Válka je fenomén, který nenechá nikoho lhostejným. Někoho proto, že na ní vydělává, jiné z toho důvodu, že jim válečný konflikt slouží jako nástroj k posílení moci, k rozšíření teritoria nebo k získání surovin. A pak jsou tu ti, kteří kvůli válce přicházejí o všechno – o domov, přátele, rodinu a ano, i o život. Válka na Ukrajině však odhalila, že existuje ještě jedna skupina, jíž není lhostejné, děje-li se do nebe volající nespravedlnost. Lidé bez ohledu na hranice svých států si začali na pozadí ruské agrese na Ukrajině uvědomovat hodnotu svobody a prokazují obrovskou míru empatie a solidarity. Je mimořádně povzbuzující vidět, jak statečně Ukrajinci bojují o svoji nezávislost, je dojemné sledovat, jak se západní svět sjednotil a snaží se Ukrajině pomoci. A k tomu by rád přispěl i tento text zaměřený na lepší porozumění, jak lze zdokonalit úroveň připravenosti na moderní kybernetické hrozby v kontextu válečného konfliktu.
bezpečnost invaze KA-SAT kybernetická válka moderní vektory útoků škodlivý kód Ukrajina
Invaze Ruska na Ukrajinu
Válka, která právě probíhá na Ukrajině, nemá v Evropě obdoby od 40. let minulého století. Zřejmě nikdo z nás si nedokázal představit, že je dnes ještě možné, aby byl takovým barbarským způsobem napaden suverénní stát a jeho občané. Strašidelným specifikem tohoto krvavého divadla je, že se odehrává v roce 2022 v Evropě, v bezprostřední blízkosti hranic zemí Evropské unie. Ruský vpád tak nemá vliv jen na přímé aktéry, ale na celý starý kontinent. [1] Nejenže sledujeme doslova v přímém přenosu všechny ty hrůzy, ale zároveň máme možnost znovu si ujasnit, co doopravdy znamená být statečný, obětavý, co všechno obnáší bojovat za svobodu a jakou obrovskou sílu má lidská solidarita napříč státy.
Otevřená agrese Ruska vůči Ukrajině nezačala zrána 24. února 2022. „Velký bratr“ ve skutečnosti „shodil rukavice“ o osm let dříve. [2] Už od roku 2014 ruští vojáci na Ukrajině zabíjejí, ničí a drancují, takže tento konflikt nyní trvá déle než celá druhá světová válka. Během 250 dnů od zahájení „Speciální vojenské operace“ muselo kvůli bojům opustit své domovy více než 12 miliónů Ukrajinců. [4] To je ohromující číslo, je to více lidí, než má Česká republika obyvatel.
Na pozadí fyzických útoků, které může den za dnem reflektovat široká veřejnost, probíhají v tichosti urputné boje i na dalších frontách, např. na té mediální nebo kybernetické. Dennodenně vznikají nové a sofistikované vektory útoků, které jsou cíleny na infrastrukturu Ukrajiny i jiných zemí, které různými způsoby podporují bránící se stát. [3] Jde o útoky, jejichž výskyt dosud nebyl dostatečně dobře analyzován. [5] Snahou tohoto textu je provést analýzu vektorů útoků, zaměřit se na cílové infrastruktury a odpovědět na otázku, zda tyto útoky souvisejí se snahou Ruska dobýt Ukrajinu. Následně určíme poškozená aktiva a definujeme hlavní kroky obrany, které jsou doporučované jak ukrajinským CERTem [6], tak i mezinárodními experty. [2, 7]
Oficiální informační prameny
Pro vytvoření co nejpřesnějšího pohledu na problematiku a kvalitní analýzy kybernetických útoků bylo nutné analyzovat několik informačních zdrojů. Jako primární nám posloužil ukrajinský portál CERT-UA [6], který je bohužel dostupný pouze v ukrajinském jazyce a nedisponuje popisem útoků v angličtině. Získané informace byly dále obohaceny o data dostupná z mezinárodních portálů CERT, SANS, MISP, z ukrajinských veřejnoprávních nezávislých médií a statistik zveřejněných dodavateli bezpečnostního softwaru a OS. [1, 3, 7, 8] Je důležité zmínit, že ani oficiální informační prameny často nekonkretizují názvy cílových organizací, dopady útoků, použité vektory a mechanismy útoků. Důvody k zachování mlčenlivosti pro širokou veřejnost jsou zřejmé.
