Războiul cibernetic al Rusiei în Ucraina a fost intens, dar nu întotdeauna eficient. De ce?
O analiză The Economist
Modelarea câmpului de luptă. Darius, regele Persiei, a făcut-o în anul 331 î.e.n., cu țepușe acolo unde credea că va înainta inamicul său, Alexandru cel Mare. Aliații au făcut-o în 1944, cu avioane false și nave de desant menite să păcălească înaltul comandament al Germaniei, făcându-l să creadă că invazia din Franța va avea loc în Pas de Calais, nu în Normandia. Și Rusia a încercat la fel, pe 24 februarie, când, cu mai puțin de o oră înainte ca tancurile ale să intre în Ucraina – în drum spre, credeau ei, Kiev – hackerii săi au distrus sistemul de comunicații prin satelit condus de Viasat, o firmă americană, pe care se bazau adversarii.
Victor Jora, șeful agenției defensive de securitate cibernetică a Ucrainei, a declarat în martie că rezultatul a fost „o pierdere cu adevărat uriașă în comunicații, chiar la începutul războiului”. Un fost oficial occidental de securitate considera că fusese nevoie de „un an sau doi de pregătire și de un efort cu adevărat serios”.
Unii câștigă, alții pierd. Aliații au câștigat. Desanturile din ziua Z au avut succes. Darius a pierdut și și-a pierdut tronul. De asemenea, avansul Rusiei asupra Kievului a fost respins. Forța sa de invazie din acel teatru de război a fost învinsă. În ciuda efortului depus, Rusia nu a putut genera o ceață suficient de groasă prin războiul cibernetic. Iar acest lucru este interesant.
Deși războiul cibernetic a fost o bătălie grea și importantă a unui conflict care a acționat ca teren de încercare pentru această formă încă nouă de luptă, nu pare să fi fost „the killer app”, așa cum i se spune, la care unii se așteptau.
Atacul Rusiei asupra Viasat nu a fost singura încercare de slăbire a puterii, prin software, pe care a direcționat-o asupra Ucrainei în perioada premergătoare invaziei. În ianuarie și din nou pe 23 februarie, așa-numitele programe „wiper”, concepute pentru a șterge date, au fost depistate pe sute de sisteme ucrainene. Apoi, în aprilie, când forțele care amenințaseră Kievul au fugit, hackerii care lucrau pentru Sandworm (suspectat a fi o fațadă pentru GRU, serviciul militar de informații al Rusiei), au folosit malware numit Industroyer2, pentru a ataca rețeaua electrică a țării.
Atacuri de acest fel asupra infrastructurii civile sunt greu de ținut ascunse. Dar ceea ce se întâmplă cu kit-ul militar este o chestiune diferită. Forțele armate ale Ucrainei au menținut o securitate operațională strânsă pe tot parcursul războiului, fără a dezvălui nimic despre modul în care propriile lor rețele fuseseră invadate sau perturbate. Chiar și așa, efectele vizibile ale campaniei Rusiei au fost surprinzător de limitate. „Cred că ne așteptam la un impact mult mai semnificativ decât ceea ce am văzut”, a declarat, pe 16 noiembrie, Mieke Eoyang, un oficial cibernetic senior de la Pentagon. „Forțele cibernetice ruse, precum forțele lor militare tradiționale, nu au îndeplinit așteptările”.
În primele zile ale războiului, Ucraina a rămas în mare parte online. Luminile au rămas aprinse, chiar dacă se declanșaseră lupte în jurul capitalei. Băncile erau deschise. Spre deosebire de 2015 și 2016, când atacurile cibernetice au provocat întreruperi de curent, electricitatea a continuat să funcționeze. La fel și informațiile. Nu a existat niciodată o amenințare serioasă la adresa emisiunilor prezidențiale de noapte ale lui Volodimir Zelenski către poporul ucrainean. Dacă scopul Rusiei a fost să submineze încrederea ucrainenilor în guvernul lor și să facă țara neguvernabilă, a eșuat.
Cel mai important motiv pentru asta a fost apărarea Ucrainei. Lindy Cameron, șefa National Cyber Security Centre (NCSC) din Marea Britanie, consideră că atacul Rusiei a fost „probabil cea mai susținută și mai intensă campanie cibernetică înregistrată”. Dar, așa cum a observat, în august, pentru The Economist, Sir Jeremy Fleming, șeful ei de la GCHQ, agenția britanică de culegere de informații prin semnalele (din care face parte și NCSC), răspunsul Ucrainei a fost „probabil… cea mai eficientă activitate cibernetică defensivă din istorie” . Ucraina a fost testul pentru operațiunile cibernetice rusești de ani de zile. Predecesorul lui Industroyer2, Industroyer, de exemplu, a fost cauza penelor de curent din 2016. Acest lucru i-a oferit guvernului o perspectivă asupra operațiunilor rusești și i-a dat timp să-și întărească infrastructura.
