Kaip Ukraina tapo kibernetinių ginklų bandymo poligonu
No­rė­da­mi pa­ma­ty­ti at­ei­ties ka­rą, užei­ki­te į vir­šu­ti­nį nie­kuo ne­iš­sis­ki­rian­čio biu­rų pa­sa­to aukš­tą duo­bė­to­je Ukrai­nos sos­ti­nės prie­mies­čio gat­vė­je. Ten, ša­lia tam­sios kon­fe­ren­ci­jų sa­lės, prie tam­sių, pil­kų ekra­nų, sė­di in­ži­nie­riai ir ka­riau­ja su ko­dų ei­lu­tė­mis, pa­sa­ko­ja po­li­ti­co.eu.

„Atakos vyksta kasdien. Niekada nemanėme, jog būsime kibernetinio ir hibridinio karo fronto linija“, – teigia Olehas Derevianka, Ukrainos kibernetinio saugumo įmonės „Information Systems Security Partners“, kuri ir pasamdė minimus inžinierius, įkūrėjas.

Ko gero nėra geresnės vietos norint savo akimis išvysti kibernetinį konfliktą už šiandieninę Ukrainą. Atviras karas su Rusija, įgudę, kompiuterių asai, ypač pažeidžiama politinė, ekonominė ir informacinių technologijų (IT) aplinka pavertė šalį puikia vieta ieškantiems, kur išbandyti naujus kibernetinius ginklus, taktikas ir įrankius.

„Ukraina yra bandymų laukas“, – sako Kennethas Geersas, kibernetinio saugumo ekspertas ir vyresnysis „Atlantic Council“ narys, dirbantis patarėju NATO kibernetiniame centre Taline. Jis praleido daug laiko Ukrainoje tyrinėdamas kibernetinį konfliktą. Panašiai kaip Šaltojo karo metu supervalstybės kariavo per trečiąsias šalis Artimuosiuose Rytuose ar Afrikoje, taip dabar Ukraina tapo mūšio lauku kibernetiniame kare dėl įtakos pasaulyje.

Jie ne tik išbando naikinančius ginklus, bet ir jūsų refleksus.

Siekdama atremti antpuolius prieš šalies tinklus, Dereviankos įmonė glaudžiai bendradarbiauja su Ukrainos vyriausybe ir jos sąjungininkais iš JAV bei Europos. Tuo tarpu, kitoje virtualios fronto linijos pusėje – ne tik patyrusios, ryšių su Rusija turinčios programišių grupuotės, tokios kaip „Fancy Bear“, „Cozy Bear“ ir „Sandworm“ (pastaroji atsakinga už „NotPetya“ – pačią didžiausią kibernetinę ataką iki šiol), bet ir kiti vyriausybiniai ir nevyriausybiniai asmenys bei nusikaltėliai. Jie išbando savo gebėjimus pasinaudodami Ukrainos tinklais.

Pasak Dereviankos, programišių aktyvumas išaugo dėl kovą vyksiančių prezidento rinkimų. Programišių grupuotės atakuoja Ukrainos teismo ir vyriausybės pareigūnus, advokatus bei kitus asmenis elektroniniais laiškais su kenkimo programomis ir virusais, kurie kartais užmaskuojami kaip kalėdiniai sveikinimai ar laiškai iš ministro pirmininko kabineto.

Ukrainos nacionalinio saugumo tarnyba politico.eu teigė, kad Rusijos programišių grupuotės nuolatos bando įsilaužti į šalies sistemas. Esminės infrastruktūros ir rinkimų sistemos yra be perstojo atakuojamos.

„Jie ne tik išbando naikinančius ginklus, bet ir jūsų refleksus“, – teigė Derevianka.

Rusijos žaidimų aikštelė

Per pastaruosius keletą metų karas Rytų Ukrainoje suteikė su Rusija susijusiems programišiams galimybę ištobulinti gebėjimus rengti kibernetines atakas.

„Krymo aneksija ir karas Donbase sukūrė nepastovią politinę aplinką“, – teigė Merle Maigre, buvusi NATO kibernetinės gynybos centro Taline vadovė, dabar užimanti estų kibernetinio saugumo firmos „CybExer“ viceprezidentės postą.