Umění vedení moderní války
Zaměříme-li se na množinu fyzických a množinu kybernetických útoků, napadne nás logická otázka, zda v jejich případě dochází k nějakému průniku. Pokud ne, mohli bychom konstatovat, že kybernetické útoky mají obecný charakter a s ruskou invazí nijak nesouvisejí. V opačném případě, tedy v případě průniku těchto množin, lze usuzovat, že fyzické útoky ze strany Ruska mají podporu v ruských hackerských skupinách a zaměřují se na stejné nebo podobné cíle [2, 7].
Při hledání odpovědi se můžeme volně inspirovat citátem mistra Sun-c’a, autora legendárního traktátu Umění války: „Válka miluje vítězství a nemá ráda dlouhé trvání.“ Z této teze vyplývá, že čas je hlavním nepřítelem válčících stran. Válka je totiž jako oheň – potřebuje zdroje pro svoji existenci. Za takové zdroje lze považovat např. finance, lidské životy, zbraně, morální přesvědčení občanů apod. Z tohoto důvodu lze předpokládat, že se útočící stát bude pro dosažení svých cílů snažit zapojit všechny možné mechanismy útoků. [8, 9]
Myšlenku propojenosti obou množin navíc podporuje skutečnost, že ve 21. století dochází stále častěji k přesunu konfliktů mezi státy do virtuální roviny. Tu už dnes nelze podceňovat, protože konflikt zde může mít horší dopady než potýkání se na fyzické úrovni. [3, 7] Klíčovými faktory umožňujícími dosáhnout úspěchu jsou např. mechanismy vyvolání strachu, paralyzace řídících prvků státu, zničení kritické infrastruktury [8] a logistiky (viz Obr. 1). Všechny tyto fáze přitom byly od prvních válečných dnů na Ukrajině pozorovány, přičemž každý ze zmíněných faktorů byl uplatněn jak v kybernetické, tak i ve fyzické rovině boje.
Pro účely srovnání a odhalení propojenosti obou světů byla zhotovena časová osa zahrnující veškeré klíčové události prvních sedmi měsíců okupace Ukrajiny (období od února do srpna 2022). [2, 7, 9, 10] Pro lepší přehlednost byla časová osa rozdělena do tří etap. Každá dílčí časová osa zkoumá konflikt ve dvou rovinách. Modrá barva reprezentuje fyzické útoky zaměřené na území Ukrajiny, červená ty kybernetické.
První etapa války (únor – březen)
První etapa aktivní ruské agrese (viz Obr. 2) začala na konci února oznámením o zahájení „Speciální vojenské operace“. Ruský prezident deklaroval, že jejím primárním cílem je provést „demilitarizaci“ a „denacifikaci“ Ukrajiny a ochránit nezávislost nově vytvořených republik na východě země. Útoky vedla ruská armáda především ze severu (z území Běloruska) a severovýchodu Ukrajiny směrem na Kyjev, Charkov a Sumy. Další skupiny vojsk zaútočily z jižně situovaného Krymu směrem na Cherson, Mykolajiv, Oděsu a Záporoží a z východu, z okupovaného území tzv. Doněcké, resp. Luhanské lidové republiky. [4]
Během prvních dnů války směřovaly ruské rakety na objekty kritické infrastruktury. Cílem byla kompletní eliminace a zastavení všech pro Ukrajinu klíčových procesů. Ve čtvrtek 17. února, tedy ještě před začátkem nové fáze konfliktu, došlo k odhalení ruských útočníků v kritické infrastruktuře v Sumách. [2, 8] Během prvních dnů války pak právě do tohoto města neomylně zamířily ruské tanky.
V pondělí 28. února útočníci kompromitovali nejmenovanou mediální společnost v Kyjevě a následující den zde ruské rakety zaútočily na 385 m vysokou hlavní televizní věž. [4] Ještě tentýž den byl proveden další úspěšný útok na ukrajinskou infrastrukturu, během něhož došlo k úniku dat. Následně Rusové zaměřili svoji pozornost na jaderné elektrárny. Hned druhý březnový den CERT-UA zaznamenal2 kybernetický útok na síť jedné z nich [6] a vzápětí došlo k výpadkům elektřiny. V noci z 3. na 4. března pak ruská armáda obsadila největší jadernou elektrárnu na Ukrajině. Ve středu 16. března následoval další raketový útok na televizní věž a divadlo v Mariupolu [4] a ještě ten samý den došlo ke zveřejnění deepfake videa s prezidentem Ukrajiny, který informoval o složení zbraní3.
