Souběžně s konvenční válkou mezi Ruskem a Ukrajinou se bojuje také v kybernetickém světě. Nehraje tady roli teritorium, útočit je možné všude, na všechny možné cíle a často není jasné, kdo atak provádí. Anonymita dává hackerům možnost zkoušet nestandardními zbraněmi změnit rozložení sil v reálném světě. „Tahle kybernetická válka je rozhodně největší, jaká dosud byla, zapojili se do ní úplně všichni. Takže se může stát, že někteří indičtí hackeři útočí v zájmu Ruska a jiní zase v zájmu Ukrajiny. Situace je opravdu nepřehledná,“ charakterizuje dění Jindřich Karásek, který se několik let zabývá v antivirové společnosti Trend Micro vyhledáváním kybernetických hrozeb. Že se schyluje ke konfliktu, podle něj kybersvět zaznamenal jako první. Už dva měsíce před tím, než se ruští vojáci a tanky objevili na Ukrajině, začaly na internetu útoky na strategické podniky nebo kritickou infrastrukturu, a to i v okolních státech.

Jak se dalo poznat, že invaze Ruska na Ukrajině začala?

V kyberprostoru se útoky zmnožily obecně. Soustředily se hlavně na různé oťukávací činnosti a na důležité cíle. Objevily se třeba pokusy o útoky na české ambasády v zahraničí. A vždy v zemích, které byly důležité pro NATO, třeba v Turecku nebo různě v Africe. Když ale říkám útok, nešlo o to, že se někdo někam prohackoval a něco tam dělal. Myslím třeba skenování sítě či pokusy o uhodnutí hesel, případně různé phishingy (podvodná technika k získávání citlivých údajů v elektronické komunikaci – pozn. red.). Jednoduše řečeno, šlo o „hlučnou“ aktivitu, která je víc vidět, nebo o používání prefabrikovaných útoků v masovém měřítku. Jsou snáze detekovatelné než ty sofistikované, vyrobené na míru.

Kdy tohle skenování začalo?

Průzkumné nebo přípravné činnosti jsme masivně registrovali zhruba už dva měsíce před vlastními ruskými útoky po zemi. V našem regionu, který mám ve firmě na starosti a kam konkrétně spadají Česko, Rusko, Moldavsko, Maďarsko, Polsko, Rumunsko, Bulharsko, Slovensko a Ukrajina, jsme zaznamenali až jejich dvousetprocentní nárůst.

Jak masivní byly tyto útoky?

Před dvěma měsíci šlo během 24 hodin o 168 tisíc útoků. Ale takové skenování probíhá na všech stranách, takže když bylo jasné, že se k něčemu v Rusku chystají, už i druhá strana zkoušela nějaké útoky nebo si skenovala infrastrukturu, elektrárny, velké průmyslové podniky či mediální agentury. A ty se také pak podařilo v Rusku hacknout.

Do jaké míry bylo cílem Česko?

Po Ukrajině bylo v Česku útoků mezi zmíněnými zeměmi nejvíc. Především se týkaly mobilních operátorů a provozovatelů sítí, tedy infrastruktury. Bylo jich téměř 15 tisíc. Ale ve velké míře i zdravotnických zařízení, elektráren, technologických firem a státních institucí, dále výrobních společností, operátorů a logistických firem. Pro srovnání, na Ukrajině došlo v oblasti zmíněné telekomunikační infrastruktury jen k deseti útokům, kdežto u elektráren se odehrálo více než 50 tisíc případů.

Kdyby se hackeři koordinovali, šlo by opravdu hodně změnit. S kybersvětem jsme spojeni mnohem více než kdy dřív.

Jsme tedy „pod palbou“?

Ano, především Česko, Polsko, Rusko a Ukrajina jsou nejčastějším terčem útoků.

Jak to vypadá s útoky tohoto typu nyní, kdy už hoří konvenční válka?

Vidím jich za 24 hodin zhruba 16 tisíc. Celkově je jich méně, ale nárůst je například u energetického sektoru na Ukrajině.

