Pusztító katonai hekkertámadások helyett aktivisták és önkéntesek vívják a kiberháborút Ukrajnában

A legtöbb kiberbiztonsági szakértő arra számított, hogy az orosz–ukrán konfliktusban meghatározó szerepük lehet a nagy volumenű hekkertámadásoknak. Jó okuk volt erre, hiszen Oroszország hagyományosan aktív ezen a téren, Ukrajnát pedig évek óta támadják az orosz hekkerek, és olyan komoly akcióktól sem riadtak vissza, mint hogy egész régiók áramellátását kapcsolják le. A helyzet az elmúlt hetekben érzékelhetően súlyosbodott is, majd február 24-én kitört a valódi háború – fajsúlyosabb kibertámadásokról azonban azóta sem jött hír.

Arról szó sincs, hogy egyáltalán ne történtek volna hekkertámadások. A háborút megelőző hetek akcióit korábban mi is sorra vettük, a védelmi minisztérium, a hadsereg és az ország két legnagyobb bankjának weboldala elleni, február 15-i túlterheléses támadásról pedig Mihajlo Fedorov digitális transzformációs miniszter azt mondta, a maga nemében az ország történetének legnagyobbja volt. A háború kitörése után is többször írtunk lelőtt weboldalakról és adattörlő kártevők felbukkanásáról, és a helyzet azóta is romlik: a Check Point nevű biztonsági cég február 28-i jelentése szerint az ukrán kormányzati és katonai szektort érő kibertámadások száma 196 százalékkal nőtt. Bár jóval kisebb mértékben, de az orosz célpontok elleni támadások száma is növekedett, miközben globálisan nem tapasztalható hasonló trend.

Még jöhet, vagy már jött is, vagy okkal nem fog

Az viszont kétségtelen, hogy az igazán pusztító kibertámadások egyelőre elmaradtak. Ennek a pontos okait egyelőre a szakértők is csak találgatják, de számos elképzelés kering róluk. A Washington Post vezető kiberbiztonsági szakértők véleménye alapján 11 ilyen lehetőséget szedett össze, amelyek között akadnak inkább és kevésbé valószínűek, de akár külön-külön, akár egymással kombinálva magyarázhatják, hogy miért csendesebb eddig a várakozásoknál az ukrán kibertér. Ezeket a magunk kiegészítéseivel mi is sorra vesszük:

