Skip to Main Content

BLOG: Obrana Ukrajiny. První lekce z kybernetické války

Historie každé války obvykle obsahuje zprávu o prvních výstřelech a o tom, kdo byl jejich svědkem. Každá zpráva poskytuje pohled nejen na začátek války, ale i na povahu doby, ve které lidé žili.

Historici, kteří hovoří o prvních výstřelech v americké občanské válce v roce 1861, obvykle popisují děla, kanóny a plachetnice v okolí pevnosti poblíž Charlestonu v Jižní Karolíně.

Události směřovaly k zahájení první světové války v roce 1914, kdy teroristé v Sarajevu použili granáty a pistoli k atentátu na arcivévodu Rakouska-Uherska.

Až norimberské válečné procesy umožnily plně pochopit, co se nedaleko polských hranic o 25 let později stalo. V roce 1939 nacistické jednotky SS převlečené do polských uniforem zinscenovaly útok na německou rozhlasovou stanici. Adolf Hitler se těmito útoky odvolával, aby ospravedlnil bleskovou invazi, při níž tanky, letadla a vojáci obsadili polská města.

Každá z těchto událostí je také popisem tehdejší technologie – technologie, která sehrála roli v následné válce a v životech lidí, kteří ji prožili.

Válka na Ukrajině probíhá podle tohoto vzoru. Ruská armáda vtrhla přes ukrajinské hranice 24. února 2022 s kombinací vojáků, tanků, letadel a řízených střel. První výstřely však ve skutečnosti padly o několik hodin dříve, kdy kalendář ještě ukazoval 23. únor. Týkaly se kybernetické zbraně zvané “Foxblade”, která byla spuštěna proti počítačům na Ukrajině. Odrazem technologie dnešní doby jsou ti, kteří útok pozorovali mezi prvními, o půl světa dál, pracovali ve Spojených státech v Redmondu ve státě Washington.

Je důležité mít odstup a zhodnotit prvních několik měsíců války na Ukrajině, která byla pro zemi zničující z hlediska destrukce a ztrát na životech, včetně nevinných civilistů.

Ačkoli nikdo nedokáže předpovědět, jak dlouho bude tato válka trvat, již nyní je zřejmé, že odráží trend, jehož jsme byli svědky v jiných velkých konfliktech za poslední dvě století. Země vedou války s využitím nejmodernějších technologií a války samotné urychlují technologické změny. Je proto důležité průběžně vyhodnocovat dopad války na vývoj a využívání technologií.

Ruská invaze se částečně opírá o kybernetickou strategii, která zahrnuje nejméně tři různé a někdy koordinované snahy – destruktivní kybernetické útoky na Ukrajině, pronikání do sítí a špionáž mimo Ukrajinu a kybernetické vlivové operace zaměřené na lidi po celém světě. Tato zpráva přináší aktuální informace a analýzu každé z těchto oblastí a jejich vzájemné koordinace. Nabízí také nápady, jak lépe čelit těmto hrozbám v této válce i po ní, a nové příležitosti pro vlády a soukromý sektor, jak lépe spolupracovat.

Internet nezná hranic

Kybernetické aspekty současné války sahají daleko za hranice Ukrajiny a odrážejí jedinečnou povahu kyberprostoru. Když země vyšlou do boje kód, jejich zbraně se pohybují rychlostí světla. Globální cesty internetu znamenají, že kybernetické aktivity stírají velkou část dlouhodobé ochrany, kterou poskytují hranice, zdi a oceány. A samotný internet je na rozdíl od pevniny, moře a vzduchu lidským výtvorem, který se spoléhá na kombinaci vlastnictví, provozu a ochrany ze strany veřejného a soukromého sektoru.

To zase vyžaduje novou formu kolektivní obrany. Tato válka staví Rusko, hlavní kybernetickou mocnost, nejen proti alianci zemí. Kybernetická obrana Ukrajiny závisí v rozhodující míře na koalici zemí, společností a nevládních organizací.

Když země vyšlou do boje kód, jejich zbraně se pohybují rychlostí světla.

Svět nyní může začít posuzovat včasné a relativní silné a slabé stránky útočných a obranných kybernetických operací. Kde kolektivní obrana úspěšně maří útoky a kde naopak zaostává? K jakým typům technologických inovací dochází? A co je kritické, jaké kroky jsou nutné k účinné obraně proti kybernetickým útokům v budoucnu?  Mimo jiné je důležité založit tato hodnocení na přesných údajích a nenechat se zmást neoprávněným pocitem klidu z vnějšího vnímání, že kybernetická válka na Ukrajině nebyla tak ničivá, jak se někteří obávali.

