Obrana Ukrajiny: První lekce z kybernetické války

Není překvapením, že Rusko cílilo na ukrajinské vládní datové centrum v rámci včasného útoku řízenými střelami a další místní servery byly podobně vystaveny útokům konvenčními zbraněmi. Rusko také své destruktivní útoky zaměřilo na místní počítačové sítě. Ukrajinská vláda však úspěšně udržela své civilní a vojenské operace díky rychlému přesunu své digitální infrastruktury do veřejného cloudu, kde byla umístěna v datových centrech po celé Evropě.

To si vyžádalo naléhavé a mimořádné kroky ze strany celého technologického sektoru, včetně společnosti Microsoft. Dosavadní práce technologického sektoru je sice velmi důležitá, ale je třeba se zamyslet i nad dlouhodobějšími zkušenostmi, které z tohoto úsilí plynou.

Protože kybernetické aktivity jsou pouhým okem neviditelné, je pro novináře a dokonce i pro mnohé vojenské analytiky obtížnější je sledovat. Společnost Microsoft zaznamenala několik vln ničivých kybernetických útoků ruské armády na 48 různých ukrajinských úřadů a podniků. Ty se snažily proniknout do síťových domén tak, že nejprve napadly stovky počítačů a poté šířily malware určený ke zničení softwaru a dat na tisících dalších.

Ruská kybernetická taktika v této válce se liší od té, která byla použita při útoku NotPetya proti Ukrajině v roce 2017. Při tomto útoku byl použit „červí“ destruktivní malware, který mohl přecházet z jedné počítačové domény do druhé, a tedy překračovat hranice do jiných zemí. V roce 2022 se Rusko snažilo omezit destruktivní „wiper software“ na konkrétní síťové domény uvnitř samotné Ukrajiny. Samotné nedávné a probíhající destruktivní útoky však byly sofistikovanější a rozsáhlejší, než se v mnoha zprávách uvádí. Ruská armáda tyto ničivé útoky i nadále přizpůsobuje měnícím se válečným potřebám, a to i spojováním kybernetických útoků s použitím konvenčních zbraní.

Určujícím aspektem těchto ničivých útoků byla doposud síla a relativní úspěšnost kybernetické obrany. Přestože tato kybernetická obrana není dokonalá a některé destruktivní útoky byly úspěšné, ukázala se být silnější než útočné kybernetické schopnosti. To odráží dva důležité trendy poslední doby. Za prvé, pokroky v oblasti analýzy hrozeb včetně využití umělé inteligence umožnily účinnější odhalování těchto útoků. A za druhé, ochrana koncových bodů připojená k internetu umožnila rychlou distribuci ochranného softwarového kódu do cloudových služeb i do dalších připojených počítačových zařízení, která tento malware identifikují a deaktivují. Probíhající válečné inovace a opatření ukrajinské vlády tuto ochranu dále posílily. K udržení této obranné výhody však bude pravděpodobně zapotřebí neustálá ostražitost a inovace.

V Microsoftu jsme zjistili ruské snahy o narušení sítí ve 128 organizacích ve 42 zemích mimo Ukrajinu. Zatímco Spojené státy jsou pro Rusko cílem číslo jedna, prioritou těchto aktivit je také Polsko, kde se koordinuje velká část logistických dodávek vojenské a humanitární pomoci. Ruské aktivity cílily také na pobaltské země a v posledních dvou měsících došlo k nárůstu podobných aktivit zaměřených na počítačové sítě v Dánsku, Norsku, Finsku, Švédsku a Turecku. Zaznamenali jsme také nárůst podobných aktivit zaměřených na ministerstva zahraničí dalších zemí NATO.

Rusko se prioritně zaměřilo na vlády, zejména mezi členy NATO. V seznamu cílů se však objevily i think-tanky, humanitární organizace, IT společnosti a dodavatelé energií a další kritické infrastruktury. Od začátku války byly ruské cílené útoky, které jsme identifikovali, úspěšné ve 29 procentech případů. Čtvrtina těchto úspěšných vniknutí vedla k potvrzené exfiltraci dat organizací, i když, jak je vysvětleno v této studii, tento údaj pravděpodobně podhodnocuje míru ruské úspěšnosti.

