Špion: Rusko dočasně vyřadilo web obrany, chce oslabit vůli Čechů pomáhat Ukrajině

Jan Horák Jan Horák
31. 1. 2023 5:30
Kybernetický rozměr ruské invaze na Ukrajinu popisuje příslušník Vojenského zpravodajství. Mluví o tom, jak se válka v kyberprostoru dotýká Česka či jakým způsobem ruští hackeři útočí. Rozhovor pro Aktuálně.cz poskytl jeden z nejvyšších důstojníků vojenské tajné služby, která má obranu českého kybernetického prostoru na starosti. Vzhledem ke svému zařazení trvá na zachování anonymity.
Ministryně obrany Jana Černochová z ODS. Pod její úřad spadá i Vojenské zpravodajství.
Ministryně obrany Jana Černochová z ODS. Pod její úřad spadá i Vojenské zpravodajství. | Foto: ČTK

Co se pro Vojenské zpravodajství změnilo, když Rusko loni 24. února zaútočilo na Ukrajinu?

Změna bezpečnostního prostředí byla zásadní. Museli jsme reagovat na skutečnost, že se v geografické blízkosti rozhořel významný konflikt, u nějž narostly projevy kybernetických hrozeb s potenciálem zasáhnout i Českou republiku.

Jaké byly vaše první kroky v reakci na ruskou invazi?

Snažili jsme se zejména zjistit co nejvíce informací o aktivitách Ruské federace v kyberprostoru, zároveň jsme analyzovali scénáře dopadů, které tento konflikt v kyberdoméně může mít.

Česko je jedním ze států, které Ukrajině pomáhají nejvíce. Ve velkém posíláme zbraně, humanitární pomoc a čeští politici tam opakovaně jezdí. Jsme proto terčem ruských hackerů?

Ruští aktéři se věnují primárně Ukrajině. I v českém kyberprostoru je však jejich aktivit dost, a to výraznějších než před válkou. Jsou dvě hlavní linie. Jednou je snaha o špionáž. Obecně řečeno se Rusko snaží získat informace o síle podpory Ukrajině v západních zemích. Zacílené mohou být i naše instituce.

Druhá část je informační, k té se často využívají DDoS útoky (zahlcení cílové služby, například webu, pozn. red.). Výpadek měl kvůli tomu i web českého ministerstva obrany. Obvykle je takový útok reakcí na aktivity Česka či prohlášení některého z našich představitelů. Tyto útoky často nejsou závažné. Spíš je aktéři použijí pro domácí publikum. Mohou říct něco ve smyslu: "Podívejte, oni něco řekli proti nám a my jim to vracíme."

Podařilo se Rusům v českém kyberprostoru provést opravdu závažný útok?

Nemůžu říct, že je vše bez větších problémů. Je to závažné a musíme to řešit. Něco tak závažného ve smyslu dopadu na životy či zdraví jsme ale nezaznamenali.

Ani útoky na citlivé body naší kritické infrastruktury?

Kritická infrastruktura je samozřejmě pod větší hrozbou útoků. Pokud se chce útočník dozvědět něco o našich postojích k podpoře Ukrajiny, její intenzitě a podobně, informace mají strategické instituce. Snahy o útoky tímto směrem jsou, nejen ze strany ruských aktérů.

Sledujeme i útoky s cílem omezit podporu Ukrajiny. Takové, jejichž účelem je způsobit zásah do každodenního života nebo vyvolat nedůvěru ve společnosti. I takové, které by mohly narušit základní služby. Jako hlavní cíl vidíme oslabit vůli české společnosti podporovat Ukrajinu.

Špionážní linka ruských kyberútoků

Co je nejtypičtějším rysem agrese na Ukrajině z pohledu kyberbezpečnosti?

Využití kyberprostoru k dosažení strategických cílů Ruské federace, tedy k úspěchu v konfliktu na Ukrajině. Míří primárně na cíle, jejichž zasažení povede ke zneschopnění nebo ztížení podmínek Ukrajiny se bránit. Můžeme se bavit o energetickém sektoru, dopravě a podobně. Je to také snaha vědět, jak Ukrajina postupuje, uvažuje a jaká je její strategie. Lze proto vnímat dost silnou špionážní linku v ruských kybernetických operacích.

Rusové se tedy snaží prolomit kritickou informační infrastrukturu Ukrajiny a získat z ní citlivé údaje?

