Moderný kybernetický konflikt pod taktovkou štátov má mnohé podoby. Ani zďaleka nejde len o špionáž, či narúšanie demokratických procesov formou dezinformačných kampaní, ako by sa mohlo z hľadiska mediálneho pokrytia zdať. Tie najvýraznejšie a z hľadiska okamžitého efektu najničivejšie podoby totiž dokážu zdevastovať ekonomiku a celkom rozbiť fungovanie spoločnosti. Čo to všetko znamená a ako vyzerá pokročilý kybernetický útok v plnej sile?
Veľké útoky a konflikty, ktoré sa udiali za poslednú dekádu, nám jednoznačne ukázali prechod do novej éry. Úspešné napadnutia mnohých významných (a nezriedkavo aj od internetu odstrihnutých) počítačových sietí, obsluhujúcich významnú priemyselnú výrobu alebo celonárodné elektrické sústavy, nám plne demonštrovalo realizovateľnosť týchto postupov a poukázalo na rozsah aktuálnych hrozieb.
Všetky tieto akty sú pritom stále zastrené nejasnosťami, nakoľko identifikácia vinníkov a všetkých narušení nie je vždy jednoduchá a často ani možná. Výsledkom je, že bežná verejnosť často nemá príliš dobrú predstavu, aké ničivé a úspešné tieto útoky môžu byť. Mnoho Slovákov tak napríklad dodnes vôbec netuší, že doposiaľ najrozsiahlejší kybernetický konflikt v histórii prebehol pred pár rokmi na opačnom konci jednej z našich hraníc a zanechal dôsledky a miliardové škody po celom svete.
Celonárodné elektrické siete sú najlákavejším cieľom kybernetického konfliktu /Foto: George Rose/
ČO TO KYBERNETICKÝ KONFLIKT VLASTNE JE?
Rôzne hackerské útoky má väčšina ľudí oprávnene spojené so zločineckou činnosťou. Nie je sa čomu čudovať. Internetové, či všeobecne „počítačové“ nebezpečenstvá vnímame zvyčajne v súvislosti s vírusovými nákazami, únikmi dát a okrádaním ľudí, pričom cieľom sú obvykle bežní jednotlivci, ľubovoľné firmy či dokonca nemocnice.
Pod pojmami kybernetický konflikt a kybervojna si je teda problematické vôbec niečo konkrétne predstaviť, pričom tomu nepomáha, že ucelená definícia týchto pojmov vlastne neexistuje. Mnoho ľudí si tak pod týmito pojmami predstaví iba vojenské zapojenie robotických a úplne automatických systémov. Takže majú dojem, že ide len o niečo futuristické, čo bude problémom až niekedy v budúcnosti. A to je veľmi zle.
Aj keď definícia týchto pojmov je skutočne voľná, väčšina akademikov a takisto vojenských a vládnych činiteľov v základe súhlasí s tým, že za kybernetický vojenský konflikt sa považuje akt, pri ktorom sa vážne digitálne útoky vykonávajú na úrovni štátnych a rozsiahlych infraštruktúr, pričom za nimi stoja štátne alebo štátom podporované hackerské skupiny. Objemová eskalácia týchto konfliktov na úroveň, pri ktorej ovplyvňujú celé obyvateľstvo a ekonomiku konkrétnej krajiny, sa tak následne dá považovať za kybernetickú vojnu.
/Ilustrácia: Craig Stephens/
Ako je z tohto popisu dobre vidieť, kybernetický vojenský konflikt sa odlišuje od „hacktivizmu“, pri ktorom sa užšieho útoku dopúšťajú rôzne extrémistické skupiny, s cieľom presadenia svojej ideológie či protestu. Rovnako nejde ani o prejav zločineckej činnosti, pri ktorom sa kriminálne živly dopúšťajú útokov kvôli zisku alebo poškodeniu komerčnej konkurencie. Ideou kybernetického konfliktu a vojny je napadnutie významných cieľov a čiastočne alebo úplne ochromiť fungovanie štátu ako takého, so všetkými dôsledkami, aké to má.
Aj keď kybernetický konflikt môže mať mnoho podôb a zahŕňa aspekty ako špionáž, diverzia a takisto propaganda, v tomto článku sa budeme venovať výhradne tomu najničivejšiemu aspektu z hľadiska okamžitého efektu, ktorý súvisí s fyzickou škodou, sabotážou a deštrukciou infraštruktúry. Na kybernetickej vojne je totiž azda najzaujímavejšie práve to, že prekvapujúco môže mať podobný katastrofický efekt, ako má reálne bombardovanie miest a priemyselných objektov.
PRVÉ VÝZNAMNÉ KYBERNETICKÉ KONFLIKTY A TESTOVANIE REALIZOVATEĽNOSTI
Za prvý skutočne významný a zlomový prejav kybernetického konfliktu a napadnutia sa dá považovať Stuxnet, ktorý bol odhalený v roku 2010. V komunite bezpečnostných expertov spôsobil značný šok, pretože bol diametrálne odlišný od akéhokoľvek škodlivého softvéru, s akým sa svet dovtedy stretol. Kým u bežných vírusov, červov či trójskych koní je zrejmé, že sú čo najjednoduchšie a obvykle používajú len jeden vstupný vektor (metódu infekcie), Stuxnet bol vysoko sofistikovaný červ, zložený z rôznych odlišne programovaných modulov. V jeho kóde sa vyskytovali mnohé pokročilé postupy prieniku do konkrétnych systémov, krytia a bezpečnostné mechanizmy proti nekontrolovanému šíreniu a dokonca aj platné bezpečnostné certifikáty. Z jeho obsahu bolo jasné, že vonkoncom nebol dielom nejakého unudeného alebo peňazí chtivého záškodníckeho programátora, ale celého tímu špecialistov so silným zázemím. Schopnosti tohto softvéru boli ďalekosiahle, pričom nešlo o nič menšie, než o dlhodobú sabotáž vývoja a výroby nukleárnych zbraní.