Největší obavy máme i nadále z vládních počítačů, které jsou provozovány místně, a ne v cloudu. To odráží současný a globální stav útočné kybernetické špionáže a obranné kybernetické ochrany. Jak ukázal incident SolarWinds před 18 měsíci, mají ruské zpravodajské služby mimořádně sofistikované schopnosti implantovat kód a fungovat jako pokročilá trvalá hrozba (APT), která může průběžně získávat a exfiltrovat citlivé informace ze sítě. Od té doby došlo k výraznému pokroku v obranné ochraně, ale implementace tohoto pokroku je u evropských vlád nadále nerovnoměrnější než ve Spojených státech. V důsledku toho přetrvávají značné nedostatky v kolektivní obraně.

Ty kombinují taktiku, kterou KGB vyvíjela několik desetiletí, s využíváním nových digitálních technologií a internetu, a umožňují tak zahraničním operacím ovlivňování širší geografický dosah, větší objem, přesnější cílení a větší rychlost a agilitu. Naneštěstí platí, že při dostatečném plánování a propracovanosti můžou tyto operace kybernetického ovlivňování dobře využívat dlouhodobou otevřenost demokratických společností a polarizaci veřejnosti, která je pro současnou dobu charakteristická.

S postupující válkou na Ukrajině zaměřují ruské agentury své operace kybernetického ovlivňování na čtyři různé cílové skupiny. Cílí na ruské obyvatelstvo s cílem udržet podporu válečného úsilí. Cílí na ukrajinské obyvatelstvo s cílem podkopat důvěru v ochotu a schopnost země odolávat ruským útokům. Cílí na americké a evropské obyvatelstvo s cílem podkopat jednotu Západu a odvrátit kritiku ruských vojenských válečných zločinů. A začínají cílit na obyvatelstvo v nestranných zemích, potenciálně i proto, aby si udržely podporu v OSN a na dalších místech.

Ruské operace kybernetického ovlivňování navazují na taktiky vyvinuté pro jiné kybernetické aktivity a jsou s nimi propojeny. Stejně jako týmy rozšířené trvalé hrozby (APT), které pracují v rámci ruských zpravodajských služeb, působí i týmy pro rozšířenou trvalou manipulaci (APM) spojené s ruskými vládními agenturami prostřednictvím sociálních médií a digitálních platforem. Předem distribuují falešné narativy podobným způsobem, jakým se předem distribuuje malware a jiné softwarové kódy. Následně spouštějí rozsáhlé a souběžné „zpravodajství“ o těchto narativech z vládou spravovaných a ovlivňovaných webů a zesilují tyto narativy prostřednictvím technologických nástrojů určených ke zneužívání služeb sociálních médií. Mezi nedávné příklady patří narativy o biologických laboratořích na Ukrajině a četné snahy zamlžit vojenské útoky proti ukrajinským civilním cílům.

V rámci nové iniciativy Microsoftu využíváme ke sledování a předvídání těchto kybernetických hrozeb umělou inteligenci, nové analytické nástroje, rozsáhlejší soubory dat a rostoucí počet expertů. S využitím těchto nových možností odhadujeme, že ruské operace kybernetického ovlivňování úspěšně zvýšily šíření ruské propagandy po zahájení války o 216 % na Ukrajině a o 82 % ve Spojených státech.

Tyto probíhající ruské operace navazují na nedávné sofistikované snahy o šíření falešných zpráv o onemocnění COVID-19 v mnoha západních zemích. Ty zahrnovaly i státem sponzorované operace kybernetického ovlivňování v roce 2021, které se snažily odrazovat od přijetí vakcíny prostřednictvím anglicky psaných internetových studií a zároveň podporovat používání vakcíny prostřednictvím ruskojazyčných webů. Během posledních šesti měsíců se podobné ruské kybernetické operace snažily přispět k podněcování odporu veřejnosti vůči politice týkající se onemocnění COVID-19 na Novém Zélandu a v Kanadě.

