Ostatnimi dniami światem wstrząsnęła kłótnia w gabinecie owalnym pomiędzy Donaldem Trumpa a Wołodymyrem Zełenskim, która może świadczyć o radykalnej zmianie kierunku polityki USA wobec Ukrainy. Lecz o ile ostra wymiana zdań nie musi zawsze przełożyć się na rezultat rokowań, to dziennikarze donoszą, że zakresie cyber dwie niepokojące zmiany już zaszły. The Record poinformowało, że Sekretarz Obrony Pete Hegseth nakazała Cyber Command zaprzestanie operacji przeciwko Rosji. Tymczasem według The Guardian CISA porzuca śledzenie rosyjskiej aktywności, jako że nie jest ona już postrzegana jako zagrożenie dla USA. Naturalnie dla większości infosecowej społeczności takie zmiany to duży szok. Skala aktywności rosyjskich grup jest powszechnie znana. Zarówno prywatne firmy jak i agencje rządowe na przestrzeni lat publikowały wiele raportów opisujących wywiadowczą i destrukcyjną stronę operacji. Można tutaj chociażby wspomnieć o włamaniu do sztaby wyborczego Partii Demokratycznej przed wyborami w USA w 2016, ataku na igrzyska olimpijskie, czy działalność grupy Sandworm. Tym bardziej szokować może jak tak aktywne w zakresie operacji cyber państwo może stracić priorytetowe miejsce na liście zagrożeń. Dyskusja nad przyczynami tego stanu rzeczy to jednak zagadnienie na osobny post, albo ich całą serie. Tutaj postarajmy się pochylić nad konsekwencjami i znaczniem tych wydarzeń.
Zacznijmy od Cyber Command i decyzji o wstrzymaniu operacji przeciwko Rosji. Według The Record Pete Hegseth nakazał zaprzestanie planowania operacji przeciwko Federacji Rosyjskiej włączając w to cyber działania ofensywne. Wytyczne mają obejmować tylko Cyber Command i nie wpływać na działalność NSA w zakresie SIGINTu. Dziennikarze The Record wskazują również, że nie jest znany całkowity zakres obowiązywania wytycznych. A konkretniej to czy ma on dotyczyć tylko ściśle jednostek zajmujących się operacjami ofensywnymi czy również analiz wywiadowczych i tworzenia zaplecza dla działań ofensywnych jak przygotowanie narzędzi i zdolności. I tutaj dochodzimy do sedna problemu, a mianowicie tego jak szkodliwy dla działań USA w cyberprzestrzeni może być ten ruch. Jednym z największych problemów operacji cyber jest to jak bardzo zależą od dokładnych przygotowań. Uzyskanie dostępu do środowiska celu i zagwarantowanie długofalowego dostępu który przełoży się na efektywne zbieranie danych wymaga często wielu miesięcy przygotowań obejmujących rekonesans i dokładne poznanie używanych technologii czy topografii sieci.
W przypadku ofensywnych operacji, które mają skutkować np.: zakłóceniem komunikacji czy przerwaniem dostaw prądu sytuacja komplikuje się jeszcze bardziej. Atakujący muszą nie tylko uzyskać dostęp do infrastruktury ale też zrozumieć zasady działań sieci telekomunikacyjnych czy procesów przemysłowych równie dobrze jak obsługujący je inżynierowie. To właśnie dlatego Stuxnet czy Trisis to tak skomplikowane programy. Poza standardowymi funkcjonalnościami malware’u jak unikanie wykrycia czy przetrwanie restartów sytemu, musiały precyzyjnie wchodzić w interakcje z oprogramowaniem sterującym urządzeniami przemysłowymi tak aby osiągnąć zakładany skutek. Jednocześnie nie mogły wzbudzać przedwczesnego zainteresowania operatorów systemów czy nie spowodować awarii całej placówki. Przeprowadzanie takich działań zwyczajnie nie jest możliwe przez wielomiesięcznego lub nawet wieloletniego planowania co sprawia, że USA tracą teraz efektywnie możliwość przeprowadzenia operacji ofensywnych np.: w odpowiedzi na wrogie rosyjskie działania czy jako element nacisku w ramach negocjacji zakończenia wojny w Ukrainie.
Nie jest do końca jasne czy zaprzestanie planowania będzie obejmować również wycofanie już wprowadzonych zdolności jak np.: implantów umieszczonych w strategicznych systemach. Jednak w obu przypadkach sytuacja ta cofa amerykańskie możliwości o lata. Jeżeli implanty zostaną pozostawione bez dalszych działań jak ich wymiana czy uaktualnianie to ostatecznie zostaną zapewne odkryte co będzie miało konsekwencje zarówno dla bezpieczeństwa operacyjnego jak i przyszłych prób uzyskania dostępu. Przeciwnik bowiem będzie mógł przeanalizować ich kod i pozostawione artefakty, a analiza powłamaniowa może również ujawnić metodę uzyskania dostępu czy infrastrukturę C2. Wycofanie implantów to natomiast powrót do punktu wyjścia w zakresie możliwości działania i stracone lata roboczogodzin poświęconych na planowanie, wybór celów, analizę skutków ataków, i przygotowanie scenariuszy możliwych do zastosowania w przypadku konieczności wywarcia nacisku, odpowiedzi na atak, czy otwartego konfliktu z NATO.