Stuxnet infikoval špecifické počítače, na ktorých sú prevádzkované priemyslové systémy pre dispečerské riadenie a zber dát. Označujú sa skratkou SCADA (Supervisory Control and Data Acquisition) a zvyčajne ide o počítače nejakého centrálneho pracoviska, ktoré monitorujú a ovládajú rôzne priemyselné zariadenia. Stuxnet sa konkrétne zameral na SCADA systém SIMATIC WinCC od spoločnosti Siemens, ktorý sa používal spoločne s kontrolnými systémami PCS 7 a Teleperm. Jeho špecifickým požiadavkám zodpovedali hlavne iránska nukleárna elektráreň v meste Búšehr a nukleárne zariadenie v meste Natanz, ktoré sa podieľali na iránskych štátnych snahách o obohacovanie uránu.
Obrazovky SCADA pracoviska /Foto: tjinstrument/
Jeho úlohou pri tom nebolo systémy rýchlo vyradiť z činnosti, ale formou rootkitu dlhodobo škodlivo ovplyvňovať ich hodnoty a výsledky bez toho, aby vykazovali abnormálne správanie. Stuxnet neodhalene operoval takmer dva roky, pričom sa odhaduje, že jeho prítomnosť sa podieľala na poklese produkcie o niekoľko desiatok percent a likvidácii asi 1000 centrifúg. Výrazne tak zdržoval iránsky pokrok vo vývoji. Aj keď jeho pôvod nikdy nebol preukázaný, je všeobecne uznávaným názorom, že šlo takmer určite o produkt kybernetického útočného tímu USA (prípadne spoločného tímu USA a Izraela).
Prípad Stuxnetu a jeho dlhodobej sabotáže významného národného snaženia ukázal, aký nesmierne veľký rozdiel je medzi obyčajným napadnutím (obvykle finančne motivovaným) a pokročilým a prepracovaným štátnym útokom. Pokiaľ totiž špecializované hackerské tímy koordinuje a podporuje štát, môžu si dovoliť skutočne nevídané kúsky masívneho rozsahu. V prípade Stuxnetu však šlo ešte len o skromný začiatok a špičku ľadovca otvoreného potenciálu. Mnohé svetové mocnosti si to pritom veľmi rýchlo uvedomili a začali nové metódy uvádzať do praxe.
Ciele kybernetického konfliktu a kybervojny, podobne ako v prípade tej klasickej vojny, vonkoncom nemusia byť len objekty s vojenským významom. V prípade rozsiahlych konfliktov sa zasahuje aj bežné obyvateľstvo, a to formou devastácie infraštruktúry, ako sú napríklad elektrické siete, vodné rozvody, palivové zásoby či prostriedky komunikácie a transportu. Sabotáž a znefunkčnenie týchto prvkov má pre fungovanie spoločnosti a ekonomiku daného štátu katastrofálne následky.
Azda najlákavejším cieľom kybernetických napadnutí sú veľké národné elektrické siete, pretože pri ich vyradení na niekoľko hodín či dní dochádza k obrovským finančným stratám. Výpadok totiž neochromuje len ľudí a niektoré druhy dopravy (električky, metro, vlaky), ale aj mnohé firmy, ktoré prerušia výrobu, predaj či iné činnosti. Kým v prípade obyčajných porúch ide o krátkodobé výpadky v malých oblastiach, pri cielenej sabotáži dochádza k zásahu veľkých oblastí či dokonca celej krajiny.
Časti ukrajinského elektrického gridu /Foto: Alexej Pavšialk/
Treba pritom myslieť na to, že elektrické rozvodne a stanice nie sú miestom, kde by sa dalo naraziť vždy na najmodernejšie a najdrahšie IT vybavenie a veľké tímy expertov na sieťovú bezpečnosť, ktorí neprestajne všetko monitorujú 24 hodín denne a 365 dní do roka. To môžeme očakávať u veľkých dátových centier a obrovských internetových firiem, ako napríklad Google, nie v každom mysliteľnom objekte bežnej infraštruktúry. Úlohou nemocnice je liečiť pacientov a úlohou prevádzkovateľa elektrickej siete je rozvod elektriny, nie viesť informačnú vojnu. Nemožno od nich chcieť a čakať, že budú neprestajne schopné bojovať proti útokom špičkových IT expertov, snažiacich sa infiltrovať ich systémy. A to ich robí zraniteľnými.
Na bezpečnosť sa v rámci celkového návrhu týchto objektov a podnikov pravdaže myslí, pričom je zvolené vhodné bezpečnostné vybavenie, oddelený návrh sietí a podobne. Treba si ale uvedomiť, že podobne ako v prípade Stuxnetu má prípadný útočník obrovskú silu z hľadiska prakticky neobmedzeného prílevu mozgov a takisto informácií. S podporou štátu a tajných služieb totiž tieto útočné tímy majú zabezpečené nielen štedré financovanie, ale aj prílev potrebných znalostí a dát. Kým obyčajný „hacker“, ktorý útočí na nejakú firmu či inštitúciu z vlastného presvedčenia nemá ako získať informácie o špecifických priemyselných riadiacich systémoch a mať prehľad o ich fungovaní a zraniteľnostiach, štátom podporovaný útočný tím takéto informácie skrátka dostane, alebo sú pre neho zabezpečené (napr. nákupom rovnakého vybavenia, alebo poskytnutím dát z podobného podniku v domácej krajine).