Aceasta însemna că, atunci când a început invazia, comandamentul cibernetic al Ucrainei avea pregătit un plan de urgență. Unii oficiali s-au dispersat de la Kiev în părți mai sigure ale țării. Alții s-au mutat la posturile de comandă de lângă linia frontului. Serviciile esențiale au fost transferate către centre de date din altă parte din Europa, dincolo de raza rachetelor rusești. Forțele armate ale Ucrainei, conștiente că sateliții ar putea fi perturbați, au pregătit mijloace alternative de comunicare. Atacul asupra Viasat în cele din urmă „nu a avut niciun impact tactic asupra comunicațiilor și operațiunilor militare ucrainene”, a insistat Jora, în septembrie, revenind asupra declarației sale anterioare.
NATO şi acordarea accesului la biblioteca sa de amenințări cibernetice, un depozit de malware cunoscut
Asistența occidentală a fost, de asemenea, crucială. În faza inițială a războiului, o modalitate prin care NATO și-a consolidat cooperarea cu Ucraina a fost acordarea accesului la biblioteca sa de amenințări cibernetice, un depozit de malware cunoscut. Marea Britanie a oferit suport de 6 milioane de lire sterline (7,3 milioane de dolari), inclusiv firewall-uri pentru a bloca atacurile, și capacități criminalistice pentru a analiza intruziunile. Cooperarea a fost reciprocă. „Este probabil ca ucrainenii să fi învățat SUA și Regatul Unit mai multe despre tactica cibernetică rusească decât au învățat ei de la ele”, notează Marcus Willett, fost șef pe problemele cibernetice, la GCHQ.
Reziliența ucraineană a fost ajutată, în mod paradoxal, de natura primitivă a multora dintre sistemele sale de control industrial – moștenite din zilele sovietice și încă nemodernizate. Când, de exemplu, Industroyer a lovit sub-stațiile electrice din Kiev, în 2016, inginerii au reușit să reseteze sistemele cu supra-comenzi manuale, în câteva ore. Când Industroyer2 a pus offline parte din rețea, în aprilie, a revenit din nou, în patru ore.
Companiile private de securitate cibernetică au jucat, de asemenea, un rol proeminent. Jora evidențiază Microsoft și ESET, o firmă slovacă, ca fiind deosebit de importante pentru prezența lor mare în rețelele ucrainene și pentru „telemetria”, sau datele de rețea, pe care le colectează, ca rezultat. ESET a furnizat informații care au ajutat echipele cibernetice ucrainene să pareze Industroyer2. Microsoft spune că inteligența artificială, care poate scana, prin cod, mai rapid decât o ființă umană, a făcut mai ușoară detectarea atacurilor. Pe 3 noiembrie, Brad Smith, președintele Microsoft, a anunțat că firma sa va extinde gratuit suportul tehnologic în Ucraina până la sfârșitul anului 2023. Angajamentul a adus valoarea sprijinului Microsoft pentru Ucraina, din februarie, la peste 400 de milioane de dolari.
Nu există nicio îndoială că Ucraina a fost o țintă grea. Dar sunt și voci care se întreabă dacă priceperea cibernetică a Rusiei ar fi putut fi supraevaluată. Spionii ruși au zeci de ani de experiență în domeniul spionajului cibernetic, dar forțele cibernetice militare ale țării sunt „foarte tinere” în comparație cu rivalii occidentali, notează Gavin Wilde, fost director al politicii Rusiei în Consiliul de Național de Securitate al Americii. SUA au început să integreze planurile cibernetice în operațiunile militare în timpul războaielor din Haiti și Kosovo, în anii 1990. Rusia s-a gândit la asta doar de aproximativ șase ani, spune Wilde.
Oficialii americani, europeni și ucraineni spun, toți, că există multe exemple de atacuri cibernetice rusești sincronizate cu atacuri fizice, sugerând un grad de coordonare între cele două ramuri. Dar au existat și erori urmare a stângăciei. Sir Jeremy spune că, în unele cazuri, loviturile militare rusești au doborât aceleași rețele pe care forțele cibernetice ruse încercau să le distrugă, forțându-i, în mod ironic, pe ucraineni să revină la mijloace de comunicare mai sigure.