2014-ųjų pavasarį, Rusijos tankams kirtus rytinę Ukrainos sieną, su Rusija siejami programišiai atakavo Ukrainos IT sistemas ir sukėlė chaosą, kuris pasitarnavo kaip dūmų uždanga.

Pasak Tarptautinio rinkimų sistemų fondo, likus trims dienoms iki prezidento rinkimų 2014 metų gegužę, programišiai įsilaužė į Ukrainos centrinės rinkimų komisijos sistemą ir išjungė dalį tinklo. Vėliau tais pačiais metais Centrinė rinkimų komisija sulaukė dar vienos atakos – programišiai „nulaužė“ komisijos interneto svetainę prieš spalį vykusį parlamento balsavimą.

Didelio masto atakos vyko ir 2015–2016 metais. Šįkart taikytasi į Ukrainos kompanijas, valdančias elektros tinklus. 2015 metais programišiai panaudojo vadinama „BlackEnergy“ kenkimo programą ir pateko į kompanijų sistemas bei siųsdami apgaulingus elektroninius laiškus privertė darbuotojus atsisiųsti „KillDisk“ kenkimo programą, kuri vėliau sutrikdė elektros tinklo veiklą.

Tai pirma sėkminga kibernetinė ataka pasaulyje, kurios taikiniu buvo energetikos įmonė. Atakos padarinius pajuto apie 230 tūkst. ukrainiečių. Ji paliko juos be elektros iki šešių valandų. Po metų, 2016-ųjų gruodį, programišiai, pasikliaudami dar pažangesniais įrankiais, vėl sėkmingai išjungė šviesas didžiojoje dalyje Ukrainos sostinės.

Vis dėl to didžiausia ir daugiausiai finansinės žalos pasaulyje padariusi ataka įvyko 2017 metais, kai programišiai sujungė kodą, išbandytą per elektros tinkų atakas su kenkimo programa, žinoma „Petya“ pavadinimu, ir saugumo spraga „EternalBlue“. Sukurta kenkimo programa „NotPetya“ pažeidė nedidelės technologijų firmos, pavadinimu „Linkos Group“ programinę įrangą. Taip „NotPetya“ pateko į komunalinių paslaugų įmonių kompiuterius, bankų, oro uostų ir valstybinių agentūrų Ukrainoje sistemas. Kenkimo programa taip pat paveikė tarptautines kompanijas, tokias kaip danų laivybos milžinė „Maersk“, logistikos įmonė „FedEx“, farmacijos įmonė „Merck“ ir t.t.

„NotPetya“ ataka, padariusi 10 mlrd. JAV dolerių nuostolių, buvo įvykis, „per plauką netapęs kibernetiniu karu“, teigia Geersas. Tai buvo daugiausiai žalos padariusi ataka istorijoje. Jos mastas ir kaina gerokai viršytų raketos, paleistos iš Donbaso į Kijevą, nuostolius.

Kibernetinė smėliadėžė

Kariaujančios šalies aplinka traukė visokio plauko veikėjus, ieškančius, kur išbandyti savo sugebėjimus kibernetinėje erdvėje. Be priešiškai nusiteikusių Rusijos programišių, šalis taip pat traukė kibernetinio saugumo firmas, norinčias stebėti kovą, Vakarų žvalgybos agentūras, siekiančias suprasti šiuolaikinio konflikto prigimtį ir nusikaltėlius, ieškančius, kaip užsidirbti.

„Iš esmės Donbase pilna kenkimo programų. Jos atkeliauja iš visur – JAV, Kinijos, Rusijos, Izraelio, Turkijos, Irano. Žvalgybos tarnybos bando išsiaiškinti tolesnius Rusijos veiksmus Donbase, bando išsiaiškinti, ką sugalvojo Rusijos prezidentas Vladimiras Putinas“, – teigia Geersas.

Svarbu iš anksto surinkti informaciją. Kai kurie virusai ir kenkimo programos, panaudotos Ukrainos elektros tinklų atakų metu, vėliau buvo aptiktos JAV ir Izraelyje.

