Skip to content

Szele Tamás: Kiberháború tanulságokkal

Nagy csaták előtt állunk, a kibertérben is, a valóságban is. Jobb, ha mindenki felkészül rájuk.

Table of Contents

A kiberhadviselés fogalma a legtöbbek számára elég mitikus. A köztudatban legendák élnek a „zseniális orosz hackerekről”, akik a kibertérben „mindenre képesek” (milyen érdekes, hogy ezek rendszerint orosz forrásokból és médiumokból indulnak el). A gyakorlat azt mutatja, hogy annyira azért nem jók ezek az urak/vagy hölgyek – de nagyon igyekeznek.

Természetesen egyáltalán nem szabad alábecsülni őket, de messze nagyobb a hírük a képességeiknél és lehetőségeiknél. Távolról sem a cybertér Ilja Muromeceivel, Dobrinya Nyikiticseivel, Aljosa Popovicsaival van dolga Ukrajnának és a világnak ebben a most zajló kiberháborúban. Mert az (is) zajlik és ennek tanulságairól kiváló írásban számol be a The Economist*.

Mint minden háború, ez is jóval a harcok előtt kezdődött el. Hogy mennyivel? Tulajdonképpen 2014-ben indult meg, mikor a Krím annektálása után Putyin hackerei a rendelkezésükre álló technikák teljes arzenálját bevetették: a „hacktivizmust”, azaz a számítógépes hálózatok felhasználását propagandaötletek népszerűsítésére, a kiberkémkedést, a kiberszabotázst és az adathalász-támadásokat személyes adatok megszerzésére.

Az első világméretű támadás 2017-ben zajlott, mikor a Kreml hackerei kifejlesztették a NotPetya hálózati féregvírust. Úgy tervezték, hogy titkosítja a fájlokat és megsemmisíti a fájlrendszert. A féreg megtámadta az energetikai vállalatokat, az ország legnagyobb repülőterét és a fővárosi metrót. A csernobili atomerőmű sugárzásmérő rendszerét leválasztották a hálózatról. Csakhogy a NotPetya elszabadult és hatalmas anyagi károkat okozott világszerte – ezekért senkit sem vontak felelősségre, azóta sem.

2022. február 15-16-án, a mostani háború kezdete előtt az orosz kibererők ismét globális hackertámadást hajtottak végre Ukrajna infrastruktúrája ellen. A „Privat24”, „Oshchad24/7”, „Diya” alkalmazások, a Miniszterelnöki Kabinet, a Verhovna Rada, a Külügyminisztérium és a Védelmi Minisztérium portáljai támadás áldozatai lettek. Céljukat azonban nem érték el. Az ukránok kevesebb mint egy nap alatt visszaverték őket.

Február 24-én Oroszország valami hasonlóval próbálkozott: kevesebb mint egy órával azelőtt, hogy az orosz tankok bevonultak Ukrajnába és Kijev felé indultak, hackerek feltörték a Viasat műholdas kapcsolatot, amelyre az ukrán hadsereg támaszkodott. A Viasat elleni orosz támadás nem az egyetlen kísérlet volt arra, hogy szoftvereken keresztül gyengítsék az ellenséget. Még januárban, majd február 23-án is több száz ukrán rendszerben észleltek „wipereknek” nevezett kártevőket, amelyek adatokat semmisítettek meg. Ezek aztán tovább terjedtek a SAT európai műholdas rendszerekbe és a szélerőművi rendszerekbe is, ami azért támadás volt az Unió ellen.

Áprilisban, amikor a Kijevet fenyegető csapatok visszavonultak, a Sandworm csoport hackerei – amelyet nyugati szakértők és hírszerző ügynökségek az orosz GRU-hoz kapcsolnak – az Industroyer2 kártevőt használták erőművek megtámadására.

A polgári infrastruktúra elleni ilyen jellegű támadást nehéz nem észrevenni. A katonai felszerelések esetében azonban ez nem így van. Az AFU nagyfokú titoktartást gyakorol, és nem hozza nyilvánosságra, hogy mely kommunikációs vonalait veszélyeztették vagy hackelték meg (ami minden bizonnyal megtörtént). Az orosz kiberhadjárat látható hatása azonban meglepően csekély. „Őszintén szólva azt gondoltuk, hogy a hatás sokkal nagyobb lesz” – mondta Mieke Oyang, a Pentagon vezető tisztviselője november 16-án. – „Az orosz kibererők, akárcsak a hagyományos katonai alakulatok, nem múlták felül magukat.”