Obr. 2: Časová osa první etapy války na Ukrajině v roce 2022 (únor – březen)
Druhá etapa války (duben – květen)
Druhá etapa války, která trvala od dubna do května 2022 (viz Obr. 3), se ukazuje být klíčová v případě bojů probíhajících na fyzické úrovni. Ukrajinské armádě se podařilo zastavit postup ruských vojsk do centrálních oblastí země, osvobodit severní části Ukrajiny včetně teritorií Černobylu, Černihiva a Sum. [4] Po provedené analýze bylo zároveň zjištěno, že v rámci této etapy bojů došlo v rovině kybernetického světa k většímu rozprostření cílových objektů, ke snížení míry destruktivního škodlivého kódu, ale i k nárůstu počtu malwarů provádějících e-špionáž. Objekty zájmu útočníků byly především státní instituce, multimediální společnosti, kritická infrastruktura, energetika nebo doprava. Dne 28. března došlo k detekci 100 000 nelegitimních účtů na sociálních platformách provádějících distribuci falešných informací o válce. [2, 10, 11] Následně 7. a 8. dubna CERT-UA zaznamenal rozsáhlou phishingovou kampaň cílenou na státní instituce a rovněž počítačové a fyzické útoky na poskytovatele energií.
Ve středu 13. dubna byl po ukrajinském útoku fatálně poškozen hlavní raketový křižník ruského námořnictva Moskva [4] a den nato se potopil. Pro Ukrajince šlo o velký sukces, o němž informovala přední světová média. Na pozadí této události však v tichosti docházelo k rozsáhlé distribuci bankovního trojanu IceID a 22. dubna k obřímu DDoS útoku na ukrajinského poskytovatele poštovních služeb. [6]
A zatímco do rozkazu adresovaného posledním obráncům Azovstalu, aby zastavili odpor a zachránili si život, zbývalo už jen pár dnů, v ukrajinských novinách se začaly šířit zprávy o použití chemických zbraní. Tuto příležitost si nenechali ujít kyberútočníci, kteří úspěšně distribuovali malware o chemickém útoku prostřednictvím e-mailových phishingů cílených na multimediální společnost. [6, 10] Zároveň bylo toto období specifické zneužitím závažné zranitelnosti CVE-2022-30190 (označované též „Follina“), která se týkala aplikace Microsoft Office a umožňovala spuštění kódu bez ohledu na povolení maker v dokumentech. [11, 12, 13]
Obr. 3: Časová osa druhé etapy války na Ukrajině v roce 2022 (duben – květen)
Třetí etapa války (červen – srpen)
Během třetí analyzované etapy, od června do srpna roku 2022, osvobodila ukrajinská armáda okolí Charkova a okupantům se zároveň nepodařilo obsadit žádné nové ukrajinské město. Ukrajinské síly začaly pomalu vytlačovat ruské vojáky směrem k ukrajinským hranicím. [4] Nicméně např. atomová elektrárna v Záporoží zůstala i nadále obsazená ruskými agresory a během těchto měsíců také došlo k několikanásobné eskalaci jaderného konfliktu. Klíčovou novinkou však bylo zničení pěti desítek muničních skladů ruské armády nově dodanými raketomety HIMARS, a to během jediného dne, 16. července. [4] Pro kybernetickou rovinu konfliktu bylo v této době specifické zaměření proruských útoků na ukrajinské vládní organizace, kritickou infrastrukturu [8] a multimediální společnosti. [6] Jako hlavní mechanismy útoků nejčastěji sloužily malware DarkCrystal, CredoMap4, Cobalt Strike Beacon5. [9]
Obr. 4: Časová osa třetí etapy války na Ukrajině v roce 2022 (červen – srpen)