Alții descriu Rusia ca pe o putere cibernetică neglijentă – bună la distrugerea lucrurilor, dar zgomotoasă și imprecisă. În aprilie, David Cattler, cel mai înalt oficial al serviciilor secrete în cadrul NATO, a observat că Rusia a folosit mai multe programe malware distructive împotriva Ucrainei „decât folosesc de obicei restul puterilor cibernetice ale lumii combinate, într-un anumit an”. Dar a judeca o campanie cibernetică după volumul de malware este ca o evaluare a infanteriei după numărul de cartușe trase. Daniel Moore, autorul „Offensive Cyber Operations”, o carte recentă pe acest subiect, spune că fiecare dintre atacurile cunoscute ale Rusiei asupra infrastructurii critice, din Ucraina și nu numai, a fost expus prematur, a fost plin de erori sau s-a răspândit dincolo de ținta intenționată – așa cum a fost cazul NotPetya, un atac ransomware auto-răspândit, din 2017, care a scăpat din Ucraina și care a provocat daune de 10 miliarde de dolari în întreaga lume.
„Au existat eșecuri operaționale semnificative în aproape fiecare atac pe care l-au efectuat vreodată în spațiul cibernetic”, spune Moore. În schimb, el indică Stuxnet, un atac cibernetic israeliano-american asupra unei instalații nucleare iraniene, identificat pentru prima dată în urmă cu 12 ani – din punct de vedere tehnologic, istorie antică. „A fost mult mai complex decât mult din ceea ce vedem astăzi în Rusia”.
Unii spioni occidentali spun astfel că războiul arată o diferență mare între competența americană și cea rusă în operațiuni cibernetice de vârf împotriva hardware-ului militar. Dar alții avertizează că este prea devreme pentru a trage concluzii generale. Este posibil ca, în primul rând, campania cibernetică a Rusiei să fi fost constrânsă mai puțin de incapacitate decât de orgoliul care i-a afectat și forțele armate convenționale.
Oficialii occidentali spun că Rusia nu a reușit să planifice și să lanseze atacuri cibernetice extrem de distructive asupra puterii, energiei și transporturilor, nu pentru că nu a putut face acest lucru, ci pentru că a presupus că va ocupa rapid Ucraina și va moșteni acea infrastructură. De ce să distrugi ceva de care vei avea nevoie în curând? Când războiul s-a prelungit, a trebuit să se adapteze. Dar armele cibernetice nu sunt precum cele fizice care pot fi pur și simplu rotite pentru a le îndrepta către o altă țintă, și umplute cu muniție. În schimb, ele trebuie să fie adaptate în mod special pentru anumite ținte.
Atacurile sofisticate, precum cel de pe Viasat, necesită o pregătire uriașă, inclusiv o recunoaștere minuțioasă a rețelelor țintă. Într-o lucrare publicată anul trecut, Lennart Maschmeyer, de la ETH Zurich, a arătat că atacul GRU asupra rețelei electrice a Ucrainei, din 2015, necesitase 19 luni de planificare, iar cel din 2016 a implicat doi ani și jumătate. Lansarea unor astfel de atacuri îi dezvăluie, de asemenea, unui inamic instrumentele (adică, codul) și infrastructura (serverele) utilizate, ceea ce duce la uzura eficienței lor.
După prima săptămână de război, așadar, pe măsură ce „piesele de joc” asemănătoare lui Viasat au fost epuizate, atacurile cibernetice rusești au devenit mai tactice și oportuniste. Apoi, în aprilie, când Rusia a trecut de la Kiev la Donbas, volumul atacurilor „wiper” a scăzut brusc. În noiembrie, cercetătorii de la Mandiant, o firmă de securitate cibernetică deținută de Alphabet, au descris modul în care GRU ataca acum dispozitive „edge” precum routerele, firewall-urile și serverele de e-mail pentru a accelera atacurile, chiar și în detrimentul caracterului ascuns.
„Ceea ce vedeți aici este o frontieră de producție”, spune John Wolfram, de la Mandiant, referindu-se la un grafic din teoria economică care arată diferitele combinații a două bunuri ce pot fi produse cu resurse date. „Aveți o anumită experiență și capital și trebuie să decideți dacă îl cheltuiți pentru una sau două operațiuni speciale puternice – sau pentru 50 la costuri mai mici”. Alegerea variantei din urmă nu înseamnă că primele sunt peste capacitatea voastră. „Rusia este aproape sigur capabilă de atacuri cibernetice de o amploare și consecințe mai mari decât evenimentele din Ucraina”, notează Cattler. Războiul „nu a implicat încă ambele părți folosind capacități cibernetice ofensive de vârf, una împotriva celeilalte”, este de acord Willett.