Így Ukrajna a háború első napjaiban online maradt. Az áramszolgáltatás még akkor is működött, amikor a főváros körül heves harcok dúltak. A bankok nyitva voltak. A 2015-ös és 2016-os évektől eltérően, amikor a kibertámadások hatalmas áramkimaradásokat okoztak, az elektromos áram továbbra is érkezett a vezetékeken. És az információ is. Semmi sem akadályozta meg Vlagyimir Zelenszkijt abban, hogy minden este szóljon az ukrán néphez. Ha Oroszország megpróbálta megingatni az ukrán emberek bizalmát kormányuk iránt és irányíthatatlanná tenni az országot, akkor kudarcot vallott.

Ebben az ukrán védelem nagy szerepet játszott. Lindy Cameron, a brit Nemzeti Cyberbiztonsági Központ (NCSC) igazgatója úgy véli, hogy az orosz hackerek támadása „talán az eddigi legkitartóbb és legintenzívebb kibertámadás volt”. De ahogy Sir Jeremy Fleming, a főnöke és a brit kormányzati kommunikációs központ (GCHQ) vezetője írta az Economist augusztusi cikkében, Ukrajna válasza „talán a leghatékonyabb volt a kibertámadásokkal szembeni ellenállás történetében”. Oroszország évek óta gyakorolja a kiberműveleteket Ukrajna ellen. Például az Industroyer, az Industroyer2 elődje 2016-ban okozott áramkimaradásokat. Az ukrán hatóságoknak viszont képet adott az orosz támadások célpontjairól, és időt nyertek az infrastruktúra megerősítésére.

Ez azt jelenti, hogy mire az invázió megkezdődött, az ukrán kiberparancsnokok már egy jól átgondolt akciótervvel rendelkeztek. Néhány tisztviselő elhagyta Kijevet és az ország biztonságosabb részeire távozott. Mások parancsnoki posztokat töltenek be a frontvonalakon. A kulcsfontosságú szolgáltatásokat az orosz rakéták hatótávolságán kívülre, európai adatközpontokba helyezték át. Az ukrán fegyveres erők tudták, hogy a műholdas kommunikáció megszakadhat, és más típusú kommunikációs eszközök használatára is felkészültek. Ennek eredményeképpen a Viasat elleni támadás „nem volt alapvető hatással az ukrán hadseregen belüli kommunikációra”, állította Viktor Zsora szeptemberben.

A nyugati segítség szintén nagy szerepet játszott. A NATO a háború előtt többek között a kiberfenyegetettség-könyvtárhoz, az akkoriban ismert vírusok tárházához való hozzáférésen keresztül javította az Ukrajnával fenntartott kapcsolatát. Nagy-Britannia 6 millió font értékű támogatást nyújtott, többek között tűzfalakat a támadások blokkolására és szakértőket a behatolások elemzésére. A segítség kölcsönös volt. „Az USA és Nagy-Britannia valószínűleg többet tanult az orosz hacker-taktikáról az ukránoktól, mint amennyit az ukránok tőlük” – jegyzi meg Marcus Willet, aki korábban a GCHQ (a brit titkosszolgálat egyik szervezete) kiberbiztonságért felelős vezetője volt.

Paradox módon az ukrán ellenállást segítette az a tény, hogy az ipari irányítási rendszerek nagy része a Szovjetunióból származott, és technikailag elmaradott volt. Amikor például 2016-ban az Industroyer lecsapott Kijev elektromos alállomásaira, a mérnökök néhány óra alatt képesek voltak kézzel újraindítani a rendszert (igaz, utána még hónapokig kézzel kellett irányítani). Amikor az Industroyer2 áprilisban leállította az elektromos hálózat egy részét, négy óra alatt újra működőképes volt.

Magán-kiberbiztonsági cégek is bekapcsolódtak Ukrajna megsegítésébe. Zsora szerint a Microsoft és a szlovák ESET cég különösen fontos szerepet játszott, mivel ezek a cégek erősen jelen vannak az ukrán hálózatokon, és ezért képesek telemetriát végezni, azaz hálózati adatokat gyűjteni. Az ESET által szolgáltatott információk lehetővé tették Ukrajna kibervédelmének, hogy visszaverje az Industroyer2 támadást. A Microsoft azt állítja, hogy a mesterséges intelligencia, amely gyorsabban képes szkennelni a szoftvereket, mint egy ember, szintén lehetővé tette a támadások gyors nyomon követését. November 3-án Brad Smith, a Microsoft elnöke bejelentette, hogy cége 2023. végéig ingyenes technikai támogatást nyújt Ukrajnának.