• A legegyszerűbb és szakértői körökben igen népszerű magyarázat, hogy még talonban vannak a komolyabb kibertámadások, csak ezeket későbbre tartogatják – elvégre még csak alig egy hete kezdődött a háború. Bár jellemzően egy konfliktus elején tűnik logikusnak a zavarkeltő és demoralizáló kibertámadások bevetése, ne felejtsük el, hogy Oroszország eleinte azt állította, a civil lakosságot meg szándékozik kímélni. Az más kérdés, hogy azóta nyilvánvalóan stratégiát váltottak, ahogy azt Mariupol példája is mutatja.
• Az is elképzelhető, hogy valójában zajlanak komolyabb hekkerakciók Ukrajna ellen, csak nem a látványos és romboló fajtából: azt, hogy a dezinformációs kampányok, a kiberkémkedés és az elektronikai felderítő műveletek milyen intenzitással zajlanak, feltehetően csak később fogjuk látni. Annyi minden történik egyszerre ebben a feszült helyzetben, hogy könnyű átsiklani bizonyos mozzanatok fölött – például hogy az ukrán hatóságok kedden bejelentették, hogy a háború alatt egyértelműen az első számú ukrán kommunikációs felületté előlépett Telegramon több, az ukrajnai helyzetről tudósító csatornát is az orosz katonai hírszerzéshez (GRU) köthető APT 28 vagy Fancy Bear nevű hekkercsoport koordinál. (Ők azok, aki a 2016-os amerikai elnökválasztási kampány környékén is feltűntek, de támadták már például a magyar hadügyminisztériumot is.)
• Lehet, hogy a legszofisztikáltabb orosz hekkercsoportok nem is Ukrajnában kaptak most elsősorban feladatot; Oroszországnak a következő lépéseihez fel kell mérnie, hogy milyen globális reakciókra, esetleges válaszlépésekre számíthat, ezért a kiberkémek elsődleges célpontjai nyugati politikai és katonai hírszerzési szereplők lehetnek.
• Az sem zárható ki, hogy az orosz hekkereknek nem volt idejük felkészülni arra, hogy háború jön, mert ennek az elindítását velük sem közölték előre – ez azt is megmagyarázná, hogy a katonáknál hogyan fordulhatott elő olyan szintű logisztikai felkészületlenség, mint amiről már az első napokban hírek érkeztek.
• Szintén több jelentés érkezett arról, hogy az orosz katonák morálja és fegyelmezettsége nincs a topon, ami nemcsak a terepen harcolókra, hanem a hekkerekre is igaz lehet. A jelek szerint Oroszországon belül is szokatlanul széles körben népszerűtlen az Ukrajna elleni háború, és tudni olyan orosz kiberbűnözői hekkercsoportról, amely nyíltan az orosz állam oldalára állt a konfliktusban, de egyes tagjai ezen úgy felháborodtak, hogy elkezdtek magáról a csoportról szivárogtatni (erről később még lesz szó).
• Elképzelhető, hogy Oroszország nem számított arra, hogy komolyabb kibertámadásokra lehet szüksége, mert jóval kisebb katonai ellenállásra és gyorsabb lefolyású háborúra készült – az orosz vezetést is meglephette, hogy a villámháború terve kudarcot vallott.
• A mellett is lehet érvelni, hogy ha egy konfliktus már fizikai háborúba torkollik, onnantól a kategóriájukon belül pusztítónak számító kibertámadások haszna már jóval mérsékeltebb – magyarul egyszerűbb lebombázni a kritikus infrastruktúrát, mint meghekkelni.
• Az előző ponttal némileg ellentétes magyarázat, hogy ha Oroszország egy esetleges ukrajnai hatalomátvétel vagy oroszbarát kormány hatalomba segítése után szeretné működtetni is az országot, akkor a saját érdeke is, hogy minél kevesebb maradandó kárt okozzon az infrastruktúrában. Egy háborúban a városok bombázását nem feltétlenül lehet megspórolni, de a digitális infrastruktúra visszaállíthatatlan mértékű tönkretételét lehet, hogy igen.
• Nem zárható ki az sem, hogy Oroszország egyelőre igyekszik kerülni a közvetlen konfliktust a Nyugattal. Ez nemcsak azt magyarázná meg, hogy az oroszok ellen bevezetett szankciókra miért nem érkezett még hekkertámadások formájában adott válasz, hanem azt is, hogy Ukrajnán belül miért nem történt eddig olyan hekkertámadás, mint az adattörlésre szánt NotPetya 2017-es bevetése. Az első menetben ukrajnai célpontokat fertőzött meg, de aztán továbbterjedt, és órák alatt a fél világon végigsöpört, becslések szerint 10 milliárd dolláros kárt okozva a világ gazdaságában, amivel minden idők legnagyobb rombolással járó kibertámadásaként tartják számon.
• Elképzelhető az is, hogy az ukrán kibervédelem ennyire jól működik. Optimista, de nem irreális magyarázat ez, hiszen ahogy korábban mi is részletesen bemutattuk, Ukrajna már legalább 2014 óta az orosz állami hekkerek céltáblája, ezért nemcsak idejük, de okuk is bőven volt arra, hogy feltuningolják a kibervédelmi képességeiket. Ebben vezető amerikai és európai biztonsági cégek és állami ügynökségek szakértői segítették őket. Két nappal a háború kirobbanása előtt például az Európai Unió küldött ukrán kérésre egy 12 tagország szakértőiből álló gyorsreagálású kibervédelmi csoportot (CRRT) az országba, hogy segítse a védekezést. Még ha ez önmagában nem is kimerítő magyarázat, minden bizonnyal hozzájárulhatott ahhoz, hogy Ukrajna egyelőre talpon maradt a kibertérben is.
• Az előző ponthoz kapcsolódik, hogy a híresen kiterjedt orosz hekkerkapacitásokat megkurtíthatta, hogy az elmúlt években számos amerikai ellencsapást kellett elszenvedniük a 2016-os amerikai elnökválasztás körüli orosz hekkerakciók következményeként. A nagy techcégek is tapasztaltabbak ezen a téren, mint néhány éve voltak, a Facebook-anyacég Meta például néhány napja bejelentette, hogy megakadályozott két komolyabb akciót is: az egyik egy orosz dezinformációs kampány volt, a másikban belarusz hekkerek próbálták feltörni prominens ukrán személyek fiókjait. (Ugyanarról a Ghostwriter nevű belarusz állami csoportról van szó, amely már januárban is mozgolódott Ukrajnában, és amely a háború kitörése után NATO-országok menekültek menedzselését végző tisztviselőit is célba vehette).