Ukraina tampa viliojančiu programišių taikiniu ir dėlto, kad daugumoje šalies kompiuterių instaliuota piratinė programinė įranga, kuri negauna standartiniu saugumo atnaujinimų, bet dėl savo glaudžių ryšių su Vakarų Europos interneto tinklais, tai suteikia galimybę „nulaužti“ Europą.

Kaip teigia ekspertai, atakų tikslas – išbandyti Vakarų gynybos sistemas. Tiesa, JAV ir kitų šalių žvalgybos agentūros irgi nemiega – sutelkia dėmesį ties Ukrainos tinklais ir reaguoja į pavojaus signalus.

„Svarbu iš anksto surinkti informaciją. Kai kurie virusai ir kenkimo programos, panaudotos Ukrainos elektros tinklų atakų metu, vėliau buvo aptiktos JAV ir Izraelyje“, – sako Dymtro Šymkivas, buvęs „Microsoft“ vadovas Ukrainoje ir prezidento Petro Porošenkos vyriausiasis patarėjas kibernetikos klausimais 2014–2018 metais.

Už pagalbą kovoje su programišiais Ukrainos valdžios institucijos siūlo kibernetinės informacijos.

„Kai aptinkame kenkimo programą, nusiunčiame ją specialiosioms tarnyboms, o ten antivirusinių programų gamintojai gali ją išanalizuoti“, – sako Šymkivas. Jo komanda su kitais ekspertais dirbo su tokiomis platformomis, kaip „Hybrid Analysis“ ar ANY.RU technika, žinoma kaip „Debesijos pagrindu paremta „smėliadėžė“. Per jas tyrėjai gali analizuoti duomenis ir susisiekti su nukentėjusiais nuo kenkimo programų.

Nuo 2014 metų Vašingtonas skyrė daug investicijų kibernetiniam saugumui Ukrainoje užtikrinti. Vien tik JAV tarptautinio vystymosi agentūra skyrė 10 mln. JAV dolerių kibernetiniam saugumui, o didelė dalis dar didesnio biudžeto, skirto Ukrainai paremti, atitenka IT sistemų saugumo šalyje užtikrinimui.

JAV įmonės, tokios, kaip technologijų milžinė „Microsoft“, taip pat padidino darbuotojų skaičių šalyje. Tinklo bei duomenų perdavimo ir telekomunikacijų lyderė „Cisco“, pagarsėjusi savo kibernetinės žvalgybos padaliniu „Talos“, irgi išlaiko tvirtą poziciją. JAV firma „CrowdStrike“, žinoma, kaip agresyviai demaskuojanti valstybės remiamus įsilaužimus, taip pat aktyviai vykdo savo veiklą Ukrainoje.

Be to, JAV ir Europa investuoja į seminarus ir mokymus, skirtus Ukrainos kibernetinio saugumo specialistams bei teikia pagalbą per Tarptautinį rinkimų sistemų fondą.

„Kolegos iš JAV prašo daug informacijos ir labai produktyviai bendradarbiauja“, – teigia Romanas Bojarčukas, Ukrainos kibernetinio saugumo centro vadovas. Šio centro užduotis – atkirsti užpuolikus nuo vyriausybės sistemų. Amerikos ir Europos kibernetinio saugumo institucijos reguliariai prašo centro pateikti didžiausią grėsmę keliančių įsilaužimų analizės detales.

Ekspertų teigimu, programišių aktyvumas išaugo dėl kovą Ukrainoje vyksiančių rinkimų, nes mažesnės grupuotės ir pavieniai programišiai bei nusikaltėliai siekia finansinės naudos.

„Jie skenuoja tinklus ir siunčia daug kenkimo programų siekdami rasti spragų. Jie perima kontrolę, įrašo ją į duomenų bazes ir parduoda“, – sako Bojarčukas.

Programišiai susiranda konfidencialios informacijos ar prieigos prie konfidencialių sistemų pirkėjus. Dideli duomenų rinkiniai parduodami juodojoje rinkoje bet kam, kas nori už juos mokėti.

„Juos perka visi – įmonių konkurentai, valstybiniai subjektai“, – pasakojo Bojarčukas.