Každý den se objeví zpráva, co se hackerům povedlo. Například ti z hnutí Anonymous oznámili, že vyřadili z provozu počítačové systémy kontrolního centra ruské vesmírné agentury Roskosmos. Lze takovým oznámením věřit?

Ve válce se velmi často používají psychologické operace, a dokud data nemohu sám ověřit, nemohu ani říci, zda je to pravda, či ne. Ale případy, které se stanou, za mnou většinou se zpožděním pár dnů doputují. A lze celkem snadno zjistit, zda jsou podvržené, nebo ne. Před časem jsem se díval třeba na data, o kterých se tvrdilo, že unikla z nějaké vojenské základny, měly tam být přihlašovací údaje ruských důstojníků. Vypadalo to relativně dobře, přesto jsem tam našel náhodně generovaná hesla a účty, které neexistovaly. Takže si myslím, že to klidně mohla být operace z ukrajinské strany, jež mohla mít například za cíl snížit morálku Rusů.

Liší se nějak aktuální útoky oproti těm před dvěma měsíci?

Operace jen pokračuje. Data o tom, co kde je a jak je co zranitelné, už jedinci a organizace operující v kyberprostoru v zájmu Ruské federace mají. A že na tyto cíle momentálně neútočí, ještě neznamená, že se tak v budoucnu nestane.

Hackeři jdou po ruských bankách a ropných firmách a zjišťují, kde mají peníze Putinovi oligarchové, říká Jindřich Karásek.
Hackeři jdou po ruských bankách a ropných firmách a zjišťují, kde mají peníze Putinovi oligarchové, říká Jindřich Karásek.
Foto: Michala Misha Rusaňuková

Dalo by se říci, jak je tato kybernetická válka silná?

Třeba v boji mezi Indií a Pákistánem byly na obou stranách utvořeny takzvané advanced persistent threat (pokročilá trvalá hrozba – pozn. red.). To znamená, že se jedná o sofistikovanější uskupení hackerů, které může být podporované státem. Jde třeba o vojenské jednotky specializované na ničení nepřátelských cílů v kyberprostoru. Experti od nás z firmy zdokumentovali případy, kdy se obě strany pokoušely třeba hacknout vojenské piloty protistrany. Současná kybernetická válka je ale rozhodně největší, protože se do ní zapojili úplně všichni. A na obou stranách se jí účastní i gangy. Viděl jsem zapojit se hackery z Číny, Indie, Japonska, Jižní Koreje, USA, Německa, Francie i odjinud.

U nás například nejde legisla­tivně jen tak vypnout hosting dezinformačního serveru a já pořád nechápu proč.

Mohou hackerské útoky Ukrajině pomoci? I když nejsou koordinované?

Jako výzkumník antivirové firmy se nemohu vyjadřovat pozitivně k hacktivismu, protože to není korektní. Obecně platí, že existuje více hackerských skupin, jež se snaží svou činnost vzájemně koordinovat, ale tak trochu si šlapou na paty, protože když začnou bušit do stejných serverů, mohou tím upozornit administrátora, že se něco děje. Neexistuje nicméně žádný centrální mozek, který by koordinoval úplně všechny hackery na světě proti Rusům, což je podle mě asi jediný důvod, proč jsou stále bojeschopní. Rusové mají asi dost šikovné black hat hackery („zlí“ hackeři, kteří pronikají do systémů, aby zničili či ukradli data, pozn. red.), ale nemají zase tak skvěle zabezpečené systémy. Navíc se tam asi každý dá podplatit a pak není těžké získat přímo pracovníka uvnitř nějaké firmy a požádat ho, aby tam flashku zapojil rovnou.

Takže kdyby hackeři svou činnost koordinovali, změnilo by to hodně?

