ryccio/Getty Images
Războiul cibernetic din Ucraina nu decurge conform așteptărilor35 min read
Rusia avansează greu atât pe teren, cât și în spațiul cibernetic.
Unul dintre cele mai discutate subiecte în săptămânile premergătoare războiului declanșat de Rusia au fost capabilitățile ei cibernetice, considerate o parte semnificativă a doctrinei războiului hibrid pe care Moscova a folosit-o tot mai des în ultimul deceniu.
Scenarii negre pentru spațiul virtual ucrainean, de la hackuri care ar destabiliza orice rețea și instituție dependentă de internet la campanii de dezinformare online de o amploare nemaiîntâlnită, au fost propuse de „US braces for Russian cyberattacks as Ukraine conflict escalates. Here’s how that might play out”, cnn.com
Invazia a avut loc în cele din urmă, iar aceste scenarii de apocalipsă cibernetică încă nu s-au adeverit. Chiar dacă războiul se desfășoară și pe acest front, iar atacuri sofisticate au avut loc, conflictul online oglindește surprinzător de mult desfășurările de trupe de pe teren – atacuri ineficiente ale Rusiei, punctate de contraatacuri ucrainene care înscriu foarte multe puncte în special la capitolul moral și pentru susținerea internațională a țării.
Rusia a avut un succes limitat în atacurile cu malware
Un semn care indica faptul că o potențială operațiune cibernetică masivă urma să se desfășoare simultan cu un eventual conflict armat a venit cu mai bine de o lună înainte de invazie.
Pe 15 ianuarie, „Destructive malware targeting Ukrainian organizations”, microsoft.com că a găsit dovezi a unui atac la scară largă cu malware împotriva mai multor organizații din Ucraina, incluzând instituții guvernamentale, ONG-uri și companii de tech, dar care ar fi afectat doar câteva zeci de PC-uri.
Denumit WhisperGate, atacul s-a defășurat în mai multe stagii și era menit să facă utilizatorul să creadă că este victima unui Un atac cibernetic care criptează datele de pe un sistem, în care hackerii cer o răscumpărare pentru a-l decripta dar de fapt țintea să șteargă mare parte din datele de pe computerele afectate, fără posibilitatea de a le recupera – metodă cunoscută sub numele de „atac wiper”.
În acest caz, computerele infectate au fost compromise la nivelul cel mai de bază al disk-urilor, Master Boot Record-ul, responsabil cu identificarea sistemului de operare la pornirea dispozitivului.
Utilizatorii afectați au primit un mesaj fals de ransomware, dar, spre deosebire de atacuri tipice de acest fel, WhisperGate nu a forțat un restart al PC-ului, ci a așteptat ca victimele să îl restarteze pe cont propriu. Astfel, atacul permitea desfășurarea celorlalte stagii: mai întâi, era descărcat un pachet de malware care, printre altele, oprea detecția în timp real a lui Windows Defender. În stagiul final, era rulat un fișier executabil care corupea toate fișierele de pe disk cu anumite extensii, înlocuindu-le cu fișiere de câte 1 MB de date statice.
„Ukraine: Disk-wiping Attacks Precede Russian Invasion”, symantec-enterprise-blogs.security.com a avut loc chiar în preziua și în primele ore ale invaziei, pe 23 și 24 februarie. În acest caz, au fost țintite organizații guvernamentale și contractori care lucrează pentru guvernul ucrainean din sectoarele bancare, de apărare, aviație și servicii IT, precum și contractori similari din Letonia și Lituania. Nici în acest caz, nu au fost raportate pagube majore, malware-ul reușind să infecteze doar câteva sute de computere.