Tyto druhy škodlivého kódu byly nejčastěji distribuovány phishingovými e-maily obsahujícími přílohy s rozšířením .DOCX, .XLS, .RAR, RTF. Ve většině případů docházelo ke zneužití zranitelnosti Microsoft MSHTML (CVE-2021-40444), Follina (CVE-2022-30190), Fortinet (CVE-2021-40444) a Apache Log4j (CVE-2021-44228). [6, 9] Po provedené analýze škodlivého kódu společností CERT-UA došli experti k závěru, že primárním cílem útočníků v této fázi byly útoky na vládní organizace s cílem zjištění citlivých informací, které by mohly ruské armádě lépe pomoci v jejich snaze dobýt další ukrajinská území. [6]
Závěr první části
Svět se pro každého Ukrajince nenávratně změnil. Svobodný občan suverénní země se jednoho dne probudil a všechno, co do té doby považoval za samozřejmé, bylo náhle jinak. Všední radosti, pracovní povinnosti, škola, životní plány, láska, rodina – vše v minutě zamrzlo, zastavilo se, celá země jako by zatajila dech. Imperiální Rusko zjevně neschopné obstát v konkurenci svobodného světa se opět rozhodlo řešit své „ambiciózní“ plány na úkor sousedů. Za pomoci pro něj tak typických postupů a nástrojů, s využitím řešení, které jsou vlastní těm, kdo mentálně uvízli v dobách dávno minulých – násilí na nevinných, vyvolávání strachu, lhaní…
Dějiny se opakují a my dnes – ač je to k nevíře – jsme svědky válečných scén, o nichž jsme jen čítávali. Ale novou rovinou téhle války je její významný průnik do virtuálního světa. Ve svém barbarství jde pořád o ten samý krvavý vehikl, který byl však – v rámci evoluční spirály – poměrně zásadně modernizován. Moderní techniky války přináší virtuální rovinu, která se bohužel prolíná i do reálného světa, ovlivňuje lidské životy. Všechny ty skvělé ultramoderní nástroje virtuálního světa jsou tak dnes na Ukrajině používány přednostně k přímé podpoře fyzických útoků.
V první části článku jsme konstatovali, že v právě probíhajícím konfliktu na Ukrajině lze jasně vysledovat průniky mezi dvěma světy – virtuálním i fyzickým. Na vzorových příkladech a prezentovaných korelacích jsme si ukázali, že v rámci snahy o převahu, respektive vítězství svých zbraní, zapojují obě válčící strany do boje virtuální nástroje. V další části se pokusíme o analýzu propojenosti kybernetického a fyzického světa. Ukážeme si problematičtěji odhalitelné závislosti, včetně teritoriálních dopadů virtuálních a reálných útoků, a to nejenom na Ukrajinu, ale i na celý svět. Jádrem druhé části textu bude podrobný rozbor škodlivého kódu na Ukrajině, seřazený podle doby jeho výskytu, původních vektorů útoků a cílových aktiv. Podíváme se i na problémy, které limitují ukrajinskou kybernetickou obranu a v obecné rovině se pokusíme nastínit, na co je vhodné se – v kontextu s výše zjištěnými poznatky – zaměřit, provozujeme- li vlastní počítačovou infrastrukturu v evropském kyberprostoru.
První část textu si dovolím ukončit citací Volodymyra Zelenského: „Nesložíme zbraně. Budeme bránit naši zem. Naše zbraně jsou naše síla. Tohle je naše půda. Naše země. Naše děti. Všechny je ochráníme“. Mysleme na to, že Ukrajina bojuje nejenom za svoji nezávislost a svobodu, ale stále jasněji se ukazuje, že bojuje za svobodu a demokracii v obecném slova smyslu – za svobodnou Evropu, za celý svět.
Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.
Poznámky pod čarou:
- Jedná se pouze o orientační graf, který byl vytvořen za účelem komplexnějšího pochopení problematiky ukrajinských událostí a lepšího znázornění propojenosti množin fyzických a kybernetických útoků.
- Informace byly zveřejněny CERT-UA a jsou zároveň dostupné ze statistik společnosti Microsoft.
- Video je dostupné z URL: https://youtu.be/X17yrEV5sl4.
- Malware CredoMap byl šířen skupinou APT28, tzv. Fancy Bear [2, 9].
- Za tímto druhým malwarem s velkou pravděpodobností stojí skupina UNC2589, viz dále.