V následujících týdnech a měsících budeme práci Microsoftu v této oblasti dále rozšiřovat. To zahrnuje interní růst i dohodu o akvizici společnosti Miburo Solutions, přední společnosti v oblasti analýzy a výzkumu kybernetických hrozeb, která se specializuje na detekování zahraničních operací kybernetického ovlivňování a reagování na ně.

Jsme znepokojeni tím, že mnoho současných ruských operací kybernetického ovlivňování v současnosti probíhá celé měsíce bez řádného odhalení, analýzy nebo zveřejnění. To má stále větší dopad na řadu důležitých institucí ve veřejném i soukromém sektoru. A čím déle bude válka na Ukrajině trvat, tím důležitější budou tyto operace pro samotnou Ukrajinu. Důvodem je, že delší válka bude vyžadovat udržování podpory veřejnosti před nevyhnutelnou výzvou zvětšující se únavy. To by mělo zvýšit naléhavost ohledně důležitosti posílení obrany Západu proti těmto typům zahraničních kybernetických útoků.

Jak ukazuje válka na Ukrajině, ačkoli mezi těmito hrozbami existují rozdíly, ruská vláda je nevede jako samostatné snahy a my bychom s nimi neměli pracovat v rámci oddělených analytických sil. Obranné strategie musí navíc zohledňovat koordinaci těchto kybernetických operací s kinetickými vojenskými operacemi, jak se ukázalo na Ukrajině.

K odvracení těchto kybernetických hrozeb jsou potřeba nové pokroky, které budou záviset na čtyřech společných principech a – přinejmenším na vysoké úrovni – na společné strategii. První obranný princip by měl uznat, že ruské kybernetické hrozby jsou rozvíjeny společnou řadou aktérů uvnitř i vně ruské vlády a spoléhají se na obdobné digitální taktiky. V důsledku toho bude potřeba pokročit v oblasti digitálních technologií, umělé inteligence a dat, aby bylo možné těmto hrozbám čelit. V návaznosti na to by druhý princip měl uznat, že na rozdíl od tradičních hrozeb v minulosti se reakce na kybernetické hrozby musí opírat o větší spolupráci veřejného a soukromého sektoru. Třetí princip by měl zahrnovat potřebu úzké a společné mnohostranné spolupráce mezi vládami za účelem ochrany otevřených a demokratických společností. A čtvrtý a poslední obranný princip by měl podporovat svobodu projevu a zamezit cenzuře v demokratických společnostech, i když jsou zapotřebí nové kroky k řešení všech kybernetických hrozeb, mezi které patří i operace kybernetického ovlivňování.

Účinná reakce musí vycházet z těchto principů a opírat se o čtyři strategické pilíře. Ty by měly u zahraničních kybernetických hrozeb zvýšit kolektivní schopnosti lepší (1) detekce, (2) obrany, (3) narušování a (4) odrazování. Tento přístup se už odráží v mnoha společných snahách o řešení destruktivních kybernetických útoků a kybernetické špionáže. Tyto principy se týkají také důležité a průběžné práce potřebné k řešení ransomwarových útoků. V dnešní době potřebujeme podobný a komplexní přístup s novými schopnostmi a obrannými prostředky pro boj proti ruským operacím kybernetického ovlivňování.

Jak jsme probírali v této studii, válka na Ukrajině je nejen poučením, ale i výzvou k přijetí účinných opatření, která budou mít zásadní význam pro ochranu budoucnosti demokracie. Jako společnost jsme odhodláni toto úsilí podporovat, a to i prostřednictvím pokračujících a nových investic do technologií, dat a partnerství, které budou podporovat vlády, společnosti, nevládní organizace a univerzity.

Pokud se chcete dozvědět více, přečtěte si úplnou studii.