Și în acest caz a fost vorba de un wiper, acompaniat în unele cazuri de un ransomware fals, însă metoda de atac a fost diferită față de WhisperGate. Pachetul a ajuns pe PC-urile țintite sub forma unui program care avea un certificat digital de la o companie cipriotă de gaming, Hermetica Digital (după care a și fost numită și atacul, Hermetic Whiper). Certificatele digitale sunt date criptate atașate unui fișier care verifică faptul că acesta provine de la un autor sau entitate legitimă. Pentru a obține unul, identitatea autorului sau creatorului unui fișier trebuie „What is a Digital Certificate and Why are Digital Certificates Important?”, digicert.com
Prezența unui certificat digital poate înșela monitorizarea în timp real executată de antiviruși, care pe baza lui determină că programul este unul de încredere și îi permite să ruleze comenzi pe care altfel le-ar restricționa. Interesant este faptul că deținătorul companiei Hermetica a declarat că „Cyprus games writer denies links to malware found before Russian invasion”, reuters.com deoarece compania nu creează niciun fel de cod sau program, ci scrie doar scenarii pentru alte jocuri.
Având în vedere că un certificat digital se poate obține doar cu dovedirea identității companiei sau autorului, este cel mai probabil vorba de un furt de identitate. Data obținerii certificatului este la fel de interesantă: acesta a fost emis în aprilie 2021. Coroborat cu faptul că Symantec a descoperit că primele PC-uri țintite au fost compromise cu Hermetic Wiper încă din noiembrie 2021, asta indică faptul că atacul cibernetic a fost planificat cu mult timp înaintea invaziei.
După ce a ajuns pe PC-urile țintă, pachetul Hermetic Whiper a rămas inactiv până când a fost programat de către hackeri pentru a rula, moment în care a instalat drivere, care foloseau și ele certificate digitale false, care corupeau partițiile vizate.
Analizând wiperul, compania de securitate cibernetică Sentinel Labs a observat chiar și „HermeticWiper | New Destructive Malware Used In Cyber Attacks on Ukraine”, sentinelone.com atât în codul rulat de wiper, cât și în mesajul atașat ransomware-ului fals, care cere utilizatorului să contacteze hackerii la o adresă numită „vote2024forjb”.
Un al treilea atac de tip wiper „IsaacWiper and HermeticWizard: New wiper and worm targeting Ukraine”, welivesecurity.com fiind folosit pe 24 februarie și 25 februarie împotriva unei rețele guvernamentale ucrainene care nu a fost numită.
Denumit IsaacWiper, atacul pare să fie mult mai puțin sofisticat decât cele două exemple precedente și nici nu are similarități în privința codului pe care îl execută. În plus, metoda folosită de ștergere a informației era ineficientă, rezultând într-o durată lungă a operațiunii pe discurile cu o capacitate de stocare ridicată.
Wiperul a fost updatat de autori pe 25 februarie pentru a include Istorice în format text a operațiunilor pe care pachetul le execută pe computerul infectat ceea ce ar putea sugera că atacul nu a reușit pe cel puțin unele dintre PC-urile țintite, iar hackerii au vrut să înțeleagă cauzele. Din informațiile inițiale, se pare că amploarea atacului a fost chiar mai redusă decât în celelalte două cazuri.
Site-uri importante ale autorităților ucrainene au fost indisponibile din cauza atacurilor DDoS. Sopa Images via Getty Images
Atacurile DDoS ruse au fost și ele tardive
Pe lângă atacurile de tip malware, au fost înregistrate și atacuri la scară largă de tip distributed denial of service (DDoS) împotriva multor entități ucrainene. Atacurile DDoS urmăresc blocarea traficului către site-urile sau serverele vizate, prin intermediul unor „What is a DDoS attack?”, cloudflare.com Acestea trimit solicitări simultane către adresele IP vizate, ceea ce duce la supraîncarcarea rețelei sau serverului și blochează utilizarea lor pentru traficul normal.
Mai multe astfel de atacuri „Websites Of Ukrainian Government Agencies, Banks Targeted Again By Cyberattack”, rferl.org țintind site-urile parlamentului, guvernului și ministerului de Externe ucrainean, precum și a unor bănci din țara vecină. Anterior, atacuri similare au avut loc după „Ukraine defence ministry website, banks, knocked offline”, reuters.com pe 16 februarie, indicând o posibilă strategie de coordonare a acestora din partea Rusiei.