Z týchto súvislostí vyplýva, že útok proti elektrickým sieťam je v prípade plánovania kybernetických konfliktov veľmi pravdepodobný a v prípade vypuknutia neviazanej kybervojny medzi dvoma štátmi prakticky zaručený. Zostávalo nám teda len čakať, kedy sa realizovateľnosť týchto útokov začne skúšať.
ÚSPEŠNÉ ÚTOKY NA NÁRODNÉ ELEKTRICKÉ ROZVODNÉ SIETE
K prvému potvrdenému veľkému útoku proti energetickým sieťam došlo v decembri roku 2015, s najväčšou pravdepodobnosťou pod taktovkou ruského štátneho kybernetického útočného tímu (známeho pod označením Sandworm).
Pri útoku sa úspešne podarilo preniknúť do ukrajinských kontrolných informačných systémov troch veľkých energetických distribučných spoločností a narušiť dodávky elektriny vo veľkej časti Ukrajiny. Najviac postihnutí boli zákazníci firmy Prikarpatja oblenergo, v Ivanofrankivskej oblasti/regióne, ktorá začína len 90 km od východných slovenských hraníc. Úplne vypnutých bolo celkom 30 jej elektrických staníc, odstrihávajúc kompletne od elektriny 230-tisíc ľudí. V menšom rozsahu boli postihnutí aj zákazníci firiem Černivci oblenergo v Černovickej oblasti a Kyjev oblenergo v Kyjevskej oblasti.
Útok bol vykonaný kompromitovaním firemných sietí cieleným phishingom, teda formou špeciálne navrhnutých podvodných správ, ušitých na mieru na konkrétne kľúčové osoby v daných energetických firmách. Šlo o dôveryhodne pôsobiace správy, obsahujúce škodlivým makrom infikovaný dokument programu Excel. Dané osoby, presvedčené o dôveryhodnosti správ ho otvorili, čo viedlo k infekcii škodlivým softvérom z rodiny BlackEnergy. Ten fungoval ako prostriedok na vytvorenie zadných vrátok a prístupu útočníkov do korporátnej siete. Tento fakt sám o sebe nepredstavoval až taký problém, nakoľko táto bežná firemná sieť bola od tej kľúčovej, skladajúcej sa z priemyselných SCADA systémov, oddelená robustným firewall riešením. Útočníci však lokálnu sieť podrobne analyzovali a získali prístup k serveru domény, ktorá spravovala používateľské účty a heslá. V nej lokalizovali niekoľko účtov špecialistov, ktorí mali oprávnenia na vzdialený prístup do SCADA systémov cez VPN a s pomocou ich prihlasovacích údajov vošli dovnútra zabezpečenej siete.
Útržky kódu infiltračného programu Black energy, ktorý bol použitý na útok na ukrajinskú elektrickú rozvodnú sieť
Elektrické stanice neboli vypnuté okamžite. Každá z napadnutých firiem používala rozličné systémy, pričom útočníci ich najprv podrobne analyzovali a vytvorili pre ne nový firmvér, ktorý zabraňoval tomu, aby po ich vypnutí boli operátori schopní k nim vzdialenou správou pristúpiť a reštartovať ich. K samotnému deštruktívnemu útoku došlo 23. decembra 2015, pri ktorom útočníci na diaľku vypli rozvodné systémy a odstrihli tak státisíce ľudí od elektriny.
Nedošlo však len k tomu. Útočníci sa zamerali predovšetkým na oslepenie prevádzkovateľov a zabránenie ich včasnej reakcii. V okamihu ako začalo vypínanie jednotlivých systémov, obrovské množstvo falošných telefonátov kompletne zahltilo zákaznícke linky firiem, aby sa na ne nemohli dovolať ukrajinskí zákazníci, predovšetkým významné firmy z oblasti, ktoré chceli nahlásiť výpadok a dostať informácie o čase nápravy. Behom niekoľkých minút až hodín, ako útok a jeho rozsah začal byť čoraz badateľnejší, útočníci začali aktivovať takisto mechanizmy na softvérovú deštrukciu vybavenia, v podobe sieťových prepínačov, terminálov a takisto jednotiek záložného napájania. Najvýznamnejším bolo spustenie škodlivého softvéru, dnes známeho pod označením KillDisk, ktorý kompletne vymazával dáta diskov obslužných počítačov.
Z celého útoku bolo zrejmé, že bol vedený precízne a mimoriadne koordinovane. Podrobná analýza ukázala, že bol vedený z vnútrozemia Ruska, takmer určite s podporou štátu (vzdialený prístup a pokyny šli z ruských IP adries a falošné hovory mali moskovskú predvoľbu). Cieľom bolo nielen otestovať vykonateľnosť takéhoto útoku, ale aj dosiahnuť rozhorčenie u ukrajinských zákazníkov, vedúce k zníženiu ich dôvery v ukrajinské firmy a vládu.
Samotný výpadok energie nebol príliš dlhý. Trval zhruba šesť hodín, po ktorých ukrajinskí operátori začali byť postupne schopní spustiť jednotlivé rozvodné systémy jeden po druhom manuálne, bez asistencie kontrolných a ovládacích systémov. Bezpečnosť celého procesu bola otázna, nakoľko podľa neskoršie vydaných reportov bolo zrejmé, že kontrolné systémy neboli uvedené do plne funkčného stavu ešte niekoľko mesiacov po útoku.
