomujú, že kyberpriestor je prostredím permanentnej konfrontácie. To viedlo americké velenie k prijatiu „permanentného zapojenia“ a francúzskeho ministerstvo ozbrojených síl následne prijalo podobný prístup.

Report zároveň odporúča niekoľko opatrení na zlepšenie svojej obrany v kyberpriestore. Pre sprehľadnenie ich uvádzame v nižšie pripojenom grafe.

Študent bakalárskeho stupňa Politológie a Bezpečnostných a strategických štúdií na Masarykovej univerzite v Brne. Venuje sa vplyvovým operáciam, propagande a kybernetickej bezpečnosti. Tiež sa zaujíma o problematiku digitálneho súkromia a východoázijskú politiku. Kontakt: lukas.janovic@infosecurity.sk