Totuși, după aceste atacuri inițiale, efortul Rusiei de a bloca accesul la site-uri oficiale ale autorităților ucrainene „Ukraine points finger of suspicion at Russia over massive cyberattack”, reuters.com Un alt val de DDoS-uri a lovit pe 28 februarie site-uri ale ambasadelor ucrainene și al Ministerului de Externe, care rămân inaccesibile la data redactării acestui material. Site-ul oficial al administrației prezidențiale a lui Volodimir Zelenski este și el offline, însă alte site-uri cheie, precum cele ale parlamentului, guvernului sau Ministerului Apărării, pot fi accesate fără mari probleme.
CITEȘTE ȘI: NATO: Un atac cibernetic poate activa Articolul 5?
Ucraina a mobilizat hacktiviștii
În ciuda unor atacuri sofisticate, ofensiva cibernetică inițială a Rusiei nu pare să o fi ajutat foarte mult în luptele de pe teren. Internetul a rămas până acum accesibil în cea mai mare parte a Ucrainei, iar instituțiile-cheie au putut comunica relativ ușor între ele și cu cetățenii, mai ales prin rețelele sociale.
Pierderi temporare ale conectivității au fost înregistrate la nivel local, mai ales în zonele majore de conflict, precum capitala Kiev sau orașele Harkiv sau Mariupol, conform instituției de monitorizare „Internet disruptions registered as Russia moves in on Ukraine”, netblocks.org Singura zonă în care internetul este blocat complet deocamdată este Sievierodonețk, resedința administrativă a părții din Luhansk care era controlată de armata ucraineană înainte de începerea războiului.
În plus, Ucraina și hackeri din alte state au răspuns la rândul lor cu atacuri cibernetice. Aceastea nu au fost neapărat la fel de complexe precum cele atribuite Rusiei, dar au rezultat în victorii de imagine într-o parte a conflictului în care Moscova părea că are un avantaj cert.
Încă de la începutul invaziei, autoritățile ucrainene au apelat la voluntari din comunitățile locale și internaționale de hackeri pentru a forma o „Ukraine’s Volunteer ‘IT Army’ Is Hacking in Uncharted Territory”, wired.com care să găsească vulnerabilități și să execute atacuri în infrastructura digitală a Rusiei și Belarusului. Voluntarii au fost adunați pe un canal de Telegram public, care numără peste 270.000 de abonați, în care au fost planificate și organizate atacuri DDoS împotriva principalelor site-uri ale autorităților ruse.
Deși platforma aleasă pentru operațiune este discutabilă – Telegram nu doar că este deținută de un Pavel Durov, care a creat și rețeaua socială rusă VK, dar care susține că s-a auto-exilat întâi în St. Kitts and Nevis și apoi în Franța, wikipedia.org care a spus că ar putea „Telegram may restrict some channels if situation in Ukraine escalates, says founder”, reuters.com în contextul războiului și primește „Fleeing WhatsApp for Better Privacy? Don’t Turn to Telegram”, wired.com utilizatorilor de pe grupuri de chat – inițiativa pare să fi avut succes.
Multe dintre site-urile oficiale ale autorităților din Moscova, incluzându-le pe cele ale Kremlinului, Ministerului Apărării sau portalul de servicii publice digitale, „Six Russian government websites including Kremlin website down”, jpost.com Li s-au adăugat site-uri ale unor bănci majore, dar și întreruperi temporare ale site-urilor Băncii Centrale și a bursei de la Moscova.
Ucrainei pare să i se fi adăugat și grupul „Anonymous: the hacker collective that has declared cyberwar on Russia”, theguardian.com o organizație internațională decentralizată de hackeri activiști care a revendicat de-a lungul anilor atacuri împotriva serviciilor guvernamentale ale Statelor Unite, Statului Islamic și a unor corporații majore. Un cont care susține că reprezintă organizația a decretat un „război cibernetic” împotriva guvernului rus în ziua declanșării invaziei și, de atunci, a revendicat blocarea mai multor site-uri guvernamentale sau de propagandă ale Rusiei, hackuirea unor televiziuni ruse pentru a transmite mesaje pro-Ucraina și scurgerea unor baze de date de la ministere importante.
