Ostatnie wydarzenia związane jednoznacznie wskazują na zamiary Kremla, który zdecydował się na inwazję na Ukrainę, zagrażając potencjalnie całemu terytorium państwa. W kontekście działań zbrojnych często mówi się o roli cyber operacji jak działań wspierających lub nawet zastępujących operacje kinetyczne. Szczególnie to drugie zastosowanie rozbudza wyobraźnie – media i komentatorzy wskazują na możliwość osiągania celów zbrojnych przy użyciu środków cyber, włamywania się do sieci wojskowych, wyłączania prądu czy odcinania dostępu do Internetu. W mojej ocenie jest to spojrzenie mocno na wyrost. Wydarzenia na Ukrainie czy koncentracja Chińskiej marynarki na Morzu Południowochińskim pokazują, że fizycznej kontroli terytorium zwyczajnie nie da się zastąpić nawet najbardziej wyszukanymi operacjami cyber. Co z kolei cyber operacje mogą to wywołać straty ekonomiczne, chaos w komunikacji czy przerwy w dostawie danych usług bez narażania się na straty wojskowe. Mając to na uwadze, spójrzmy więc na rodzaje operacji, które mogliśmy już zaobserwować ze strony Rosji i to, jakie cele osiągały. Mówiąc o Rosyjskich operacjach będę wybierał te które zostały przypisane podmiotom powiązanym z Rosyjskim rządem przez agencje rządowe, lub prywatne zespoły threat intelligence, które w mojej ocenie posiadają wystarczającą wiedzę i dostęp do danych aby z dużym prawdopodobieństwem określić sprawców.
Zacznijmy od najbardziej powszechnego zastosowania operacji cyber – wywiadu wojskowego, ekonomicznego czy politycznego. Co więc zgrzyta w moich trybach? Otóż po upublicznieniu wywiadowczej aktywności, przykładowo APT28, bardzo często pojawiają się głosy o „cyberwojnie”, „wojnie hybrydowej”, „działaniach poniżej progu wojny” i tak dalej. Trudno mi zrozumieć takie podejście do tematu, gdyż w mojej ocenie są to typowe operacje wywiadowcze, nie różniące się w swoich celach od oficerów SVR rekrutujących źródła czy w inny tajny sposób pozyskujących informacje. Nie mówimy jednak, że każda operacja wywiadowcza to element wojny czy działania zbrojne, gdyż ze swojej natury szpiegostwo to jednak co innego niż atak zbrojny. Wracając do meritum i zaczynając od zalinkowanego raportu FireEye/Mandiant z 2014 widzimy wyraźne skupienie na organizacjach międzynarodowych, siłach zbrojnych i celach politycznych:
Podobnie w 2018, Mandiant poinformował o kampanii APT29, która celowała w podmioty związane z obronnością, sektorem, publicznym, ściganiem przestępczości i ośrodkach badawczych. W obu przypadkach napastnicy korzystali z phishingu aby dostarczyć do ofiar implanty w celu uzyskania zdalnego dostępu do systemów, a tym samym dostępu do skrzynek pocztowych, przechowywanych dokumentów i innej komunikacji.
Tak jak powyższe przykłady dotyczą wywiadu o charakterze politycznym i gospodarczym, tak możemy też znaleźć przykłady operacji z zakresu wywiadu wojskowego, bezpośrednio wspierających działania zbrojne. W 2016 roku CrowdStrike opisał operację grupy Fancy Bear, której celem było rozpowszechnienie implantu X-Agent wraz z aplikacją wykorzystywaną przez Ukraińskich artylerzystów. Modyfikacja aplikacji poprzez dodanie złośliwego nie wpływała na jej funkcjonalność. Celem było więc nie utrudnianie pracy artylerzystów, a zbieranie informacji o położeniu czy działaniach wojsk, wpierając wywiad uzyskiwany np.: przy pomocy zwiadu lotniczego.