Dacă toate acestea sunt adevărate, acele capacități ar putea fi încă dezlănțuite. Sabotajul conductelor Nord Stream 1 și 2 din septembrie și atacurile cu rachete asupra rețelei electrice a Ucrainei sugerează că pasiunea Kremlinului pentru risc crește. Există semne ale acestui lucru și în domeniul cibernetic. Un oficial britanic spune că Rusia, ținând cont de incidentul NotPetya, a dorit la început să-și limiteze atacurile la Ucraina, pentru a evita o luptă cu NATO. Dar asta se poate schimba. La sfârșitul lunii septembrie, Sandworm a lansat primul atac intenționat asupra țintelor dintr-o țară NATO, cu „Prestige”, un malware perturbator care a fost direcționat către transport și logistică în Polonia, un hub pentru aprovizionarea cu arme către Ucraina.
Există, de asemenea, cei care cred că puterea războiului cibernetic a fost înțeleasă greșit. Operațiunile cibernetice au fost „intense și importante”, recunoaște Ciaran Martin, predecesorul lui Cameron la NCSC. Dar războiul a ilustrat „limitările severe ale ciberneticului în calitate de capacitate de război”, spune el. Stuxnet, care a distrus sistemele iraniene ce erau „air gapped” (adică deconectate fizic de la internet), a deteriorat mecanic mașinăriile, dar a rămas nedetectat luni de zile. Succesul său a dat naștere unei vederi distorsionate asupra atacurilor cibernetice ca arme minune, capabile să înlocuiască bombele și rachetele. Într-adevăr, susține Martin, Stuxnet a fost „aterizarea pe Lună” a cyber-ului ofensiv, o excepție deosebită care necesita resurse de superputere pentru a fi executată, în loc de a fi fost un element de bază al războaielor cibernetice.
Totodată, domeniul cibernetic nu este „un câmp de luptă magic, invizibil, în care poți face lucruri de care nu poți scăpa în mod normal”, spune Martin. Nu numai că este dificil să provoci daune grave rețelelor de computere bine apărate, dar astfel de atacuri, contrar înțelepciunii convenționale, ar fi „cu ușurință atribuite”. Ofensivele cibernetice nu sunt lipsite de consecințe. „În ciuda a toate”, notează Martin, „Putin nu a tulburat deloc Occidentul în spațiul cibernetic, de la invazie.”
Pronunțarea în aceste dezbateri și învățarea de lecții vor necesita timp și perspectivă. Este posibil ca multe intruziuni să fi trecut neobservate. Un atac asupra organizației militare regionale din Lviv a fost surprins doar într-o etapă târzie, de exemplu, iar setul de instrumente rusești a trecut în mare parte neobservat de software-ul comercial de securitate. Detectarea atacurilor nu este o știință sigură, spune un oficial ucrainean din domeniul securității cibernetice. Adesea, există o autentificare legitimă la sistem, atunci când parola cuiva este compromisă. Vezi doar simptome, nu cauza. „Este ca și cum cineva prezintă tuse sau oxigen scăzut în sânge. Abia acum știm că ar putea fi Covid. Programele malware sunt similare. Rareori îl detectăm când pătrunde în rețea, doar când vedem anomalii. În cele mai multe cazuri, prindem lucrurile doar la un moment dat, pe la jumătate”.
Un alt aspect este că, în general, cele mai distructive operațiuni cibernetice, cum ar fi Stuxnet, sunt de fapt cele mai utile pe timp de pace, când rachetele nu sunt disponibile. În război, munițiile pot deseori să facă treaba mai ușor și mai ieftin. Probabil, cea mai importantă activitate cibernetică din timpul războiului, de ambele părți, este cea care vizează strângerea de informații sau războiul psihologic, mai degrabă decât distrugerea.
Un fost politician ucrainean, informat, confirmă că, în principal, cea mai valoroasă contribuție a forțelor cibernetice ale țării este extragerea de secrete, cum ar fi detalii despre companiile europene care încalcă sancțiunile americane împotriva Rusiei. „Sunt și alte lucruri despre care nu pot vorbi, dar este o muncă destul de impresionantă”, spune el. Decriptarea de către aliați a mașinililor de criptat Enigma, din Germania, în cel de-al Doilea Război Mondial, nu a ieșit la lumină decât în anii 1970. Impactul final al operațiunilor cibernetice din Ucraina poate rămâne neclar ani buni.