Použité zdroje:
[ 1 ] PETERSEN, Michelle. Ukraine-Russia Conflict – Cyber Resource Center: Access resources to help your organization navigate the cyber risk surrounding the Russia -Ukraine conflict. SANS Institute [online]. [cit. 10. 8. 22]. Dostupné z URL: https://www.sans.org/blog/ukraine-russia-conflict-cyber-resource-center/
[ 2 ] LEE, Rob, Kevin HOLVOET, Tim CONWAY and Jake WILLIAMS. 2022. Urgent Webcast: Russian Cyber Attack Escalation in Ukraine - What You Need To Know! [online]. [cit. 23. 4. 22]. SANS Institute. Dostupné z URL: https://www.sans.org/webcasts/russian-cyber-attack-escalation-in-ukraine/
[ 3 ] Special Report: Ukraine: An overview of Russia’s cyberattack activity in Ukraine [online]. [cit. 15. 9. 22]. 2022. Microsoft. Dostupné z URL: https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE4Vwwd
[ 4 ] Ministerstvo obrany Ukrajiny: Oficiální webová stránka [online]. [cit. 10. 17. 22]. Dostupné z URL: https://www.mil.gov.ua/
[ 5 ] Kybernetická válka již probíhá – Ukrajina je téměř denně napadená ruskými hackery. Jak se můžeme bránit? Rozhovor s Jurijem Ščygolem, šéfem Státní bezpečnostní služby Ukrajiny. 2022. Forbes [online]. [cit. 20. 4. 22]. Dostupné z URL: https://forbes.ua/ru/inside/kiberviyna-vzhe-trivae-ukrainu-led-ne-shchodnya-atakuyut-rosiyski -khakeri-yak-mi-zakhishchaemos-intervyu-golovi-derzhspetszvyazku-yuriya-shchigolya-21012022-3311
[ 6 ] CERT-UA: Computer Emergency Response Team of Ukraine [online]. [cit. 15. 9. 22]. Gov.ua. Státní stránky Ukrajiny. Dostupné z URL: https://cert.gov.ua/articles
[ 7 ] Defending Ukraine: Early Lessons from the Cyber War [online]. [cit. 10. 7. 22]. Microsoft. Dostupné z URL: https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE50KOK
[ 8 ] KNÍŽKOVÁ, Gabriela. Hackeři útočí hlavně na firmy, říká expert na malware. Na co si dát na síti pozor? Rozhovor s Robertem Šumanem (ESET) [online]. [cit. 17. 11. 22]. Dostupné z URL: https://finmag.penize.cz/podcast/437947-hackeri-utoci-hlavne-na-firmy-rika-expert-na-malware-na-co-si-dat-na-siti-pozor
[ 9 ] KNAPCZYK, Pawel. Overview of the Cyber Weapons Used in the Ukraine - Russia War [online]. [cit. 15. 9. 22]. Trustwave. Dostupné z URL: https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/overview-of-the-cyber-weapons-used-in-the-ukraine-russia-war/
[ 10 ] LAKSHMANAN, Ravie. Google: Russian Hackers Target Ukrainians, European Allies via Phishing Attacks. The Hacker News [online]. [cit. 3. 9. 22]. Dostupné z URL: https://thehackernews.com/2022/03/google-russian-hackers-target.html
[ 11 ] The war in Ukraine from a space cybersecurity perspective: ESPI Short Report. European Space Policy Institute [online]. Austria, 25 str. [online]. [cit. 3. 12. 22]. Dostupné z URL: https://www.espi.or.at/wp-content/uploads/2022/10/ESPI-Short-1-Final-Report.pdf
[ 12 ] BEZVERKHYI, Andrii. Cobalt Strike Beacon Malware Spread Via Targeted Phishing Emails Related to Azovstal: Cyber-Attack on Ukrainian Government Entities. SOC Prime [online]. [cit. 10. 9. 22]. Dostupné z URL: https://socprime.com/blog/cobalt-strike-beacon-malware-spread-via-targeted-phishing-emails-related-to-azovstal -cyber-attack-on-ukrainian-government-entities/
[ 13 ] OLYNIYCHUK, Daryna. CVE-2021-40444 and CVE-2022-30190 Exploit Detection: Cobalt Strike Beacon Delivered in a Cyber-Attack on Ukrainian State Bodies. SOC Prime [online]. [cit. 10. 9. 22]. Dostupné z URL: https://socprime.com/blog/cve-2021-40444-and-cve-2022-30190-exploit-detection-cobalt-strike-beacon- -delive red-in-a-cyber-attack-on-ukrainian-state-bodies/
[ 14 ] BEAUMONT, Kevin. Follina - Microsoft Office code execution vulnerability. DoublePulsar [online]. [cit. 23. 4. 22]. Dostupné z URL: https://doublepulsar.com/follina-a -microsoft-office-code-execution-vulnerability-1a47fce5629e