Ukrajna kemény diónak bizonyult. De vajon eltúlozták-e az orosz hackerek erejét? Az orosz hírszerzésnek hatalmas tapasztalata van a kiber-kémkedésben, de a katonai kibererők meglehetősen „fiatalok” a nyugati ellenfelekhez képest – mondta Gavin Wild, aki korábban az amerikai Nemzetbiztonsági Tanácsnál az orosz ügyeket felügyelte. Az Egyesült Államok már az 1990-es években, a haiti és a koszovói konfliktusok idején elkezdte beépíteni a cyberhadviselés elemeit a műveleteibe. Oroszország csak az elmúlt hat évben kezdett foglalkozni ezzel – állította Wilde.

„És Olgino?” – tenné fel a kérdést a tapasztalt olvasó – „Olginóval mi van?” Az a helyzet, hogy az olginói troll-farm igazából nem kiberhadviseléssel foglalkozott, hanem hacktivizmussal, propagandával, pszichológiai nyomásgyakorlással, nem pedig nagy rendszerek megtámadásával és működésképtelenné tételével. Olgino valóban jóval korábban kezdett működni, már 2013-ban, de épp emiatt a Kreml hosszú ideig elsődlegesen propagandaeszközként tekintett a kibertérre, és nem kezdte el időben fejleszteni a támadó kibererőket.

Amerikai, európai és ukrán tisztviselők szerint számos példa van arra, hogy az orosz kibertámadásokat fizikai támadásokkal szinkronizálták. De vannak példák durva hibákra is. Sir Jeremy Fleming szerint az orosz hadsereg egyes esetekben ugyanazt a kommunikációs hálózatot támadja, amelyet a kibererők megpróbálnak feltörni, és ez arra készteti az ukránokat, hogy biztonságosabb kommunikációs eszközökhöz forduljanak.

Vannak olyanok is, akik úgy vélik, hogy az orosz kibererők meglehetősen lazán viselkednek: jól törnek be, de ezt pontatlanul teszik, és feleslegesen magukra vonják a figyelmet. Áprilisban David Cuttler, a NATO hírszerzési és biztonsági ügyekért felelős főtitkárhelyettese megjegyezte, hogy Oroszország több pusztító kártevőt használt Ukrajna ellen, „mint amennyit a világ összes kiber-hadserege együttvéve egy év alatt bevetett”.

De egy kiberhadjárat sikerét a vírusok száma alapján megítélni olyan, mintha a gyalogságot a kilőtt töltényhüvelyek száma alapján ítélnénk meg. Daniel Moore, az Offensive Cyber Operations című, nemrég megjelent könyv szerzője azt írja, hogy minden egyes, az ukrajnai infrastruktúrát ért orosz támadás előre kiszámított volt ugyan, de rengeteg hibával hajtották végre őket, vagy rossz célpontokat érintettek. „Szinte minden egyes támadás, amelyet Oroszország a kibertérben hajtott végre, jelentős működési hibákkal járt” – mondja Moore. Ellenpéldaként említi a Stuxnetet, az iráni nukleáris létesítmény elleni izraeli-amerikai kibertámadást, amelyet először 12 évvel ezelőtt fedeztek fel – a technológia szempontjából „múlt századi” – „És mégis sokkal kifinomultabb volt, mint bármi, amit ma Oroszországtól látunk”.

A nyugati hírszerző közösségben sokan azt mondják, hogy a háború megmutatja, mekkora szakadék tátong Oroszország és Amerika kibernetikai erői között. A haditechnikai eszközök elleni támadások hatékonysága összehasonlíthatatlan. Mások azonban arra figyelmeztetnek, hogy túl korai lenne messzemenő következtetéseket levonni. Oroszország kiberhadművelete nem a rossz kiképzés miatt vallhat kudarcot, hanem az orosz hadsereg hagyományos arroganciája miatt.

Nyugati szakértők szerint Oroszország nem azért nem tervezett és indított igazán pusztító kibertámadásokat Ukrajna energia- és közlekedési rendszerei ellen, mert elvileg képtelen lett volna erre, hanem mert feltételezte, hogy hamarosan átveszi az ország irányítását – és az egész infrastruktúra az övé lesz. Miért pusztítaná el azt, amire hamarosan neki magának is szüksége lesz? Amikor nyilvánvalóvá vált, hogy a háború elhúzódik, Oroszországnak alkalmazkodnia kellett. A kiberfegyverek azonban nem olyanok, mint a hagyományos fegyverek, amelyeket egyszerűen át lehet irányítani egy másik célpontra, és újra tüzelhetnek. Ezt kifejezetten a konkrét célcsoportokra kell szabni.