Tato zpráva nabízí pět závěrů, které vyplynuly z prvních čtyř měsíců války:

1. Obrana proti vojenské invazi nyní pro většinu zemí vyžaduje schopnost distribuovat digitální operace a datové prostředky přes hranice a do jiných zemí. Rusko nepřekvapivě zaútočilo na ukrajinské vládní datové centrum při prvním útoku řízenými střelami a další servery “on premise” byly podobně zranitelné vůči útokům konvenčními zbraněmi. Rusko také zaměřilo své ničivé “stírací” útoky na lokální počítačové sítě. Ukrajinská vláda však úspěšně udržela své civilní a vojenské operace tím, že rychle jednala a vyvedla svou digitální infrastrukturu do veřejného cloudu, kde byla umístěna v datových centrech po celé Evropě.

K tomu byly zapotřebí naléhavé a mimořádné kroky celého technologického sektoru, včetně společnosti Microsoft. Přestože práce technologického sektoru byla zásadní, je také důležité zamyslet se nad dlouhodobějšími zkušenostmi, které z tohoto úsilí vyplývají.

2. Nedávný pokrok v oblasti zpravodajství o kybernetických hrozbách a ochrany koncových bodů pomohl Ukrajině odolat vysokému procentu destruktivních ruských kybernetických útoků. Protože kybernetické aktivity jsou pouhým okem neviditelné, je pro novináře, a dokonce i pro mnohé vojenské analytiky obtížnější je sledovat. Společnost Microsoft zaznamenala několik vln destruktivních kybernetických útoků ruské armády proti 48 různým ukrajinským agenturám a podnikům. Ty se snažily proniknout do síťových domén tak, že nejprve zahrnovaly stovky počítačů a poté šířily malware určený ke zničení softwaru a dat na tisících dalších.

Ruská kybernetická taktika v této válce se liší od té, která byla použita při útoku NotPetya na Ukrajinu v roce 2017. Při tomto útoku byl použit “červí” destruktivní malware, který mohl přecházet z jedné počítačové domény do druhé, a tedy překračovat hranice do jiných zemí. V roce 2022 bylo Rusko opatrné a omezilo destruktivní “wiper software” na konkrétní síťové domény uvnitř samotné Ukrajiny. Samotné nedávné a probíhající destruktivní útoky však byly sofistikovanější a rozsáhlejší, než mnohé zprávy připouštějí. A ruská armáda je nadále přizpůsobuje měnícím se válečným potřebám, včetně spojování kybernetických útoků s použitím konvenčních zbraní.

Určujícím aspektem útoků byla dosud síla a relativní úspěšnost kybernetické obrany. Ačkoli není dokonalá a některé útoky byly úspěšné, ukázalo se, že ukrajinská kybernetická obrana je silnější než útočné kybernetické kapacity. To odráží dva důležité a nové trendy.

  • Pokrok v oblasti zpravodajství o hrozbách, včetně využití umělé inteligence, pomohl účinnějšímu odhalování těchto útoků.
  • Ochrana koncových bodů připojených k internetu umožnila rychlou distribuci ochranného softwarového kódu jak do cloudových služeb, tak do dalších připojených počítačových zařízení, která tento malware identifikují a zneškodňují. Probíhající válečné inovace a opatření ve spolupráci s ukrajinskou vládou tuto ochranu dále posílily. K udržení této obranné výhody však bude pravděpodobně zapotřebí neustálá ostražitost a inovace.

3. Vzhledem k tomu, že se na obranu Ukrajiny spojila koalice zemí, ruské zpravodajské služby zintenzivnily pronikání do sítí a špionážní aktivity zaměřené na spojenecké vlády mimo Ukrajinu. Ve společnosti Microsoft jsme zjistili ruské snahy o proniknutí do sítí 128 organizací ve 42 zemích mimo Ukrajinu. Ačkoli cílem číslo jedna byly pro Rusko Spojené státy, prioritou této činnosti bylo také Polsko, kde se koordinuje velká část logistických dodávek vojenské a humanitární pomoci. Ruské aktivity se zaměřily také na pobaltské země a v posledních dvou měsících došlo k nárůstu podobných aktivit zaměřených na počítačové sítě v Dánsku, Norsku, Finsku, Švédsku a Turecku. Zaznamenali jsme také nárůst podobných aktivit zaměřených na ministerstva zahraničí dalších zemí NATO.