Co ciekawe akurat teraz szeroki rozgłos zyskała kampania mająca na celu właśnie przygotowanie gruntu pod potencjalne operacje ofensywne. Mowa oczywiście o Volt Typhoon i tym jak od 2021 bierze na celownik infrastrukturę telekomunikacyjną i energetyczną w Stanach Zjednoczonych, w szczególności wyspy Guam. Jej skala, stosowanie szeregu środków mających ukryć ślady włamania, czy sposób budowy infrastruktury C2 dobrze obrazują stopień złożoności przygotowań do operacji ofensywnych. Możemy podkreślić choćby infrastrukturę C2 opartą o sieć przejętych urządzeń konsumenckich czy silny nacisk na korzystanie wyłącznie z wbudowanych narzędzi systemowych podczas poruszania się w środowisku. Biorąc pod uwagę, że kampania cały czas trwa i zakładając kilkanaście miesięcy przygotowań to przyglądamy się ponad pięcioletniemu projektowi wycelowanemu w konkretny region i mającemu realizować ściśle określony cel. Mnożąc taką operację przez ilość potencjalnych celów, które siły zbrojne USA chciałyby osiągnąć podczas konfliktu możemy wyobrazić sobie skalę utraconych możliwości.
Jeżeli chodzi o CISA i rzekome zaprzestanie traktowania Rosji jako źródła zagrożeń to sprawa jest równie poważna. Tutaj dla formalności zaznaczmy, że wkrótce po publikacji w The Guardian administracja Trumpa zaprzeczyła rzekomej notatce zmieniającej zakres zainteresowania CISA i stwierdziła, że CISA będzie adekwatnie zajmowała się wszelkimi zagrożeniami. Co jednak jeżeli informacje zdobyte przez The Guardian są prawdziwe? Tutaj również pojawia się szereg problemów. Przede wszystkim samo „śledzenie rosyjskich grup” jest proste tylko w kontekście materiałów reklamowych dostawców threat intelligence. W praktyce atrybucja aktywności następuje dopiero pod sam koniec procesu analitycznego, kiedy mamy już wystarczająco dużo danych aby chociaż z umiarkowaną pewnością przypisać działania do danej grupy.
Jak więc takie wytyczne miałyby zostać zastosowane w praktyce? Czy analitycy mieliby porzucać śledzenie grup po ewentualnej atrybucji do Rosji? Co z artefaktami i indykatorami które zostały już rozpowszechnione wśród zespołów cyberbezpieczeństwa, np.: poprzez Automated Indicator Sharing? Na poziomie metodologii analitycznej polecenia omijania rosyjskiej aktywności niemal na pewno doprowadzi do tendencji to przypisywania co ciekawszych dla analityka grup do innych krajów, bądź pozostawiania nieokreślonej atrybucji, aby nie porzucać śledzenia. Jeszcze większym problem staną się operację pod fałszywą flagą, gdyż inne państwa zyskują oczywistą motywację do podszywania się pod rosyjskie grupy. W końcu jaki dokładnie jest zakres „rosyjskiej aktywności”? Czy obejmuję on również grupy przestępcze działające z terenu Rosji i z jej dorozumianym przyzwoleniem? Tak działa przecież wiele grup ransomware’wych, które unikają aresztowania właśnie dlatego, że są nieosiągalne dla jurysdykcji zachodnich państw.
Jak widzimy niewiadomych jest bardzo wiele. Jedno jest jednak pewne – obie te zmiany negatywnie wpłyną na zdolność USA do przeciwdziałania rosyjskiej aktywności w cyberprzestrzeni. A w kontekście USA jako części NATO przekłada się to na mniejsze zdolności całego sojuszu. Wyobraźmy sobie, że Rosja zaczyna testować możliwości wysłania sił dywersyjnych do krajów bałtyckich – brak możliwości odpowiedzi przez Cyber Command operacjami poniżej progu wojny ogranicza znacząco wachlarz możliwości. A z perspektywy systemowej odporności infrastruktury krytycznej zmiany w CISA zawężą widoczność wrogiej aktywności i utrudnią pracę analitykom. Trudno znaleźć jakiekolwiek praktyczne argumenty przemawiające za taką zmianą postawy. I chyba aż strach myśleć co ostatecznie doprowadziło do takich decyzji.
Polish 
English