S vyšetrovaním útoku pomáhalo na Ukrajine mnoho amerických agentúr, vrátane FBI a DHS (americké ministerstvo vnútornej bezpečnosti), pričom z uverejnených reportov zároveň dostávame zaujímavú predstavu o tom, ako by takýto útok mohol vyzerať v iných lokalitách. Americkí analytici totiž boli relatívne v šoku z toho, že ukrajinské systémy boli moderné a relatívne dobre a robustne zabezpečené, často výrazne lepšie, ako ich americké náprotivky. Poukázali pri tom na to, že napríklad mnohé americké rozvodné systémy nemajú možnosť spätného spustenia núdzovou manuálnou cestou, čo by v USA viedlo k mnohonásobne dlhšiemu výpadku, až do obnovy elektronických ovládacích systémov, čo mohlo trvať dni až týždne.
Škodlivé makro v Excel súbore, ktoré sa stalo vstupnou bránou pre historicky prvý útok na obrovské elektrické rozvodné siete
Tento ukrajinský incident nebol ojedinelý. K obdobnému útoku došlo o rok neskôr, 17. decembra 2016, kedy bola odstrihnutá od elektriny veľká časť ukrajinského hlavného mesta Kyjev. Bol pri ňom použitý nový typ škodlivého softvéru, ktorý firma Eset vo svojej analýze nazvala ako Industroyer. Tento názov prebrala aj väčšina ostatných bezpečnostných a analytických firiem, pričom začali poukazovať na to, ako veľmi sa zlepšila jeho povaha oproti predošlému útoku. Industroyer totiž umožňoval zautomatizovanie mnohých prvkov a úkonov, ktoré sa pri predošlom útoku ešte vykonávali manuálne. Viditeľné pri tom bolo, že je navrhnutý modulárne a obsahuje vymeniteľné pluginy určené pre špecifické energetické systémy, aby ho bolo možné variabilne použiť na rôznych systémoch po celom svete. Začínalo byť jasné, že prebiehajúce útoky na Ukrajine fungujú ako test budovania pokročilých nástrojov pre tieto útoky v iných krajinách.
Vývoj a testovanie nových prienikov a zraniteľností neprestáva. Identifikácia týchto útokov je často neľahká a nepochybne vo veľkom prípade prebehnú celkom nepozorovane. Na rozdiel od Ukrajiny, kde útok v podobe sabotáže bol skutočne vykonaný, ide totiž obvykle len o infiltráciu a otestovanie prebrania kontroly nad zariadeniami (pre budúcu potrebu). Behom roku 2019 hlásilo oneskorene detegované prieniky mnoho energetických podnikov v USA, Rusku a iných krajinách. Je nepochybné, že infiltráciu cudzích energetických sietí jednotlivé útočné tímy štátov neprestajne skúšajú, bez toho aby vykonali sabotáž ako takú. Dozvedáme sa o nich pritom tom len sporadicky, ako napríklad z vágnych vyjadrení amerického ministerstva energetiky z apríla minulého roku. To len stroho nahlásilo marcový prienik do svojej energetickej siete, v rámci ktorého útočníci namiesto výpadku elektriny spôsobovali 10 hodín pravidelné oslepenia monitorovacích systémov. Nepochybne tak testovali schopnosti a možnosti ovládania a krytia prípadného budúceho útoku.
NOT-PETYA A NAJNIČIVEJŠÍ KYBERÚTOK V DOTERAJŠEJ HISTÓRII
Roky 2015 a 2016 naznačili, že Ukrajina sa stáva akýmsi cvičiskom pre ruské kybernetické operácie, čo časom vyvrcholí väčším zásahom. K tomu došlo napokon v roku 2017 a dodnes ho považujeme za najväčší a najrozsiahlejší kybernetický štátny atak v histórii.
Tak ako v predošlých prípadoch, aj v tomto prípade za ním takmer určite stál ruský útočný tím, známy pod označením Sandworm. Toto meno mu dala americká bezpečnostná firma FireEye, pri všimnutí si toho, že mnoho používaných modulov a nástrojov skupiny má názvy inšpirované sci-fi románom Duna. Skupina behom trojročného obdobia postupne stupňovala na Ukrajine svoje aktivity a testovala rôzne podoby napadnutí. Okrem už spomenutého ataku na elektrické siete došlo aj k útoku na dopravné firmy, redakcie spravodajských médií a takisto bankové inštitúcie. Vo všetkých prípadoch pritom za sebou útoky zanechávali chaos, neistotu a kvantá vymazaných dát.
Všetko to však bolo len predvojom masívneho kybernetického útoku, ktorý sa udial v lete roku 2017. Ruský útočný kybernetický tím v tej dobe napadol relatívne obyčajný aktualizačný server ukrajinskej firmy Linkos Group, ktorý bol následne použitý na celoplošný útok na celú krajinu. V názvosloví bežného vojenského konfliktu by šlo o moment, kedy sa presne cielené útoky zmenili na kobercové bombardovanie.