Ano.

Ředitel Vojenského zpravodajství Jan Beroun.
Ředitel Vojenského zpravodajství Jan Beroun. | Foto: Lukáš Bíba

Jsou v tom úspěšní?

Mohu mluvit jen o tom, co vidíme a o čem mluvit smím. Aktivita ruských aktérů byla na začátku konfliktu velmi intenzivní. Část útoků se jim dařila. Velká část se ale nezdařila, Ukrajina byla schopná se v některých ohledech efektivně bránit.

Řekl jste, že v části kyberútoků byli Rusové úspěšní. Můžete uvést příklad?

Třeba útok na systém satelitní komunikace KA-SAT na začátku války. Jedná se o satelitní systém západní země, který ukrajinské složky využívaly pro vlastní komunikaci. Je to příklad, jak se Rusové snažili zasáhnout do fungování ozbrojených složek Ukrajiny prostřednictvím kyberprostoru. Sami Ukrajinci přiznali, že jim tento útok způsobil komplikace.

Ruský virus, který všechno ničí

Invaze na Ukrajinu trvá už jedenáct měsíců. Změnila se od té doby taktika ruských hackerů? Vybírají si jiné cíle, používají jiné způsoby útoků?

To je dobrá otázka. Typické bylo nejprve použití destruktivního malware zvaného wiper proti vybraným ukrajinským systémům. Ne tedy získat data, ale zničit je. S postupem války vnímáme, že se techniky obměňují podle toho, čeho zrovna chtějí ruské síly dosáhnout.

Podle čeho se Rusové rozhodují, jaký nástroj k útoku použít?

Když provedete útok, využijete slabinu vybraného cíle. Obránce tím naopak může získat informace o své slabině a způsob, jak se bránit. Když za pár měsíců chcete provést další útok, je možné, že budete muset použít jiný nástroj.

Zmínil jste malware wiper. O co jde a co umí v kyberprostoru napáchat?

Cílí na to, aby zničil data v infrastruktuře cíle. Existují špionážní útoky, jejichž snahou je přečíst data cíle. I útoky, jejichž snahou je data znepřístupnit. A pak jsou tu útoky, které data přímo ničí. Systém i data po nich musíte nahazovat znovu. Přesně tohle dělají wipery.

Co se podařilo Rusům díky wiperům v ukrajinském kyberprostoru zničit?

Obecně se mezi cíli vyskytly vládní instituce, zařízení kritické infrastruktury i média. Některé útoky uspěly, jiné ne. Útočníci jsou vytrvalí a některé cíle napadají opakovaně.

"Ukrajinské kyberútoky? Bez komentáře" 

Jaké jsou další kybernetické zbraně, které Rusové proti Ukrajincům nasazují?

Pokud se bavíme o špionáži, mluvíme o malware, který se snaží ze systému čerpat informace, jak se nepřítel pohybuje, co má v plánu. Ideálně bez toho, aniž by byl odhalen.

Typické jsou i DDoS útoky. Nejsou závažné svými následky, ale využívají se v informační válce. Míří na jakýkoliv typ systému připojený k internetu. Pokud chce aktér využít paniky a znepříjemnit život lidem, zaměří se na weby a prezentaci jednotlivých systémů.

Redaktor Aktuálně.cz v rozhovoru s vysokým důstojníkem z Vojenského zpravodajství.
Redaktor Aktuálně.cz v rozhovoru s vysokým důstojníkem z Vojenského zpravodajství. | Foto: Aktuálně.cz

Můžete to vysvětlit?

Máme třeba web ministerstva. Jako útočník potřebuji, aby to vypadalo, že ministerstvo nefunguje. Provedu proto DDoS útok, který web zahltí a vyřadí ho z provozu. Reálně to sice nemusí mít dopad na fungování instituce, ale má to dopad na prezentaci a kontakt s občany. Zejména v krizových situacích to může přispět k panice.

Má Vojenské zpravodajství informace, jak velké síle Ukrajinci v kyberprostoru čelí?

Nedám vám kvantifikaci, která by se dala použít. Ale dopady těchto útoků vidíme. Určitě lze říct, že intenzita je mnohokrát intenzivnější než před invazí. Ne že by ruští aktéři neútočili už před válkou, ale činili tak s menší intenzitou.

Víme, kdo za Rusko útočí a zda je přímo spjatý s Kremlem?