Užkrato baimė

Kijevo kibernetinių pagalbininkų tikslas yra ne tik padėti įtampos apimtai Ukrainai. Didžiausia baimė – užkratas. Sėkmingos kibernetinės atakos Kijeve sukėlė baimę, jog tokios atakos gali lengvai kirsti šalies sieną ir užkrėsti kompiuterius visame pasaulyje.

Ši grėsmė tik dar labiau išaugo po to, kai atsigręždama į Vakarus Ukraina sukėlė Rusijos agresiją. Ukraina 2014 metais pasirašė Asociacijos sutartį su Europos Sąjunga, kurioje numatytas „visapusiškas laisvosios prekybos susitarimas“. Ši sutartis įsigaliojo nuo 2016 metų ir sustiprino Kijevo bei ES ekonominius ryšius. Su išaugusia prekyba, padidėjo ir duomenų srautai bei intensyvumas šalies interneto tinkluose.

2017 metų „NotPetya“ ataka buvo skausmingas pavyzdys. Ataka, prasidėjusi nedidelėje Ukrainos technologijų firmoje, išplito į įmones ir vyriausybines institucijas visame pasaulyje ir sutrikdė žinomų tarptautinių įmonių veiklą.

„NotPetya“ atakos metu visi suprato, kokie pažeidžiami esame, kai yra puolama Ukraina. Tokios atakos lengvai gali pasikartoti Europoje ir už jos ribų“, – teigia Maigre, buvusi NATO kibernetinės gynybos centro vadovė.

Edvinas Kreiza: „Mes suteikiame Ukrainai politinę paramą, rėmėme šalį ginklais ir amunicija. Dabar pereiname prie kibernetinės paramos.“

Ši ataka būtent Europos Sąjungai parodė, jog būtina kuo greičiau gerintini Ukrainos kibernetinės gynybos sistemas. Nuo to laiko, Europos šalys pasirašė dvišales pagalbos sutartis. Pavyzdžiui, Estija padeda Ukrainos valdžios institucijoms kuriant saugią rinkimų IT sistemą. Pasak Lietuvos krašto apsaugos viceministro Edvino Kerzos, lietuviai taip pat aktyviai teikią pagalbą.

„Mes suteikiame Ukrainai politinę paramą, rėmėme šalį ginklais ir amunicija. Dabar pereiname prie kibernetinės paramos“, – sako Kerza.

Dabar Europos Sąjunga sutelkė dėmesį ties kovo pabaigoje vyksiančiais prezidento rinkimais ir jų saugumu.

„Prognozuojame, kad Rusija bandys paveikti Ukrainos prezidento ir parlamento rinkimų eigą 2019 metais“, – elektroniniame laiške rašė Ukrainos saugumo taryba. Tarnyba taip pat pridūrė, kad didžiausią grėsmę kelia Rusijos specialiosios tarnybos, „tyčia sukeldamos ilgalaikes kibernetines atakas, taip siekdamos naudos savo valstybei.“

Ekspertai teigia, jog tai, kas šiandien vyksta Kijeve, bet kada gali nutikti ir Berlyne, Romoje ar Amsterdame. Ukraina yra tarsi „išbadymo priemonė“.

Vis dėlto kovą vyksiantis balsavimas Europos Sąjungai gali pateikti vertingų įžvalgų, kadangi pastaroji ruošiasi gegužę vyksiantiems Europos Parlamento rinkimams. Šis balsavimas, kurio metu 27 šalys išrinks naująjį parlamentą ir nuspręs, kas valdys aukščiausias Europos Sąjungos institucijas, yra ypač pažeidžiamas.

Ekspertai teigia, jog tai, kas šiandien vyksta Kijeve, bet kada gali nutikti ir Berlyne, Romoje ar Amsterdame. Ukraina yra tarsi „išbadymo priemonė“. Sukčiavimas, naudojant elektroninius laiškus, duomenys, parduodami juodojoje rinkoje, naujos kenkimo programos – visa tai bet kada iš Ukrainos pasiekti Vakarus. „Todėl įdomu pamatyti, kaip viskas susiklostys per rinkimus“, – sako Maigre.