The Anonymous collective is officially in cyber war against the Russian government. #Anonymous #Ukraine
— Anonymous (@YourAnonOne) February 24, 2022
Problema cu Anonymous, dar și cu multe dintre aceste operațiuni executate de voluntari, este că autorii lor sunt dificil, dacă nu imposibil de verificat. În primul rând, există mai multe conturi de Twitter cu numele organizației care au milioane de urmăritori, fiecare revendicând diferite acțiuni împotriva Rusiei. Validitatea bazelor de date scurse online nu a fost încă verificată de experți independenți, iar în cazul atacurilor DDoS, având în vedere natura haotică a acțiunilor cibernetice voluntare din Ucraina și Occident împotriva Rusiei, este imposibil de stabilit ce grup este exact responsabil pentru atacurile contra unui site specific.
Un exemplu este scurgerea unei baze de date care susține că a publicat informațiile personale a peste 120.000 de soldați ruși care ar face parte din forța care invadează Ucrainean, pe site-ul de știri Ukrayinska Pravda. Directorul think-tank-ului american Center for Non-Proliferation Studies Ian J. Stewart, a încercat să găsească fără succes în această bază de date doi dintre soldații ruși capturați din Ucraina „Did a Ukrainian newspaper dox 120,000 Russian soldiers?, dailydot.com Unele dintre fișiere păreau a avea câțiva ani vechime, ceea ce sugera că baza de date nu e de acum. Bineînțeles, asta nu demonstrează că este falsă. Însă, până la verificarea independentă a acesteia, nu se poate demonstra nici că este reală sau că nu conține informații învechite.
La nivel mai oficial, se poate nota că Ucraina primește asistență expertă din partea Uniunii Europene, care pe 22 februarie „Ukraine: EU deploys cyber rapid-response team”, bbc.com formată din 12 experți, inclusiv din România, pentru a ajuta apărarea față de agresiunile cibernetice ale Rusiei.
Conferință de presă a FBI în octombrie 2020 în care agenția prezenta o listă de 6 ofițieri GRU acuzați că ar fi coordonat atacuri cibernetice împotriva infrastructurilor altor state. Getty Images
De ce nu a escaladat conflictul cibernetic?
Este clar, însă, că deocamdată Ucraina câștigă conflictul de pe internet. Nu doar că președintele Zelenski a devenit o figură eroică a luptei pentru democrație la nivel global și continuă să inspire rezistența populației și a armatei prin filmări zilnice din capitala asediată, dar se pare că a reușit în același timp să joace un rol important în convingerea liderilor occidentali „How Zelensky changed the West’s response to Russia”, cnn.com prin conversații videotelefonice constante cu alți șefi de stat și chiar intervenții în direct în Parlamentul European.
În același timp, nu poate fi neglijat rolul pe care l-a jucat cantitatea imensă de imagini și filmări ale războiului care au ajuns pe rețelele sociale în prima săptămână a conflictului, care au documentat aspecte vaste, de la ineficiența multora dintre atacurile ruse la crime de război comise împotriva civililor. Acestea au crescut moralul din tabăra ucraineană, dar și indignarea globală împotriva agresiunii Moscovei.
CITEȘTE ȘI: Războiul în timp real: cum schimbă informațiile open-source monitorizarea conflictului din Ucraina
Ceea ce pune o întrebare majoră: de ce a lăsat Rusia Ucrainei atât loc de manevră în spațiul virtual? Este o abordare care a suprins mulți analiști, care se așteptau ca o eventuală invazie să fie acompaniată de atacuri cibernetice devastatoare, care să limiteze drastic comunicațiile, infrastructura și eforturile de apărare din Ucraina.
Întrebarea a fost pusă de jurnaliști ai „The dire predictions about a Russian cyber onslaught haven’t come true in Ukraine. At least not yet.”, washingtonpost.com mai multor experți în securitate cibernetică, iar răspunsurile sunt extrem de variate.
De exemplu, unul dintre experți notat posibilitatea ca Rusia să fi planificat în jurul unui colaps aproape imediat al Ucrainei, așa că decidenții nu ar fi considerat necesară deteriorarea infrastructurii-cheie – care ar fi trebuit reparată ulterior pe parcursul ocupației pentru a servi intereselor Moscovei.