Az olyan kifinomult támadások, mint amilyen a Viasat elleni volt, nagy felkészültséget igényelnek, beleértve a hálózatok működésének alapos ismeretét. Lennart Maschmeier, az ETH Zürichi Biztonsági Tanulmányok Központjának vezető kutatója tavalyi cikkében kimutatta, hogy az ukrán elektromos hálózat elleni 2015-ös GRU-támadáshoz 19 hónapos, 2016-ban pedig 2,5 éves előkészületre volt szükség.

A háború első hete után az orosz kibertámadások taktikusabbá és véletlenszerűbbé váltak. Áprilisban, amikor az orosz hadsereg Kijevről a Donbásszra helyezte át a hangsúlyt, a wiper-támadások száma drasztikusan csökkent. Novemberben a Mandiant kiberbiztonsági vállalat kutatói arról számoltak be, hogy a GRU most a perifériás eszközök, például routerek, tűzfalak és e-mail szerverek kiiktatására összpontosít. Ezek gyorsabb támadások, de sokkal nehezebb elrejteni őket.

Oroszország bizonyos mennyiségű tudással és tőkével rendelkezik, és el kell döntenie, hogy ezt egy vagy két nagy pontosságú műveletre vagy 50 egyszerűbbre költi. Ha az utóbbit választja, az egyáltalán nem jelenti azt, hogy az előbbi elérhetetlen. „Oroszország abszolút képes magasabb szintű kibertámadásokra, mint amit az ukrajnai események mutatnak” – jegyzi meg Cuttler. „A háború még nem jutott el abba a szakaszba, hogy mindkét fél elkezdje egymásra szabadítani minden kibernetikai erejét” – ért vele egyet Marcus Willet.

Az Északi Áramlat és az Északi Áramlat 2 szeptemberi szabotálása, valamint az ukrán elektromos hálózatot ért rakétacsapások azt sugallják, hogy a Kreml egyre kockázatosabb játékot kezd játszani. Ez a kibertérben is megnyilvánul. Egy brit tisztviselő úgy véli, hogy Oroszország a NotPetya incidensre való tekintettel kezdetben arra törekedett, hogy a támadások Ukrajnára korlátozódjanak – egyáltalán nem akart összeveszni a NATO-val. De ez már nem biztos, hogy így van. Tavaly szeptemberben a Sandworm hackercsoport először támadott meg szándékosan egy NATO-országot. A Prestige-ről volt szó, egy rosszindulatú programról, amely a lengyelországi szállítási és logisztikai rendszert vette célba, mivel Lengyelország mostanra az Ukrajnának szánt katonai segélyek elosztóközpontjává vált.

Emellett sok támadás észrevétlen maradhatott. A lvivi regionális katonai parancsnokság elleni támadást például nagyon későn vették észre, és a kereskedelmi szoftverek lényegében soha nem voltak képesek kitalálni, hogyan is működik pontosan az orosz vírus. A támadások kiszámítása nem egzakt tudomány – mondta egy ukrán kiberbiztonsági szakember. Gyakran előfordul, hogy a rendszerbe teljesen jogszerűen jelentkeznek be, egyszerűen csak egy lopott jelszóval. Csak a tünetek láthatóak, az ok nem.

Ráadásul a legpusztítóbb kiberműveletek, mint például a Stuxnet, békeidőben sokkal fontosabbak. A hadviselés során a hagyományos fegyverek sokkal gyorsabban és olcsóbban képesek ugyanazt a pusztítást végezni. A háborúban mindkét oldalon talán a legfontosabb kiberműveletek a hírszerzésre vagy a pszichológiai hadviselésre irányuló tevékenységek.

Összességében elmondható, hogy az orosz kibererők nagyjából úgy működnek, mint az Oroszországi Föderáció hagyományos fegyveres erői: bizony veszélyesek, ha a támadásuk sikerrel jár, sokkal nagyobb pusztítást végeznek a szükségesnél, nem törekednek nagy pontosságra és inkább a nyers erő, mint a kifinomult módszerek hívei – de távolról sem legyőzhetetlenek. Megvannak a gyengeségeik, kiismerhetőek a módszereik és mivel végső soron őket is az inkompetens vezérkar irányítja, nem kétséges, hogy hosszú távon vereséget fognak szenvedni.

De nem egyhamar. Nagy csaták előtt állunk, a kibertérben is, a valóságban is.

Jobb, ha mindenki felkészül rájuk.

Latest