Ukrajina sa úspešne bráni ruským kybernetickým útokom

Za posledný rok čelila Ukrajina doposiaľ najväčšiemu počtu kyberútokov. V ich odrážaní však bola úspešná a s pomocou Západu pracuje na posilnení svojich schopností proti rastúcej ofenzíve v kybernetickej doméne.

Obrázok: Flickr

Útoky v kyberpriestore sa začali vyskytovať výrazne častejšie po začatí ruskej invázie na Ukrajinu. Svoj vrchol zažívali začiatkom marca 2022, keď Ukrajina čelila množstvu útokov na svoju infraštruktúru a inštitúcie.

„Mohli sme vidieť koordinovanú snahu operácií v kyberpriestore zameranú na vyššiu veliteľskú komunikáciu Ukrajiny, vojenské inštitúcie, časti ukrajinskej kritickej infraštruktúry obsahujúce energetiku, produkciu a médiá,“ povedal pre portál Politico Jonathan Reiber, riaditeľ firmy AttackIQ venujúcej sa kyberbezpečnosti.

Spôsoby, akými útočia ruskí hackeri a ich priaznivci, sa pritom výrazne zmenili. Pred inváziou a na jej začiatku boli útoky sofistikované a presne mierené na znefunkčnenie systémov alebo kradnutie dát. Počas roku 2022 síce frekvencia útokov stúpla, nešlo však o tak sofistikované kódy.

Mnohokrát išlo o jednoduché DDoS útoky (zahltenie systému napríklad prostredníctvom botov, ktorí systém znefunkčnia) alebo použitie skopírovaného a mierne upraveného starého malvéru, ktorý vedia antivírusové systémy relatívne jednoducho odhaliť.

Po invázii na Ukrajinu počet útokov v kyberpriestore stúpol

Detekcii a analýze malvéru sa venuje aj slovenská spoločnosť ESET, ktorá vydáva trikrát do roka správu s prehľadom o nových druhoch malvérov a vírusov, analýzou ich fungovania a výskytu.

Podľa analýzy ESETu počas prvého trimestra v roku 2022 stúpol výskyt kyberútokov vo svete o 20 % oproti predchádzajúcim štyrom mesiacom. Útoky prostredníctvom ransomvéru (program, ktorý zamedzí prístup k počítaču alebo dátam tým, že ich zašifruje) ale klesli o 4 %. Stúpol predovšetkým výskyt falošných e-mailov, ktorými sa podvodníci snažili predstierať, že sú súčasťou charít podporujúcich Ukrajinu.

Podľa dát technologickej spoločnosti útoky ransomvérom na Rusko pred inváziou klesli, keďže viaceré skupiny sa naň prestali zameriavať z obáv o svoju bezpečnosť. Naopak, po začiatku vojny zažil Kremeľ výrazné útoky, ktoré ale nemali také ničivé následky ako tie na Ukrajinu. Išlo napríklad o útoky na štátne televízne stanice a zmeny ich vysielania, či útoky na ruskú vesmírnu agentúru Roskosmos.

V minulosti spôsobili útoky miliardové škody

Kremeľ podniká masívne útoky na ukrajinské inštitúcie už od roku 2014. Ruským hackerom sa vtedy podarilo počas invázie Krymu a Doneckého regiónu zablokovať telekomunikačné systémy, ako aj telefóny ukrajinských poslancov. K útoku sa však Rusko nikdy nepriznalo a odmietlo ho komentovať.

O možnostiach a sile proruských hackerov sa mohla Ukrajina presvedčiť aj počas rokov 2015 a 2016. Ruskej skupine Sandworm sa pomocou malvéru BlackEnergy, s ktorým útočila na Ukrajinu už od roku 2014, podarilo dvakrát vyradiť časť energetickej siete, predovšetkým na východe krajiny. Následkom toho ostalo 230-tisíc ľudí bez elektrickej energie.

Tieto snahy proruskej skupiny nakoniec prerástli do útoku s programom nazvaným NotPetya, ktorý spôsobil najväčšie škody hackerským útokom v histórii. Zatiaľ čo štandardne ransomvér prepisuje alebo šifruje súbory individuálne, tento sa zameriaval na súborový systém ako celok. Vďaka tomu vedel malvér rýchlejšie znemožniť prístup k zariadeniam a súborom v nich.

Aj napriek tomu, že útok sa začal na Ukrajine, pravdepodobne nebol mierený len na ňu, keďže sa začal voľne šíriť a napádať aj firmy a inštitúcie v ostatných krajinách. Druhou najviac postihnutou krajinou bolo Nemecko, kde malvér napadol satelitné modemy, kvôli čomu bol znefunkčnený systém na monitorovanie dát veterných turbín. Z toho dôvodu ich nebolo možné manuálne ovládať. Celosvetové škody ransomvéru dosiahli 10 miliárd dolárov.