Ruské cílení se prioritně zaměřilo na vlády, zejména mezi členy NATO. Na seznamu cílů se však objevily také think-tanky, humanitární organizace, IT společnosti a dodavatelé energií a další kritické infrastruktury. Od začátku války bylo námi zjištěné ruské cílení úspěšné ve 29 procentech případů. Čtvrtina těchto úspěšných průniků vedla k potvrzené exfiltraci dat organizace, i když, jak je vysvětleno ve zprávě, tento údaj pravděpodobně podhodnocuje míru ruské úspěšnosti.

Největší obavy máme nadále z vládních počítačů, které běží na místních serverech, nikoli v cloudu. To odráží současný a globální stav ofenzivní kybernetické špionáže a defenzivní kybernetické ochrany. Jak ukázal incident SolarWinds před 18 měsíci, ruské zpravodajské agentury mají mimořádně sofistikované schopnosti implantovat kód a fungovat jako pokročilá trvalá hrozba (APT), která může průběžně získávat a exfiltrovat citlivé informace ze sítě. Od té doby došlo k výraznému posunu v ochraně, ale implementace nejmodernějších řešení je u evropských vlád stále nerovnoměrnější než ve Spojených státech. V důsledku toho přetrvávají významné nedostatky kolektivní obrany.

4. V koordinaci s dalšími kybernetickými aktivitami provádějí ruské agentury globální operace na podporu svého válečného úsilí. Ty kombinují taktiku vyvinutou KGB v průběhu několika desetiletí s novými digitálními technologiemi a internetem, aby zahraniční vlivové operace měly širší geografický dosah, větší objem, přesnější zacílení a větší rychlost a agilitu. Při dostatečném plánování a propracovanosti mají tyto kybernetické operace bohužel dobré předpoklady k tomu, aby využily dlouhodobé otevřenosti demokratických společností a polarizace veřejnosti, která je pro současnou dobu charakteristická.

S postupující válkou na Ukrajině zaměřují ruské agentury své operace kybernetického ovlivňování na čtyři odlišné cílové skupiny:

  • zaměřují se na ruské obyvatelstvo s cílem udržet podporu válečného úsilí
  • zaměřují se na ukrajinské obyvatelstvo s cílem podkopat důvěru v ochotu a schopnost země odolat ruským útokům
  • zaměřují se na americké a evropské obyvatelstvo s cílem podkopat jednotu Západu a odvrátit kritiku ruských vojenských válečných zločinů
  • a začínají se zaměřovat i na obyvatelstvo v nezařazených zemích, možná částečně proto, aby si udrželi podporu v OSN a na dalších místech.

Ruské operace kybernetického vlivu navazují na taktiky vyvinuté pro jiné kybernetické aktivity a jsou s nimi propojeny. Stejně jako týmy APT, které pracují v rámci ruských zpravodajských služeb, působí týmy Advance Persistent Manipulator (APM) spojené s ruskými vládními agenturami prostřednictvím sociálních médií a digitálních platforem. Předem umisťují falešné narativy způsobem, který je podobný předsunutí malwaru a dalších softwarových kódů. Poté spouštějí rozsáhlé a simultánní “zpravodajství” o těchto narativech z vládou spravovaných a ovlivňovaných webových stránek a posilují preferované narativy prostřednictvím technologických nástrojů určených k využívání služeb sociálních médií. Mezi nedávné příklady patří fake news kolem biolaboratoří na Ukrajině a četné snahy o zastírání vojenských útoků proti ukrajinským civilním cílům.

Šířící se ruská propaganda

V rámci nové iniciativy ve společnosti Microsoft využíváme umělou inteligenci, nové analytické nástroje, širší soubory dat a rostoucí počet odborníků ke sledování a předvídání této kybernetické hrozby. S využitím těchto nových schopností odhadujeme, že ruské kybernetické vlivové operace úspěšně zvýšily šíření ruské propagandy po zahájení války o 216 % na Ukrajině a o 82 % ve Spojených státech.