Nem könnyű lelőni a netet, de lehet, hogy nem is akarják

Érdemes külön is kitérni magának az internetnek a le-, illetve le nem kapcsolására, mert ez volt az előzetesen felmerült egyik kézenfekvő lehetőség arra, hogy háború esetén az orosz hekkerek komoly zavart okozzanak Ukrajnában. Egyrészt azért, mert a háború operatív szervezésében, a védekezés koordinálásában is fontos az internet szerepe; másrészt az – Ukrajna által eddig sikeresen vívott – információs hadviselés szempontjából kulcskérdés, hogy milyen információk tudnak Ukrajnán belül terjedni, illetve globálisan eljutni az emberekhez az ottani helyzetről.

Bár teljes hálózati leállás egyelőre nem történt, az ország több területén voltak kisebb-nagyobb fennakadások, esetenként komoly kimaradások is. Az orosz támadások egyik fő célpontjában, a napok óta szinte folyamatosan bombázott, északkeleti Harkivban és környékén például épp a háború kitörésekor, február 24-én ideiglenesen elérhetetlenné vált az internet. De az elmúlt napokban intenzíven támadott Mariupolban is rendszeresek a kimaradások. Persze mivel a várost folyamatosan lövik az oroszok, a jelenlegi helyzetben az internetelérés megzavarásához már nincs igazából szükség kibertámadásra, valószínűbb a hálózat fizikai megrongálása – ahogy azt a víz-, gáz- és áramszolgáltatás esetében is láthatjuk, vagy akár Kijevben a tévétorony lebombázásánál. (Egyébként Harkiv esetében is felmerült, hogy a hálózat fizikai sérülése okozhatta a kimaradást, de ezt nem erősítették meg.)

Arra azonban kicsi az esély, hogy Oroszország kibertámadásokkal lelőhesse a teljes ukrán internetet, még ha esetleg megpróbálkozna is ilyesmivel. Erre kívülről az egyik lehetőség az lenne, hogy az egyes weboldalak elérhetetlenné tevésében gyakran bevetett túlterheléses (DDoS) támadással vegyék célba a helyi internetszolgáltatókat, a globális internethez kapcsoló routereket. A Wirednek nyilatkozó Doug Madory, az internetforgalom elemzésével és mérésével foglalkozó Kentik igazgatója szerint ez a gyakorlatban nem igazán működne, mert ami elég weboldalak megbénításához, az a teljes infrastruktúra kifektetéséhez kevés – ezek a routerek meglehetősen robusztusak.

Elvben lehetséges egy ilyen támadás sikere, hiszen épp nemrég hajtott végre egy ilyet egy amerikai hekker Észak-Korea ellen. Ukrajna azonban az elmúlt évek folyamatos orosz kibertámadásainak hatására komolyan megerősítette a védelmét, ezért sokkal felkészültebb az ilyen támadások ellen, mint például Észak-Korea. Fontos különbség az is, hogy az internet lelövéséhez Ukrajnában sokkal több célpontot kéne támadni, egyszerűen azért, mert nagy területű országról van szó, amely már csak a földrajzi helyzetéből adódóan is mélyebben be van ágyazva a nemzetközi internetes infrastruktúrába, és számos ponton kapcsolódik az európai hálózatokhoz.

Ez a hálózati decentralizáltság abban is megmutatkozik, hogy Ukrajnában több ezer kisebb-nagyobb internetszolgáltató működik, ami elsősorban piaci okokból alakult így, de történetesen a rendszer ellenálló képességének is jót tesz. A különböző szolgáltatók tudatosan készültek egy esetleges konfliktusra: új kapcsolatokat építettek ki egymással, törekedve arra, hogy megkerüljék azokat a területeket, amelyek katonai szempontból vonzó célpontok lehetnek; létrehoztak tartalék hálózati központokat is; és műholdas telefonokat szereztek be, hogy a hálózatok elérhetőségén dolgozó munkatársaik egy esetleges kimaradás esetén is tudjanak kommunikálni.

Bizonyos mértékben a hálózat elleni fizikai támadásokra is fel vannak készülve. A Digital Security Lab Ukraine nevű ukrajnai digitálisjog-védő szervezet kutatója, Vadim Hudima szerint a sok netszolgáltató közötti versenyhelyzet békeidőben olyan szélsőségekben is megnyilvánul, hogy olykor el-elvágják egymás netkábelét, „néha véletlenül, néha nem annyira véletlenül”, ezért hozzá vannak szokva ahhoz, hogy a leglehetetlenebb időpontokban kelljen minél gyorsabban, menet közben átirányítani a forgalmat más hálózatokra.

