Napětí kolem situace na Ukrajině se stupňovalo od začátku roku. Spolu s tím rostl i počet kyberútoků. Jak ale pro deník Aktuálně.cz vysvětluje Robert Šuman, vedoucí pražského výzkumného oddělení softwarové společnosti Eset, více útoků pocítilo třeba i Česko. Začátkem roku to bývá běžné.
Těsně před začátkem ruské invaze ale kyberútoky na Ukrajině přitvrdily. Weby bank, ministerstev nebo vlády byly přetížené. Jednalo se o takzvaný DDoS útok (Distributed Denial of Service), kdy se hackeři pomocí tisíců počítačů, chytrých televizí nebo i mikrovlnek najednou připojí ke konkrétnímu serveru, který nezvládne zpracovávat tolik požadavků a přestane fungovat. Lidé se pak na stránku nemohou připojit.
Hackeři tím ale neskončili a pokračovali dál. "Okolo 17. hodiny se najednou na tisících počítačů po celé Ukrajině nainstaloval ničivý malware typu wiper. Pravděpodobně se jednalo o koordinovaný útok, protože byly ve stejný okamžik zasaženy systémy po celé zemi," popisuje Šuman.
Wiper je přitom velmi specifický typ viru, který se používá jen zřídka. Útočník totiž díky němu nic nezíská. Neukradne data z počítače ani ho nelze použít k vydírání, kdy hackeři výměnou za zablokovaná data požadují peníze.
Wiper jen ničí a maže. Šuman ho přirovnává k bombě, která se odpálí jen proto, aby napáchala co největší škody. Virus, kterému se v případě kyberútoku na Ukrajině začalo říkat HermeticWiper, se toho snažil zničit co nejvíce a za co nejkratší dobu. "Určitě za tím nestál nějaký nezkušený student. Použili velmi vzácné prvky, v podstatě si tak vystříleli náboje, co jdou použít jen jednou," tvrdí Šuman. Analytici nicméně nemohou jednoznačně říci, kdo si útok zadal.
Jeden virus za druhým
Malware byl velmi sofistikovaný a v každém napadeném souboru smazal jen malou část tak, aby se už nedal otevřít. Neztrácel čas mazáním celých souborů, což by trvalo mnohem déle. Navíc šlo o dlouho plánovaný útok. Analytikům ze slovenské firmy Eset, která se zaměřuje na kyberbezpečnost, se podařilo rozkrýt, že na něm hackeři museli pracovat nejméně od 13. dubna 2021.
Většinu útoků tohoto viru se však nakonec pravděpodobně podařilo zastavit, a tak nenapáchal takové škody, jaké autoři chtěli. "HermeticWiper se snažil napadnout co nejvíce počítačů, takže mezi cíli bylo všechno možné: soukromé firmy, vládní servery a další. Útočníci evidentně využili všechny servery, kam se jim už v minulosti povedlo nabourat," dodává Šuman.
Virus se měl pomocí dalšího malwaru HermeticWizard šířit dál a poškodit i další počítače. Ani v tom ale zřejmě neuspěl.
O méně než 12 hodin později začala ruská invaze na Ukrajinu a ostřelování velkých měst včetně Kyjeva. Ruští vojáci postupovali od východních i severozápadních hranic.
Spolu s nimi na Ukrajinu dorazil i další malware, tentokrát označený IsaacWiper. Ten už mířil hlavně na vládní instituce a klíčovou infrastrukturu. Snažil se pokračovat tam, kde HermeticWiper selhal. Podle Šumana byl ale mnohem méně sofistikovaný než jeho předchůdce.
Poslední část útoků přišla až 14. března. Po relativně velkém odstupu zaútočil na ukrajinské servery nově vytvořený CaddyWiper, který měl podle analytiků hlavně zamést stopy po svých předchůdcích. Nebyl už dost "chytrý" na to, aby napáchal větší škody.
Autor neznámý
Situace na Ukrajině je momentálně chaotická i na kyberbojišti, a je proto složité odhadnout, jak úspěšné útoky byly. Podle Šumana ale antivirové společnosti začaly ihned spolupracovat a naprostou většinu útoků na jimi chráněné počítače odrazily. Na Ukrajině navíc krátce před válkou začala pomáhat s kyberbezpečností i Evropská unie a zemi delší dobu podporují také experti ze Spojených států. Zdroj NATO redakci Aktuálně.cz potvrdil, že aliance s Ukrajinou na kyberbezpečnosti spolupracuje dlouhodobě, ale v posledních měsících spolupráce ještě zesílila.
Útoky malwarem typu wiper jsou velmi neobvyklé. K jednomu z nejničivějších došlo v roce 2017, kdy ruská skupina napojená na armádu vyslala virus na Ukrajinu. Odtud se wiper NotPetya přesunul dál, protože se uměl sám replikovat, a rozšířil se téměř do celého světa. Napadl řadu nadnárodních společností a napáchal škody odhadem za desítky miliard dolarů.
Odhalit, kdo konkrétně stojí za posledními útoky na Ukrajině, nebude jednoduché. Hlavně proto, že hackeři mohou napadnout libovolný počítač a skrze něj vést následující útok.
Vzhledem k načasování, možné motivaci a rozsahu akce ale řada faktorů poukazuje právě na Moskvu. Sám Kyjev už v několika případech Rusko obvinil. Například z kybernetických útoků 24. února na satelity Viasat, které poskytují připojení k internetu, ale slouží i ukrajinské armádě k navigaci. "Byla to obrovská rána pro komunikaci na samém počátku války," přiznal následně Viktor Zhora, vysoce postavený úředník v Ukrajinské agentuře pro kyberbezpečnost (SSSCIP). Útok tehdy pocítila i EU. Například v Německu ztratili spojení s 12 tisíci větrnými turbínami, které sice dál fungovaly, ale nebylo možné je nijak ovládat.