Ano, protože jsme s kybersvětem spojení mnohem více než kdy dříve. Dnes je vojenská technika poměrně inteligentní, ale stejně si nezpracovává data lokálně a musí je někam posílat. Kdyby se podařilo nějakým způsobem kyberneticky omezit například raketové systémy, nebudou schopné se účinně bránit, raketa nebude dobře naváděna. Ale pro mě jsou vůbec nejhorší a nejúčinnější psychologické operace, protože se vsadím, že každý z vojáků má smartphone a používá ho. Tam je určitá brána do mysli. A dnes máme neuvěřitelné možnosti, jak s lidskou myslí manipulovat, ať už třeba podprahovými záběry ve videu nebo propagandou. Je to užitečná věc, ale je nutné to dělat koordinovaně. A Rusové to dělají proti nám centrálně.

Útoků v kyberprostoru bude přibývat a dá se předpokládat, že se to zase projeví v ještě větším měřítku. Jak být obecně bezpečnější v čím dál nebezpečnější době?

Uvítal bych koordinovanou aktivitu proti dezinformacím. U nás například nejde legislativně jen tak vypnout hosting dezinformačního serveru a já pořád nechápu proč. Protože kdybych měl hosting někde, kde budu ukládat ukradené filmy a umožňovat jejich streamování, tak mi to smažou hned a nikdo se mě ptát nebude. Dezinformace ale asi neumí ještě Evropská unie legislativně uchopit a v každém státě mají jiný pohled na věc. Myslím si, že je rovněž problém v dohledávání pachatelů kyberútoků a v nedostatečné spolupráci jednotlivých policejních útvarů. Policie ČR má šikovné lidi, a pokud už dostane souhlas k zásahu, dokážou zázraky. Problém je v omezené jurisdikci a taky v tom, že je třeba vybalancovat akceschopnost a oprávnění silových složek se svobodou slova a právem na ochranu soukromí.

Mění se nějakým způsobem struktura útoku?

Na začátku to bylo hurá, všichni do toho, teď nadšení upadá.

Jindřich Karásek

Pracuje pátým rokem u americko‑japonské softwarové společnosti Trend Micro, kde se specializuje na vyhledávání aktivních hrozeb v kyberprostoru. Při práci využívá metody na bázi analýzy komplexních systémů a výstupy předává umělé inteligenci, aby dokázala hrozby analyzovat a identifikovat sama. Předtím působil jako analytik IT bezpečnosti ve společnosti Novartis a jako datový analytik ve firmě Baxter. Vystudoval Přírodovědeckou fakultu UK, obor klinická a toxikologická analýza.

Znamená to, že aktivita hackerů přibrzdila, nebo ji jen tolik nevidíme, protože je sofistikovanější?

Je sofistikovanější. Já nejvíce vidím takzvané hlasité útoky, při nichž buď někdo zaútočí na server, kde běží náš antivir, nebo když někdo dělá něco se sítí, což naše systémy detekují. A protože máme nějakou konstantní distribuci systému po světě, můžu vyvozovat obecnější závěry. Na začátku to byla hodně hlučná aktivita, skenovali si prostředí, nyní útočí na konkrétní cíle a tam už tolik nevidíme. Ale z šumu v darknetu vím, že se útočí pořád.

Jak třeba?

O co se teď hodně snaží, je například vytvářet různé memy nebo šířit dezinformace na lidi v okolí ruského velení, aby je demoralizovali. Případně se snaží identifikovat, kdo ti lidé jsou, a nějakým způsobem zjistit, jak na ně použít sociální inženýrství. Určitě také vím, že jdou po ruských bankách a ropných společnostech a snaží se zjistit, kde mají peníze oligarchové kolem prezidenta Putina, a škodit jim. Nicméně to už jsou aktivity, které já z pozice antivirové firmy neuvidím.

Jsou dnes útoky jiné technologicky? Co je ještě ze sci‑fi filmu a co se v praxi skutečně odehrává?

Nejvíc stále fungují staré osvědčené praktiky, jako je phishingový e‑mail nebo podplácení či vydírání administrátora. Hodně sofistikované útoky jsou velmi vzácné. Ty využívají zranitelnosti, o které ještě nevíme. Za určitých okolností je můžeme vysledovat ve chvíli, kdy právě přes tu zranitelnost hacker něco zneužije nebo si pro to začne připravovat cestu. Například instalací nástroje nebo vytvořením nového záznamu v databázi.