Ez persze teljesen más, mint amikor az orosz hadsereg bombázza egy város infrastruktúráját. A háború kitörése után az ukrán vezetés erre is igyekezett felkészülni, amikor Mihajlo Fedorov digitális transzformációs miniszter Twitteren megkérte Elon Muskot, hogy biztosítsa a SpaceX Starlink nevű műholdas hálózatával az internetet Ukrajnának. Musk bő tíz órával később, szintén Twitteren közölte, hogy ez megtörtént, majd néhány nappal később a használatához szükséges hardverek is megérkeztek az országba. Más kérdés, hogy a gyakorlatban mennyire fogják tudni használni, ha épp bombázott városokba kellene eljuttatni a vevőegységeket.

Azt is hozzá kell tenni, hogy egyáltalán nem egyértelmű, hogy Oroszországnak érdekében áll-e az ukrajnai internet teljes lelövése. Elvégre számukra is ez az elsődleges csatorna arra, hogy a saját narratívájukat közvetítő propagandaüzeneteket eljuttassák az ukránokhoz – ahogy teszik azt a világon mindenhol, például Magyarországon is.

Húzgálni a medve bajszát

Ami viszont nagyon is aktívan zajlik az orosz–ukrán háború kiberterében, az a „civil” hekkerek aktivizálódása.

Arról már a háború kirobbanása előtti hetekben is írtunk, hogy kiberbiztonsági szempontból a mostani konfliktus egyik újdonsága a hekkeraktivizmus új szintre lépése volt: most először fordult elő, hogy nem állami hekkerek vetettek be zsarolóvírust tisztán politikai célból, amikor a Kiberpartizánok nevű belarusz csoport feltörte és titkosította az orosz csapatok szállításában segédkező belarusz állami vasúttársaság számítógépes rendszereit. Azóta ugyanők azt állítják, több hasonló akciót is elkövettek.

Különféle aktivista-hekker csoportok a maguk eszközeivel mindkét oldalon beszálltak a háborúba. Az ukránokat támogató kampányt hirdetett az aktivista Anonymous (róluk itt írtunk részletesebben) és más szövetséges hekkerkollektívák, mint az AgainstTheWest vagy az NB65. Orosz oldalon pedig például a Conti nevű kiberbűnözői csoport tűnt fel, amely a zsarolóvírus-támadásairól ismert. A csoporton belül azonban a jelek szerint nem aratott osztatlan sikert ez az elköteleződés, mert miután deklarálták, hogy Oroszország mellett állnak a konfliktusban, valaki egy „dicsőség Ukrajnának” üzenet kíséretében kiszivárogtatta a csoport belső üzeneteit. A Conti mellett egy másik zsarolóvírusos bűnözői kollektíva, a CoomingProject is beszállt orosz oldalon. (Itt egy frissülő lista az ismertebb résztevőkkel, de ez kicsit csalóka, mert orosz oldalon államiként számon tartott hekkercsoportokat is feltüntet.)

Az orosz oldalon ringbe szállt hekkerek akcióiról egyelőre nem sokat tudni, az Anonymous és szövetségesei viszont gyakori szereplői lettek a híreknek: elérhetetlenné tették vagy feltörték orosz kormányzati szervek és állami cégek weboldalait, és olykor – állításuk szerint – adatokat loptak el és hoztak nyilvánosságra tőlük. Lelőtték például a TASZSZ állami hírügynökség oldalát, ahol egy ideig egy háború- és Putyin-ellenes üzenet is olvasható volt, állami tévéadókon pedig Ukrajna-párti adást sugároztak. De lekapcsolták belarusz bankok oldalát is, és olyan apró bosszantásokra is buzdítják a tagjaikat, mint hogy orosz étteremkritikákban rejtsenek el ukránpárti üzeneteket.

Emellett állításuk szerint komolyabb akciókat is elkövettek, feltörték például

• az orosz védelmi minisztériumot, ahonnan kiszivárogtatták a dolgozók személyes adatait;
• a Roszkoszmoszt, azaz az orosz űrügynökséget, elérhetetlenné téve a kémműholdjaikat;
• a moszkvai Nukleáris Biztonsági Intézetet;
• a dubnai Egyesített Atomkutató Intézetet;
• a Sberbankot;
• a Tetraedr nevű belarusz fegyvergyártót;
• és kiszivárogtatták az Ukrajnában harcoló 120 ezer orosz személyes adatait.