Velká část útoků bývá spjata se skupinami, které jsou s Ruskem i s jeho institucemi spojovány odbornou komunitou. Přímé propojení ve smyslu odpovědnosti podle mezinárodního práva je však v kybernetické doméně komplikovanější.

Kdybyste měl oznámkovat ruské hackery jako ve škole, jak jsou úspěšní ve své snaze přispět k oslabení Ukrajiny, jak byste je hodnotil?

V odborné komunitě se o tom vede debata. Experti nejsou schopni shodnout se na tom, zda jde o intenzivní kyberválku, nebo zda zůstává za očekáváním. My jasně vidíme, že ruská agrese na Ukrajině potvrzuje důležitost kyberútoků v celém konfliktu. Vidíme snahu o koordinaci mezi kyberútoky a ostatními způsoby vedení války. Ale oznámkovat to nedokážu.

Předpokládám, že při své obraně vedou Ukrajinci kyberútoky proti ruskému agresorovi, je to tak?

Bez komentáře.

Ruská kyberválka je bohatý zdroj poučení

Jak může české Vojenské zpravodajství ruské operace v kyberprostoru sledovat?

Snažíme se to sledovat všemi prostředky, které nám umožňují naše kompetence. V první řadě jsou to naše zpravodajské poznatky. Pak je to spolupráce s partnery. V NATO informace o kybernetickém rozměru války sdílíme. I proto, abychom sami mohli být lépe připraveni v případě nepřátelských aktivit vůči nám.

Co bych zdůraznil, je síla soukromého sektoru, technologických firem a odborné komunity. Velkou část věcí, které se v konfliktu udály, odhalí nebo popisují. Právě soukromý sektor zaměřený na kyberbezpečnost je často schopen tyto věci dobře popsat. Z toho pak čerpáme i my. My se snažíme dodávat strategický vhled a poznatky získané našimi prostředky.

Vojenské zpravodajství sídlí v areálu ministerstva obrany.
Vojenské zpravodajství sídlí v areálu ministerstva obrany. | Foto: Ministerstvo obrany

Je pro vás užitečné, že kyberválku na Ukrajině monitorujete?

Potřebujeme to sledovat už proto, že válka se odehrává velmi blízko. Potřebujeme vědět, jak vypadá aktuální bezpečnostní prostředí. A jak se chovají aktéři s nepřátelskými úmysly vůči hodnotám, které Česko nebo NATO zastávají. Jestli je naším hlavním cílem zajistit obranu Česka v kyberprostoru, je naše práce vědět, co se děje v blízkém geografickém prostoru.

Také nám to dává informace, jak kybernetická složka konfliktu vypadá. V novodobé historii byla vždy specifická, používala se špionážně a na vybrané cíle. Tohle je konflikt konvenčního rázu, kdy se kyberprostor využívá jako další z domén. Můžeme sledovat aktéry, jakým způsobem fungují, na co cílí a jaké techniky používají. Umožňuje nám to dělat analýzy, jak se koordinují s prostředky v jiných doménách boje. Dává nám to dost poznatků.

Může z toho Vojenské zpravodajství těžit, aby bylo efektivnější při obraně českého kyberprostoru?

Určitě ano. Umožňuje nám podívat se, jak funguje náš systém zajišťování kybernetické obrany a bezpečnosti. Učíme se z toho a snažíme se na zjištění reagovat i u nás. Podívat se, jestli náš systém nemá bílá místa. Neřekl bych sice, že je to pro nás největší příležitost se učit. Důvodů, proč pracujeme na kybernetické bezpečnosti, máme z předchozích let dost. Ale řekl bych, že je to velmi bohatý zdroj informací.

Dokážete Ukrajině v obraně jejího kyberprostoru pomoci přímo, nebo je vaše služba odkázaná na sledování konfliktu a analýzy?

Naše primární role je obrana českého kyberprostoru, jak to definuje zákon. Ale to, co se děje, vnímá celá Severoatlantická aliance. Jako se snaží Ukrajině pomáhat technologické firmy, stejně to máme i my. Když vidíme něco, co by mohlo mít dopad nejen vůči Ukrajině, ale i vůči spojencům, informace sdílíme. Byly i případy, kdy měl útok proti schopnosti Ukrajinců se bránit dopady v západních zemích. Například zmiňovaný atak na satelitní komunikaci KA-SAT.

 

Právě se děje

Další zprávy