Druga kategoria operacji już dużo bardziej przypomina działania wojskowe i polega na wykorzystaniu operacji cyber do zakłócenia działania systemów i/lub zniszczenia danych. Najbardziej spektakularnym i medialnym przykładem takiej aktywności było zastosowanie malware’u NotPetya do ataku na Ukraińskie przedsiębiorstwa. NotPetya został rozpowszechniony poprzez przejęcie mechanizmu aktualizacji programu wykorzystywanego przez księgowych do rozliczania podatków na Ukrainie. Malware symulował infekcje ransomware, sugerując że dane da się odzyskać po opłaceniu okupu jednak w istocie nie zakładał mechanizmu odszyfrowania danych – były więc one nieodwracalnie stracone. Według analiz Białego Domu, NotPetya spowodowała 10 miliardów dolarów strat. Podobnie, choć na nieporównywalnie mniejszą skalę, w 2018 przy pomocy malware’u Olympic Destroyer zaatakowana została infrastruktura wykorzystywana do obsługi Igrzysk Olimpijskich.
Wśród operacji mających destrukcyjny cel możemy wyróżnić też ataki na infrastrukturę przemysłową. I tutaj ponownie Rosyjskie służby dostarczają przykładów. W 2015 roku grupa Sandworm zaatakowała systemy kontroli Ukraińskiej sieci energetycznej pozbawiając ponad 200 tysięcy odbiorców prądu na około 6 godzin. W 2017 roku natomiast malware Trisis/Triton zaatakował zakłady naftowe w Arabii Saudyjskiej. Incydent ten jest o tyle wart odnotowania, że zdaniem analityków celem operacji było zakłócenie systemów zabezpieczeń przemysłowych, a tym samym doprowadzenie do zniszczeń fizycznych i potencjalnie nawet ofiar wśród pracowników obiektu.
W końcu trzecim typem operacji które możemy wyróżnić, to to co określilibyśmy terminem „active measures”. Czyli działania mające na celu promocję określonej narracji, dezinformację, propagandę, wprowadzanie niepokojów społecznych. Z Polskiego podwórka możemy przytoczyć tutaj działanie grupy Ghostwriter/UNC1151 (przypisanej jednak przez Mandiant do służb Białorusi), która to wykradała i publikowała maile ze skrzynek urzędników rządowych. Bardzo podobne modus operandi stosowało GRU podczas wyborów prezydenckich w Stanach Zjednoczonych w 2016, kiedy to wykradziono maile z serwera pocztowego Hilary Clinton i w selektywny sposób publikowana je poprzez WikiLeaks.
W kontekście tych trzech rodzajów operacji wydaję mi się, że w dyskusji zbyt rzadko pomijany jest występujący w Amerykańskiej doktrynie podział CNO (Computer Network Operations) na CNE (Computer Network Exploitation) i CNA (Computer Network Attack). CNE to działania mające na celu uzyskanie dostępu i pozyskanie informacji dla celów wywiadu. CNA to natomiast działania związane z zakłóceniem pracy systemów, niszczeniem danych, blokowaniem dostępu. Tutaj więc właśnie będą się zawierać aktywności od ataków DDoS uniemożliwiających dostęp do stron internetowych, aż do wykorzystania Trisis do wywołania fizycznych uszkodzeń. I właśnie to rozróżnienie wydaję się być pomijane w dyskusjach i prowadzi to zbytniego wyolbrzymienia roli normalnych operacji wywiadowczych bądź dezinformacyjnych do poziomu ataków rozumianych jako działania destrukcyjne. W kontekście Polski, nie pomaga tutaj przyjęte słownictwo, gdzie określenia „atak” używa się właściwie do każdego działania w obszarze cyber niezależnie od celu. Sprawa ma się inaczej w języku angielskim – „cyberattack” to operacje destrukcyjne, a samo uzyskanie dostępu do systemów, np.: w celach wywiadowczych, to „intrusion”.