Ukrajinské elektrické stanice boli pri kybernetickom útoku vypínané v regióne len 90 km od slovenských hraníc
Problémom pri akomkoľvek hromadnom kybernetickom útoku zameranom na celý štát je, že internet nemá hranice. V prípade útoku na konkrétne energetické siete či banky je možné napadať len konkrétne inštitúcie, avšak ak chcete viesť „vírusový“ útok, ktorý by útočil prakticky na všetky firmy a infraštruktúru v danej krajiny, je nutné ho nejako zacieliť, aby sa nerozšíril do celého sveta. Z pohľadu útočníka je to dôležité hlavne z dôvodu, aby útok nezasiahol aj jeho vlastný štát. To je v rámci susedstva Ukrajiny a Ruska poriadne dôležité, pretože ťažko považovať kybernetický atak na cudzí štát za úspešný, ak rovnakú alebo ešte väčšiu škodu spôsobí aj vášmu vlastnému štátu.
Útočná kybernetická skupina Sandworm našla výborné riešenie a východisko z tejto situácie. Za cieľ svojho útoku si vybrala počítače s nainštalovaným ekonomickým softvérom M.E.Doc, ktorý je na Ukrajine používaný drvivou väčšinou účtovníkov. Program je vyvíjaný firmou Intellect Service a používa ho zhruba 400 000 ukrajinských firiem (zhruba 90 % domáceho trhu). Ide teda o ešte extrémnejšiu a jasnejšiu situáciu, ako majú v našich končinách ekonomické programy POHODA alebo Money S3.
Útok prebehol 27. júna, kedy útočná skupina prevzala kontrolu nad aktualizačným serverom tohto programu a namiesto pravidelnej automatickej aktualizácie rozdistribuovala do nič netušiacich počítačov Ukrajincov škodlivý softvér. Konkrétne šlo o ransomvér, známy pod označením Petya. Teda, aspoň sa tak sprvu zdalo.
Ransomvér je typ škodlivého softvéru, ktorý po infekcii počítača začne na pozadí nepozorovane šifrovať všetky súbory na pripojených diskoch. V momente ako je všetko dokončené, používateľovi sa zobrazí výzva, že všetky jeho dáta sú nedostupné a za ich odšifrovanie sa požaduje výkupné (v angličtine „ransom“). Ak ho používateľ nezaplatí, so svojimi dátami sa musí navždy rozlúčiť, pretože na zašifrovanie sú použité mimoriadne účinné šifry, ktoré nejdú v rozumnom čase prelomiť. Ak teda používateľ nemá dáta zálohované a chce ich späť, musí výkupné zaplatiť a dúfať, že podvodník mu po prevedení peňazí neutečie a naozaj mu šifrovací kľúč prezradí.
Ransomvér Petya túto operáciu vykonáva zašifrovaním MFT tabuľky SSD/HDD, ktorá nesie všetky informácie o uložených súboroch, pričom následne počítač reštartuje a zobrazí čiernu obrazovku s červeným textom, ktorý žiada výkupné 300 dolárov (v bitcoinoch na poskytnuté adresy elektronických peňaženiek). Pikantné na celej situácii je, že Petya používa na prebratie administrátorskej kontroly nad počítačom zraniteľnosť Windows, známu pod označením EternalBlue. Tento exploit odhalila/vyvinula americká NSA, pričom len o mesiac skôr bol na obrovské prekvapenie zverejnený spolu s ďalšími nástrojmi NSA formou hackerského prieniku, ktorý vykonala pravdepodobne ruská štátna hackerská skupina známa pod menom Shadow Brokers. Microsoft pomerne rýchlo vydal záplatu (Vista až Windows 10), ktorá túto zraniteľnosť uzavrela, avšak vzhľadom na to, že mnoho počítačov nie je aktualizovaných, alebo je aktualizovaných s oneskorením, škodlivý softvér sa pomerene úspešne šíril.
Kybernetickým útokom vyradený ukrajinský bankomat /Foto: Valentyn Ogirenko/
V prípade Ukrajiny išlo o skutočne masívnu infekciu a počítače firiem začínali zhasínať jeden po druhom, ako by niekto otáčal vypínačom. V mnohých firmách situácia vyzerala ako z hollywoodskych filmov, keď ľudia pracujúci v open office prostredí sledovali, ako obrazovky počítačov zhasínajú jeden po druhom ako padajúce domino. Zdalo sa, že Ukrajina skrátka mala „len smolu“ a obrovské množstvo jej firiem sa nakazilo z nejakého dôvodu práve ransomvérom Petya. Veľmi rýchlo sa však ukázalo, že niečo nesedí…
Aj keď nákaza sa ako Petya tvárila, zvláštne bolo, že infikované boli nielen tie počítače, ktoré nemali aktualizovaný Windows, ale aj tie ostatné s nainštalovanými záplatami. Škodlivý softvér, stiahnutý do počítačov cez update ekonomického programu M.E.Doc, na začiatku síce prevzal kontrolu nad počítačmi cez zraniteľnosť EternalBlue, ale následne začal skenovať lokálnu sieť a pomocou druhej zraniteľnosti, známej pod označením Mimikatz, odchytával z operačnej pamäte prihlasovacie mená a heslá. Získal tak prístup k ďalším počítačom v sieti, ktoré neboli útokom Petya inak zraniteľné a preberal nad nimi administrátorské práva a úspešne ich infikoval.
To však nebolo všetko, zalarmované antivírusové firmy si rýchlo všimli takisto to, že softvér vyzerajúci ako Petya má aj inú zvláštnosť. Nešifroval len úvodné MFT tabuľky diskov, ale rovno celé súbory. Navyše, v mnohých prípadoch esenciálne a naoko dôležité dáta potrebné na funkčnosť iných systémov nešifroval a rovno zmazal a takisto prepisoval. Inak povedané, ransomvér síce „naoko“ požadoval výkupné, ale nikdy neplánoval dáta obnoviť. Úmyselne ich totiž likvidoval. Antivírusoví špecialisti ho tak rýchlo začali nazývať ako „NotPetya“ (čiže ToNieJePetya), čo mu napokon už prischlo.