Tyto aktivity navazují na nedávné sofistikované snahy o šíření falešných narativů COVID v mnoha západních zemích. Patřily k nim státem sponzorované kybernetické vlivové operace v roce 2021, které se snažily odradit od přijetí vakcíny prostřednictvím anglicky psaných internetových zpráv a současně povzbuzovaly k užívání vakcíny prostřednictvím ruskojazyčných stránek. Během posledních šesti měsíců se podobné ruské kybernetické vlivové operace snažily přispět k rozdmýchání odporu veřejnosti vůči politice COVID-19 na Novém Zélandu a v Kanadě.

V následujících týdnech a měsících budeme pokračovat v rozšiřování práce společnosti Microsoft v této oblasti. To zahrnuje jak interní růst, tak prostřednictvím dohody, kterou jsme oznámili minulý týden, o akvizici společnosti Miburo Solutions, přední společnosti zabývající se analýzou a výzkumem kybernetických hrozeb a specializující se na odhalování zahraničních operací kybernetického ovlivňování a reakci na ně.

Odhadujeme, že ruské kybernetické vlivové operace úspěšně zvýšily šíření ruské propagandy po zahájení války o 216 % na Ukrajině a o 82 % ve Spojených státech.

Jsme znepokojeni tím, že mnoho současných ruských kybernetických vlivových operací v současné době probíhá celé měsíce bez řádného odhalení, analýzy nebo zveřejnění. To má stále větší dopad na celou řadu důležitých institucí ve veřejném i soukromém sektoru. A čím déle bude válka na Ukrajině trvat, tím důležitější budou tyto operace pravděpodobně i pro samotnou Ukrajinu. Delší válka totiž bude vyžadovat udržení veřejné podpory z nevyhnutelného problému větší únavy. To by mělo zvýšit naléhavost významu posílení obrany Západu proti těmto typům zahraničních útoků na kybernetický vliv.

5. Poučení z Ukrajiny vyzývá ke koordinované a komplexní strategii k posílení obrany proti celé škále kybernetických destruktivních, špionážních a vlivových operací. Jak ukazuje válka na Ukrajině, ačkoli mezi těmito hrozbami existují rozdíly, ruská vláda je nesleduje jako oddělené snahy a my bychom je neměli zařazovat do samostatných analytických sil. Kromě toho musí obranné strategie zohledňovat koordinaci těchto kybernetických operací s vojenskými operacemi, jak jsme toho byli svědky na Ukrajině.

K odvrácení těchto kybernetických hrozeb je zapotřebí nových pokroků, které budou záviset na čtyřech společných zásadách a – alespoň na vysoké úrovni – na společné strategii:¨

  • První obranný princip by měl uznat, že ruské kybernetické hrozby jsou rozvíjeny společným souborem aktérů uvnitř i vně ruské vlády a spoléhají na podobné digitální taktiky. V důsledku toho bude k jejich potírání zapotřebí pokroku v oblasti digitálních technologií, umělé inteligence a dat.
  • Druhý obranný princip by měl uznat, že na rozdíl od tradičních hrozeb v minulosti se reakce na kybernetické hrozby musí opírat o větší spolupráci veřejného a soukromého sektoru.
  • Třetí obranný princip by měl zahrnovat potřebu úzké a společné mnohostranné spolupráce mezi vládami za účelem ochrany otevřených a demokratických společností.
  • Čtvrtý obranný princip by měl podporovat svobodu projevu a zamezit cenzuře v demokratických společnostech, i když jsou zapotřebí nové kroky k řešení celé škály kybernetických hrozeb, které zahrnují i kybernetické vlivové operace.

Účinná reakce musí vycházet z těchto principů a mít čtyři strategické pilíře. Ty by měly zvýšit kolektivní schopnosti lépe (1) odhalovat, (2) bránit se, (3) narušovat a (4) odrazovat zahraniční kybernetické hrozby. Tento přístup se již odráží v mnoha kolektivních snahách o řešení kybernetických útoků a kybernetické špionáže. Týká se rovněž zásadní a pokračující práce potřebné k řešení útoků ransomwaru. Nyní potřebujeme podobný a komplexní přístup s novými schopnostmi a obrannými prostředky pro boj proti ruským kybernetickým vlivovým operacím.

Jak je uvedeno v naší zprávě, válka na Ukrajině poskytuje nejen poučení, ale i výzvu k akci pro účinná opatření, která budou mít zásadní význam pro ochranu budoucnosti demokracie. Jako společnost jsme odhodláni toto úsilí podporovat, mimo jiné prostřednictvím pokračujících a nových investic do technologií, dat a partnerství, které podpoří vlády, společnosti, nevládní organizace a univerzity.

More Stories