Wracając więc do obecnej sytuacji co więc moglibyśmy zakwalifikować jako cyberatak i jak plasuje się to w kontekście inwazji? ESET i Symantec poinformowały o wykryciu wipera zainstalowanego na setkach maszyn na Ukrainie:
a ataki DDoS utrudniają dostęp do serwisów rządowych. Skale obu z tych zdarzeń jest różna – chwilowa utrata dostępu do strony jest raczej mało uciążliwa w porównaniu z masową infekcją malwarem unieszkodliwiającym systemy jak NotPetya. Cel obu operacji jest jednak częściowo zbieżny, mają one wzbudzić strach wśród ludności, pokazać jak daleko sięgają wpływy Rosyjskich sił i oczywiście podsycać zamieszanie utrudniające obronę w razie konfliktu. Zauważmy więc, że o ile operacja ujawniona przez ESET to aktywność równie zaawansowana co szpiegowskie kampanie opisane powyżej* to ataki DDoS czy podobne zakłócenia pracy systemów technicznie są dużo mnie skomplikowane, a jednak stanowią te właściwe CNA. Dlatego też jeżeli chcemy precyzyjnie posługiwać się terminem „ataku” i przede wszystkim nie rozwadniać terminu na wszelkie działania, które prowadzone w inny sposób prawdopodobnie przeszłyby bez echa to należy mieć na uwadze cel aktywności i to jakie skutki wywołuje na docelowych maszynach. Posługując się opiniami ekspertów zawartymi w Podręczniku Tallińskim trzeba podkreślić, że szpiegostwo jako takie jest dozwolone w prawie międzynarodowym i cyber operacje nie są odstępstwem od tej reguły. Wyjątkiem mogą być operacje, których celem było szpiegostwo jednak sposób ich przeprowadzenia sprawił, że dokonano zniszczeń w systemach.
Niestety jak mogliśmy się właśnie przekonać, wszelkie te operacje w żadne sposób nie miały zastąpić faktycznej inwazji. Cyber operacje ze strony Rosji na pewno będą kontynuowane i będą to zarówno CNE zbierające informacje dla sił zbrojnych jak i CNA osłabiające Ukraińską obronę i morale ludności. O ile cyber ataki na infrastrukturę krytyczną mogłyby być niezwykle groźne i wywoływać straty wśród ludności cywilnej, to ich precyzyjna natura (przykładem czego niech wciąż będzie Stuxnet) sprawia, że mogą być najbardziej humanitarnym rodzajem działań zbrojnych. Pytaniem otwartym i sytuacją wciąż niezbadaną pozostaje eskalacja aktywności i to jak bardzo działania dotkną cywilów. Biorąc pod uwagę incydenty jak atak na Colonial Pipeline (który ostatecznie był działalnością przestępczą) i skalę strat po NotPetya, należy niestety przypuszczać, że straty wywołane aktywnością grup państwowych i nastawione na destrukcyjne aktywności będą nieporównywalnie większe. Wśród przewijających się dzisiaj informacji pojawiła się również (choć zdementowana), że prezydentowi Bidenowi przedstawiony został scenariusz przeprowadzania destrukcyjnych cyber operacji przeciwko Rosji. W kontekście wizji cyberwojny przewijającej się w mediach to właśnie wymiana cyberataków zastępująca uderzenia kinetyczne, a eskalująca ze względu na wzajemne ruchu obu stron, wydaje się jej najbliższa. Trzeba też pamiętać, że taka „cyber eskalacja” jest o tyle inna od klasycznej konfrontacji zbrojnej, że jednostki ofensywne nie będą najczęściej celem uderzenia zwrotnego – najbardziej celowe działania to operacje przeciw dużym organizacjom mogące sparaliżować sektory gospodarki lub dostawy usług. Wymiana ciosów będzie więc następować niejako „obok” jednostek jej dokonujących.
*Moja prywatna i wczesna ocena mająca na uwadze ujawnioną charakterystykę próbek i informacje przekazane przez ESET.
Jedna myśl na temat „