Celá skladačka do seba rýchlo začala zapadať. Boli sme svedkami precízne upraveného softvéru, ktorý sa maskoval ako známy ransomvér, ale v skutočnosti bol omnoho komplexnejší a zacielený len na počítače, rozšírené v takmer všetkých firmách na Ukrajine. Navyše, žiadosť o výkupné bola len naoko, a v skutočnosti softvér dáta likvidoval a viac ho nezaujímalo. Elegantnosť a presnosť celého útoku jasne naznačila, že ide podobne ako v predošlých rokoch o štátny kybernetický atak.
Jeden z prvých dôkazov, že útok NotPetya nebol obyčajnou infekciou a snahou o výber výkupného. Namiesto zašifrovania sa totiž MBR záznamy diskov mazali (stav pred a po infekcii) a nikdy nebol záujem ich obnovovať.
Celý útok bol naplánovaný tak, aby šírenie infekcie bolo plne automatické a absolútne bleskové. Craig Williams, riaditeľ bezpečnostnej skupiny Talos Intelligence (jeden z najväčších analytických tímov na lokalizáciu kyberbezpečnostných rizík na svete, spadajúcich pod firmu Cisco), infekciu NotPetya označil za najrýchlejšie propagujúci sa škodlivý softvér v internetovej histórii. Infekcia cieľových zariadení bola taká rýchla, že v momente, ako si IT personál zasiahnutých spoločností uvedomil, že nejaký počítač je infikovaný, bolo už neskoro pre celú firmu a postihnuté boli už všetky stroje. Dôsledky boli v mnohých ohľadoch katastrofálne.
Útokom bolo postihnuté obrovské množstvo firiem, čo viedlo k masívnym výpadkom služieb a infraštruktúry v celej krajine. Ich počítače boli skrátka nefunkčné a dáta na ich diskoch boli preč. Postihnutých bolo viac ako 22 bánk, medzinárodné letisko v Kyjeve rovnako ako kyjevské metro, telefónni operátori, rôzne televízne stanice a takisto zástup benzínových púmp a obchodov. Kým mnohé firmy s ťažkosťou pokračovali bez počítačov, u iných došlo ku kompletnej, niekoľkodňovej odstávke, počas ktorej museli byť systémy do všetkých počítačov nanovo inštalované a sprevádzkované. Napríklad v prípade Štátnej sporiteľne (Oschadbank), trvalo obnovenie plnej prevádzky banky a jej platobných systémov až do 3. júla, teda viac ako týždeň.
Vplyv útoku na obyvateľstvo bol značný. Na fotografii môžete napríklad vidieť obchod, ktorý mal vyradenú každú zo svojich pokladní. Ak aj pokladne fungovali, alebo sa niektoré obchody zaobišli bez nich, nefungovali zas elektronické platby. Ľudia tak rýchlo spotrebovali svoju hotovosť, pričom problémom pravdaže bolo, že bankomaty väčšiny bánk nefungovali takisto, takže ľudia nemali možnosť ani ďalšiu hotovosť vybrať. U malého množstva bankomatov, ktoré ešte fungovali, sa vytvorili dlhé rady a rýchlo prišli o všetky peniaze. Firmy mali problémy s dodávkami, objednávkami a všeobecne prevádzkou. Mnohé štátne inštitúcie a služby štátnej správy boli na niekoľko dní prakticky zlikvidované, pretože skrátka neexistoval dostatok personálu, ktorý by také obrovské množstvo počítačov administratívy dokázal sprevádzkovať rýchlo nazad.
Ukrajinská vláda odhadla, že útok vymazal dáta asi 10 % všetkých počítačov v krajine. Vzhľadom na to, že počítače bežných ľudí obvykle neboli zasiahnuté, vytvára to dobrý obrázok o tom, že väčšina počítačov v ukrajinských firmách skutočne dostala zásah. Oficiálne čísla nikto nedokázal zozbierať, pretože firmy svoje infekcie skrátka nereportovali alebo zatajovali, z obavy o navýšenie finančnej straty.
V mnohých firmách bolo zhasnutie obrazoviek počítačov také rýchle, ako padanie domina /Foto: Rob Engelaar/
Útokom však netrpela len Ukrajina. Aj keď zhruba 80 % všetkých počítačov a firiem postihnutých útokom NotPetya sa nachádzalo v tejto krajine, efekt sa rozšíril aj do sveta. Ukázalo sa, že mnoho svetových firiem, ktoré nejakým spôsobom s ukrajinskými firmami spolupracovali, mali na niektorom zo svojich počítačov v sieti nainštalovaný ekonomický softvér M.E.Doc takisto, napríklad z dôvodu ľahkého transferu a prevodu údajov pre ukrajinské náprotivky či dodávateľov a zákazníkov. A pokiaľ hoc aj jeden počítač s týmto softvérom vo firme existoval, v prípade zraniteľnosti sa stal vstupným vektorom do lokálnej firemnej siete. NotPetya totiž v nej začala preberať kontrolu aj nad inými počítačmi formou odchytávania prihlasovacích údajov z pamäte RAM.