Rok neustálych bojov v kyberpriestore

Za posledný rok prebiehali v kyberpriestore neustále boje. Útoky pritom nesmerovali len na Rusko a Ukrajinu, ale aj na členov NATO. Medzi krajiny, ktoré čelili najväčšiemu množstvu útokov, patrili Nemecko, Poľsko a Spojené štáty americké. Išlo o rôzne útoky od ransomvéru až po dezinformačné operácie či phishing.

Do bojov sa taktiež začali pravdepodobne zapájať aj amatéri. Množstvo útokov, ktoré sa ESETu podarilo zachytiť, predstavovali totiž skopírované staršie kódy alebo mali viditeľne amatérsku syntax kódu. Poznať to bolo taktiež na programovacom jazyku, v ktorom boli napísané. Ich tvorcovia zväčša používali programovací jazyk Python, ktorý je na tieto účely jednoduché používať aj pre neskúsených ľudí.

ESET taktiež poukázal na to, že ransomvérová scéna sa rozdelila na podporovateľov a odporcov invázie Ukrajiny. To spôsobilo vytvorenie gangov, ktoré navzájom na seba útočili a zverejňovali súkromné informácie. Z toho dôvodu sa malvér, ktorý tvoria, stáva agresívnejším a ničivejším.

Zatiaľ čo kedysi mali útoky za cieľ získať peniaze od človeka, ktorému bol počítač zablokovaný, dnes už cielia priamo na znefunkčnenie systému cez prepisovanie a odstraňovanie súborov. Kyberútoky teda prešli od vydierania obete do ideologických bojov so zámerom zneškodniť nepriateľa.

Prípravajú sa na ďalšie útoky

Ukrajina sa popri narastajúcom množstve útokov intenzívne pokúša posilniť svoju kybernetickú obranu. Kybernetické útoky však už nie sú zamerané len na štátne inštitúcie, ale aj na jednotlivcov či podniky. Aj v tomto prípade Kyjevu pomáhajú západné krajiny.

Európska únia ešte pred začiatkom vojny poslala Ukrajine 31 miliónov eur na krízovú logistiku, do ktorej patrí aj kybernetická bezpečnosť. Okrem toho v októbri minulého roku podporila 10 miliónmi eur estónsky projekt e-Governance Academy. Ten Ukrajine pomáha s ochranou v online priestore, ako aj výmenou hardwéru zničeným ruskými útokmi.

Počas Mníchovskej bezpečnostnej konferencie riaditeľ CIA William Burns povedal, že počas posledného roku bola okrem dodávania zbraní kľúčová aj pomoc pri ochrane ukrajinského kybernetického priestoru.

Vďaka tomu sa bola Ukrajina schopná úspešne brániť. Verejnosť vraj o veľkom množstve útokov ani nebola informovaná, keďže sa ich podarilo účinne zvrátiť. Podľa holandských spravodajských služieb sa Kyjevu darilo limitovať ruské útoky vďaka ukrajinskej a západnej digitálnej ochrane. Kvôli tomu Rusko nemohlo plne synchronizovať napríklad letecké útoky spolu s kyberútokmi na protivzdušnú obranu.

Prečo by nás to malo zaujímať?

Pre Slovensko, ako aj pre ostatné krajiny, je podpora ukrajinskej kyberochrany dôležitá hlavne pre absenciu pevných hraníc v kyberpriestore. Neexistuje totiž jasná definícia, kde boje prebiehajú, ako je tomu na fyzických bojiskách.

Digitálne hrozby sa preto mnohokrát šíria aj do okolitých krajín. Pravidelne sa stáva, že malvér pôvodne zameraný na Ukrajinu sa rozmnoží a dostane sa aj do iných štátov. Príkladom môže byť už spomínaný ruský útok NotPetya.

O hrozbách, ktorým Slovensko čelí, pravidelne informuje Národný bezpečnostný úrad (NBÚ), ktorý vydáva upozornenia. Naposledy vydal takéto varovanie koncom februára, a to pred zvýšeným rizikom DDoS útokov. V januári NBÚ upozornil aj na hrozbu koordinovaných útokov ruskej skupiny Anonymous Russia, ktorá podporuje Kremeľ v útoku na Ukrajinu.

Aj to ilustruje, ako veľmi je potrebné podporovať ochranu ukrajinského kyberpriestoru. Ruské útoky totiž nie sú limitované len na Ukrajinu. Diverzná činnosť sa okrem Kyjeva zameriava na kohokoľvek, kto nepodporuje Kremeľ.

CHCETE PODPORIŤ NAŠU PRÁCU? POMÔŽTE NÁM CEZ PATREON. MÔŽETE TAK UROBIŤ UŽ ZA €3
https://infosecurity.sk/podpora/

Je študentom bakalárskeho stupňa Medzinárodných vzťahov na University of Glasgow. Je vice-prezidentom študentského združenia Glasgow European Society. Zaujíma sa o spôsoby fungovania a udržania demokracií, Rusko a jeho vplyv na európsku politiku, a aktuálne politické dianie.