Pe de altă parte, există și posibilitatea ca Rusia să considere că imaginile și filmările făcute de civili sunt o sursă de intelligence importantă pentru pentru propriile eforturi militate. Analiștii ruși pot afla aproape imediat rezultatul diverselor atacuri și strategiile care nu funcționează, de exemplu, în cazul convoaielor distruse. Pe baza informațiilor, își pot actualiza planurile într-un ritm mai rapid decât ar fi fost posibil prin metodele clasice de colectare de date din teren. Civilii pot, de asemenea, să ofere în mod involuntar detalii despre pozițiile trupelor de apărare ucrainene sau a strategiilor pe care acestea le desfășoară.
În acest sens, este notabil și faptul că apar tot mai multe date din teren care sugerează că unitățile ruse folosesc smartphone-uri și radiouri civile pentru a comunica cu centrele de comandă, din motive încă neclare – în mod normal, o armată modernă ar trebui să folosească dispozitive de comunicare securizate, care funcționează independent de infrastructura de telecomunicații locală. Cu alte cuvinte, rușii ar putea avea nevoie de internet și telefonie mobilă la fel de mult precum ucrainenii.
Nu în ultimul rând, s-ar putea și ca Ucraina să fi fost pur și simplu pregătită pentru atacurile cibernetice rusești, având o experiență ridicată cu astfel de agresiuni în ultimii ani. De exemplu, în 2015, un atac cibernetic a reușit să închidă temporar parte din „Ukraine power grid hack”, wikipedia.org iar în 2017, un atac cu malware care viza Ucraina, dar s-a răspândit pe computere din întreg globul, a provocat „The Untold Story of NotPetya, the Most Devastating Cyberattack in History”, wired.com Și acel atac a fost deghizat într-un ransomware, dar a țintit de fapt eliminarea datelor sensibile de la companii majore, fiind atribuit de agențiile de securitate americane unor „US joins UK in blaming Russia for NotPetya cyber-attack”, theguardian.com
Războiul cibernetic încă are timp să escaladeze
Chiar dacă, la fel ca războiul purtat pe teren, nici războiul cibernetic nu a decurs până acum conform predicțiilor, Rusia poate în continuare să-și intensifice eforturile în acest domeniu.
Moscova a demonstrat capabilități cibernetice avansate de peste un deceniu – fie în Georgia, unde părți-cheie ale internetului „Cyberattacks during the Russo-Georgian War”, wikipedia.org iar o conductă de gaz importantă pare să fi fost ținta unor atacuri sofisticate, fie la alegerile din Statele Unite din 2016, unde hackeri ruși au reușit să creeze breșe în softurile electorale din mai multe state. Tot în SUA, în 2020, hackeri ruși au reușit „Russian Hackers Broke Into Federal Agencies, U.S. Officials Suspect”, nytimes.com
CITEȘTE ȘI: Sunt alegerile din Statele Unite vulnerabile în fața hackerilor?
Însă chiar și doi ani sunt o eternitate în ceea ce privește dezvoltarea capabilităților de atac și apărare cibernetică, iar atât Ucraina, cât și Occidentul ar fi putut învăța între timp să se apere mai bine de hackerii asociați Kremlinului.
În plus, chiar și dacă Rusia reușește să taie accesul Ucrainei modurile tradiționale de acces la internet, există opțiuni noi precum Starlink, sistemul de internet de mare viteză prin satelit al SpaceX. Acesta necesită antene speciale, care se conectează la cel mai apropiat satelit al companiei. Un tir plin de antene Starling a ajuns deja în Ucraina, la cererea autorităților de la Kiev, iar „Elon Musk’s Starlink arrives in Ukraine but what next?”, bbc.com Din cauza hardware-ului specific, serviciul nu va fi o opțiune pentru majoritatea populației în cazul unei pierderi la scară largă a internetului, dar poate păstra deschise comunicațiile între instituții critice ale Ucrainei, iar singura modalitate prin care Rusia le-ar putea disrupe este atacarea directă a antenelor sau sateliților.
Cert este că, într-o altă asemănare cu războiul actual, conflictul din sfera cibernetică are o desfășurare mult mai fluidă și un viitor mult mai greu de prezis decât s-ar fi crezut.
CITEȘTE ȘI: NATO: Un atac cibernetic poate activa Articolul 5?