Medzi infikovanými firmami mimo Ukrajiny tak bol aj potravinársky gigant Mondelez International, americká prepravná spoločnosť FedEx, farmaceutická spoločnosť Merck či softvérová firma Nuance Communications. Katastrofálne boli dôsledky hlavne pre dánsku firmu Maersk, čo je jeden z najväčších medzinárodných prepravcov tovaru na svete (vrátane masívnych kontajnerových zaoceánskych lodí). Maersk prišiel pri útoku prakticky o všetky počítače v rámci svojej podnikovej infraštruktúry, čo vzhľadom na jeho význam zasiahlo prakticky celý svet.
Maersk má napríklad terminál v prístave v New Jersey, ktorý denne odbaví zhruba 3000 kamiónov, ktoré rozvážajú tovar z prepravných kontajnerov po USA. Avšak 27. júna o 9. hodine ráno, všetky jeho počítače skrátka utíchli. Aj keď obrovské kontajnerové lode naďalej do prístavu prichádzali, počítače terminálu, ktoré mali prijímať dáta o ich náklade, boli kompletne vymazané a nefunkčné. Maersk prišiel skrátka o celé obslužné a operačné dáta.
Prepravné kontajnery a ich obsah bolo nutné pri prekládke identifikovať zvlášť, kus po kuse – 18 000 na jednej lodi. V nasledujúcich dňoch tak dochádzalo až ku komickým situáciám, keď jedna z hlavných žíl globálnej ekonómie fungovala v rámci objednávok a prevádzky tak, že si jej zamestnanci posielali jednoduché textové dáta a zoznamy tovaru obrovských kontajnerových lodí cez súkromné telefóny a komunikátory ako WhatsApp. Straty a zdržania boli obrovské, pričom firma bola ochromená až na 3 mesiace.
Obrovská kontajnerová loď dánskej firmy Maersk. Jednej z najväčších prepravných spoločností na svete ruský kybernetický útok zdevastoval celú IT infraštruktúru a spôsobil škody 350 miliónov dolárov /Foto: maarcoo/
Počas nich musela firma nahradiť a spätne vybudovať celú svoju podnikovú IT infraštruktúru, pri ktorej všetky zasiahnuté počítače vyradzovala a nahradzovala novými. Dohromady šlo o 4 000 serverov a 45 000 počítačov. Kým výmena hardvéru ako takého trvala vo všetkých jej svetových pobočkách len desať dní, ďalšie dva mesiace trvalo znovuvybudovanie obslužného softvéru, databáz a systémov. Po skončení celého procesu pritom svojim investorom oznámila náklady a stratu na tržbách na úrovni 350 miliónov dolárov.
Nebola jediná. Európskej pobočke prepravcu FedEx, podnikajúcej pod menom TNT Express, trval návrat do pôvodného stavu jeden mesiac, čo sa prevtelilo do nákladov a straty na zisku na úrovni 400 miliónov dolárov. Podobnú stratu nahlásil aj francúzsky konštrukčný gigant Saint-Gobain, zatiaľ čo potravinársky gigant Mondelēz a britský výrobca Reckitt Benckiser oznámili akcionárom straty 188 a 129 miliónov dolárov. Postihnuté boli paradoxne aj niektoré ruské firmy (ktoré daný ukrajinský ekonomický softvér na niektorom zo svojich počítačov takisto mali), ako napríklad štátna ropná spoločnosť Rosneft. Z pohľadu straty najhoršie dopadla americko-kanadská farmaceutická firma Merck, ktorá z dôvodu zničenia dát z výskumu zaznamenala stratu 870 miliónov dolárov. Obrovské straty mali nepochybne aj ukrajinské firmy a podniky, avšak tie, ktoré na burze nie sú, držali svoje straty a náklady na opravy v tajnosti.
Odhaduje sa, že ruský kybernetický útok NotPetya spôsobil celosvetovo škodu viac ako 10 miliárd dolárov. To všetko ako dôsledok presne cieleného ataku na jeden server, ktorý sa odohral behom pár minút v jediný deň.
PREKVAPIVÉ NACHÝLENIE MISKY VÁH V SÚVISLOSTI S VOJENSKÝMI MOCNOSŤAMI
Kybernetické konflikty, ktoré sa udiali v posledných rokoch, otvárajú bránu novej reality. Zaujímavé je, že táto zmena prináša nové a prekvapivé nastavenie váh v súvislosti s vojenskými konfliktmi medzi rozdielne vyspelými štátmi. Po prvýkrát totiž dochádza k tomu, že citeľnej odvety je schopný aj štát, ktorý nemá možnosť konvenčnej projekcie svojej sily.
Ako dobrý príklad môže slúžiť situácia na Blízkom východe. Špeciálne ide o kontrast, ktorý je vidieť medzi minulým americko-irackým konfliktom spred 17 rokov a potenciálnou budúcou eskaláciou vzťahov USA a Iránu.
Uvedomte si, čo presne sa tu zmenilo. Vojenská invázia do Iraku, ktorú USA vykonalo v roku 2003 v kooperácii s ďalšími štátmi s cieľom zvrhnúť režim Saddáma Husajna, bola ukážkou moderného „jednostranného“ konfliktu medzi superveľmocou a obyčajnými krajinami. Vojenský konflikt ako taký (ignorujúc jeho dôsledky na nestabilitu v regióne) sa totiž odohral kompletne na území Iraku. Územie USA, rovnako ako ďalších štátov, ktoré sa vojenských akcií zúčastnili, nepocítilo žiadny priamy efekt.