A szivárogtatásokról fontos megjegyezni, hogy mivel az állítólagos áldozatok nem ismerték el, hogy meghekkelték őket, és így a közzétett adatok valódiságát sem kommentálták, az ilyen állítások hitelességét egyelőre nem nagyon lehet igazolni.

Az ilyen akciók természetesen nem fogják önmagukban érdemben befolyásolni a konfliktus alakulását, de ukrán szemszögből arra biztosan jók, hogy bosszúságot okozzanak a háborúval elfoglalt orosz vezetésnek, kisebb-nagyobb fennakadásokat idézzenek elő, demoralizálják az oroszokat, és demonstrálják, hogy a hírhedt offenzív kiberképességekkel rendelkező ország maga sem érinthetetlen ezen a téren. Annyit egyébként biztosan elértek a támadók, hogy az oroszok védekezésre kényszerültek velük szemben.

Önkéntes kibersereget toboroznak

A legnagyobb és minden bizonnyal példa nélküli fejlemény azonban az, hogy maga az ukrán kormány is önkéntes hekkerek nyilvános toborzásába kezdett a háború közepén. Mihajlo Fedorov miniszter február 26-án hívta életre az önkéntes ukrán kiberhadsereget Twitteren. Az önkéntesek munkáját egy Telegram-csatornán koordinálják, ott listázzák a célpontokat – például orosz és belarusz állami weboldalakat vagy orosz propagandát terjesztő YouTube-csatornákat – és osztják ki a feladatokat. A csatornának a cikk írásakor 279 ezer feliratkozója van.

Azt nem tudni, hogy a valóságban hányan és kik vesznek részt konkrét akciókban, illetve hogy mekkora gyakorlati hatása lehet mindennek. A legvalószínűbb, hogy kevésbé kifinomult, de zavarkeltésre alkalmas DDoS-támadások terén, illetve az ukrán kritikus infrastruktúra védelmében jöhet szóba a csoportosulás. Azt sem tudni, hogyan ellenőrzik a jelentkezőket, ki tudják-e szűrni a beépülni próbáló szabotőröket. Egy névtelenül nyilatkozó volt ukrán tisztviselő, aki rálát az önkéntes kiberhadsereg koordinálására, a Wirednek annyit árult el, hogy maga a háttérszervezés nem nyilvános Telegram-csatornákon, hanem biztonságosabb üzenetküldő szolgáltatásokon folyik.

Egyébként nem Fedorov felhívása volt az első ilyen próbálkozás, két nappal korábban, a háború kitörésének napján egy ukrán kiberbiztonsági cég alapítója, Jegor Ausev tett közzé hasonló toborzó üzenetet, majd a Reutersnek azt mondta, hogy a védelmi minisztérium egy szenior tisztviselőjének kérésére, azaz szintén kormányzati hátszéllel tette.

Ezek a szokatlan lépések nem kockázatmentesek. Ugyanazok a veszélyeik, mint a toborzás nélkül hadba szálló aktivisták akcióinál: az önbíráskodással határos akcióknak nem kívánt következményeik is lehetnek, például ha valaki egy komolyabb támadást kísérel meg, amelynek a szándékolt célpontokon kívül mások is áldozatul eshetnek, ez akár a konfliktus eszkalálódásához is vezethet. Pláne, hogy az ilyen akciókban nem csak ukránok vehetnek részt, márpedig Oroszország azt sem nézte jó szemmel, amikor Volodimir Zelenszkij ukrán elnök önkéntes külföldieket hívott fel katonai részvételre, gyakorlatilag idegenlégiót toborozva, vízummentességet adva nekik, megnyitva ezzel az utat NATO-tagállamok állampolgárai előtt is. (Már jelentkeztek is 16 ezren, például Hollandiából, de a brit külügyminiszter is kijelentette, hogy támogatja azokat a briteket, akik harcolni szeretnének.)

„Ha nem egy kormánynak dolgozol, és komoly beszélgetéseket folytatsz a »visszahekkelésről« vagy az Oroszország elleni kibertámadások indításáról, kérlek, értsd meg, hogy – tisztelettel – egy idióta vagy, és csak rontasz a helyzeten. A kiber eredendően eszkaláló, és nem számít, hogy milyen jól érzed magad tőle, a jelenlegi helyzetben ez irreleváns. Embereket lőnek le és bombáznak. Az invázió folyamatban van. Ez nem a megfelelő idő a cowboyos baromságaidra” – írta erről Robert M. Lee, a Dragos nevű biztonsági cég vezetője.