Mají být v současnosti lidé v Česku ostražití, už když se přihlašují třeba na wi‑fi?

Je to daleko nebezpečnější. Předtím jsme byli také sice každý cílem, ale šlo jen o peníze a osobní údaje, teď je to více politické a na každého z nás jsou v podstatě vedeny útoky. Když je někde třeba menší databáze uniklých telefonních čísel, hned na to chodí phishingové esemesky. Rozebíral jsem několik tipů, které mi lidé poslali, a vidím, že hackeři se snaží používat autentičtější servery, mít lépe napsaný obsah phishingových stránek. Proto ho posílají třeba jen 200 lidem, a ne statisícům, a pak zase použijí jiný. Také hledají lidi, kteří mají citlivé informace, nebo ty, kteří znají někoho, kdo je má a kdo by šel vydírat. Nebo zkoumají, jaké máme názory, kdo by šel na co použít. Je tady obrovský nárůst takového průzkumu na síti. Zároveň vidím i obrovský nárůst používání falešných profilů na Facebooku, a to v desítkách procent. Najednou se objevují i falešné profily, které nejsou tak očividné jako kdysi, kdy měly kočičku nebo pejska v profilovém obrázku. Teď si musím lámat hlavu, jestli je to reálný člověk, nebo ne. Moje domněnka je, že je tam často obličej vygenerovaný umělou inteligencí. Usuzuju, že používají nějaké neuronové sítě. Nárůst je zjevný v souvislosti s válkou a vidím, že se připravují na obrovskou psychologickou operaci. Dokonce jsem našel i facebookový účet, který se jmenuje stejně jako já, a ten začal sdílet nějaké dezinformace, takže mám podezření, že už si mě taky někdo z té jejich trollí farmy všiml. Což se stalo například i některým mým kolegům.

Může se stát, že někteří indičtí hackeři útočí v zájmu Ruska a jiní zase v zájmu Ukrajiny. A vůbec nevíte, co je k tomu vede.

To je směřováno z Ruska?

Nevím, zda je to z Ruska, ale je to bezpochyby ruský styl práce.

Kdybyste měl teď porovnat armádu hackerů ruských a ostatních, je to vyrovnaný boj?

Všichni hackeři pracují rádi s open source, všichni sahají do stejného rybníčku nástrojů. Jde o vyšší zacílení, o to, po čem jdou. A síly jsou v tomto ohledu vyrovnané. Určitá výhoda je v tom, že když Rusové používají starší systémy, bylo více času v nich najít nějakou zranitelnost. Ale bohužel musím říci, že nejsou sami, kdo mají zastaralý systém. Ony ty kybernetické gangy, co se do války přidaly, byly často mezinárodní, ti lidé se znají jen z některých fór, z darknetu, a fyzicky se nepotkali. Takže se může třeba stát, že někteří indičtí hackeři útočí v zájmu Ruska a jiní zase v zájmu Ukrajiny, a přitom jsou to lidé stejné národnosti. A vůbec nevíte, co je k tomu vede, jestli je to třeba jen to, že mají kamaráda na jedné straně. Situace je opravdu nepřehledná.

Takhle to vypadá jinak, než když jste mluvil o zvýšené aktivitě na začátku konfliktu. Co se dá pak předvídat?

Situaci nikdo pořádně nerozumí. Ani Putinovi nejbližší pořádně netuší, co se stane. Je dost těžké usuzovat, zvláště když si uvědomíme, jak volatilní hackerští aktivisté jsou. On má jeden den náladu zničit celý svět a druhý den si lehne a nedělá vůbec nic. U vojenských hackerů je to samozřejmě něco jiného, ale jejich cíle známe. Je to komunikace, energetika, logistika a pak psychologické operace. To bude na obou stranách stejné.

Související