Nefunkčné pokladne a platobné systémy ukrajinského obchodu po ruskom kyberútoku NotPetya /Foto: golub/
Táto asymetria je najviac viditeľná na živote obyčajných ľudí. Kým obyvatelia jednej krajiny pocítili na mesiace a roky všetky efekty vojenského konfliktu, reprezentované bombardovaním, ničením cieľov a nefungujúcou infraštruktúrou, obyvatelia opozičnej krajiny pokračovali bezstarostne vo svojich bežných životoch. Chodili do práce, pozerali TV a všetko pre nich fungovalo tak, ako zvyčajne. Z ich pohľadu šlo o obyčajné dni a roky. Ich štát síce viedol plnohodnotnú vojnu, ale tá bola „niekde inde“.
Dôvodom bolo, že Irak, podobne ako Irán a takmer všetky ostatné krajiny sveta, nedokážu svoju vojenskú silu projektovať naprieč celým svetom (tak ako to zvládnu superveľmoci a veľmoci). Ich sila je len lokálna, respektíve regionálna. V prípade Iraku, rovnako ako dnes Iránu sa teda nikdy nemôže stať, že by pechota, tankové jednotky, námorníctvo alebo aj letectvo bolo schopné zaútočiť na relevantné pobrežie či vnútrozemie USA.
Plnohodnotnej celosvetovej vojenskej projekcie sily je dnes schopné len USA (nukleárne a konvenčne) a čiastočne napríklad aj Rusko a Čína (nukleárne a obmedzene aj konvenčne). Výsledkom je, že aj keď Spojené štáty za posledné desiatky rokov viedli množstvo vojen po celom svete, ich lokálna infraštruktúra, ekonomická produkcia a takisto miestne obyvateľstvo to nijak nepocítili. Žiadna krajina, proti ktorej USA viedli vojnu totiž projekcie sily na ich územie nebola schopná. A tak to v základe zostane už navždy, pretože aj keď niektoré krajiny potenciálne tejto konvenčnej projekcie schopné sú, do hry vstupuje to, že ide už o nukleárne veľmoci, ktoré hrozia totálnym zničením prostredníctvom svojej jadrovej triády (možnosťou doručenia nukleárnych hlavíc kdekoľvek na svete tromi rozdielnymi formami). Pravdepodobnosť plnohodnotného vzájomného konvenčného ťaženia na vlastných územiach je preto prakticky nulová.
Infikovaný mail použitý pri útoku na ukrajinskú rozvodnú sieť v roku 2016
A práve túto situáciu éra kybervojny mení. Celosvetovej kybernetickej projekcie sily je totiž potenciálne schopný prakticky každý štát. Irán, ktorého kybernetický útočný tím je vo svete známy aj pod označením „Iranian Cyber Army“, je pritom dnes často mnohými expertmi hodnotený ako mimoriadne výkonný a silný a z hľadiska schopností a možností ho prevyšujú pravdepodobne už len kybernetické útočné tímy Ruska, USA a Číny. Je takmer isté, že v prípade plošného útoku na konkrétnu krajinu dokáže vykonať masívnu škodu.
Nemožno pravdaže očakávať, že by iránsky alebo iný kybernetický štátny tím len tak z ničoho nič začal obrovskú plošnú ofenzívu napríklad proti USA, spôsobujúc masívnu škodu na jeho území. Takýto akt by totiž okamžite vyvolal obrovskú konvenčnú armádnu odozvu, či rovno inváziu.
Avšak v momente, ako by ku skutočnému vojenskému konfliktu už došlo, ako tomu bolo v prípade invázie do Iraku v roku 2003, tak je naopak kybernetický protiútok už mimoriadne pravdepodobný. Ide totiž o jediný spôsob, ako môže Irán či podobné štáty zasiahnuť nepriateľa z druhého konca sveta na jeho domácom území.
Aj keď z pohľadu hrôz bombardovania a smrti pôsobí dlhodobý alebo opakovaný výpadok elektriny, nefunkčnosť dopravných systémov a bankových a dopravných služieb len akosi „neškodne“ a obťažujúco, v rámci fungovania spoločnosti ide o obrovský problém. Ak totiž obnovenie správnej a plnohodnotnej činnosti trvá týždne, mesiace či dokonca roky, dostávame sa už k podobným časovým horizontom, ako je stavba zbombardovanej infraštruktúry. Náklady na opätovné sprevádzkovanie sú síce omnoho menšie, ale efekt výpadku na spoločnosť je prakticky totožný. Z tohto pohľadu je totiž jedno, či energetická sieť nefunguje preto, že je zbombardovaná do základov, alebo že je síce na mieste, ale nie je schopná prevádzky. Obdobne je na tom narúšanie iných štruktúr.
/Ilustrácia: Hiroshi Watanabe/
Výsledkom je, že tieto masívne výpadky môžu v danom štáte naštartovať masívnu ekonomickú krízu. Aj relatívne malý a kratučký útok na Ukrajine spôsobil straty viac ako 10 miliárd dolárov. Plnohodnotný a masívny kybernetický útok na stovky či tisíce kľúčových firiem v USA, by sa v rámci Spojených štátov prevtelil do strát stoviek miliárd dolárov či potenciálne dokonca biliárd dolárov. Podpora vojenského ťaženia zo strany amerických voličov by vyzerala už celkom inak, pretože by sa po prvýkrát stalo, že by domáce obyvateľstvo USA pocítilo dôsledky vojenského konfliktu aj na vlastnej koži.
Realita a možnosti súčasného kybernetického konfliktu tak naozaj výrazne menia situáciu z hľadiska konfliktu štátov, pričom v súvislosti s pokračujúcou digitalizáciou sa potenciálne efekty týchto zásahov budú už len a len zväčšovať.
