Źródło: https://alsa.mil

„Spokojnie, to tylko cyberatak”, czyli czemu wojna na Ukrainie nie toczy się tylko w cyberprzestrzeni.

Konflikty Prawo międzynarodowe
Udostępnij artykuł

Część 2, czyli kto, z kim, jak i dlaczego.

Poprzednia część wpisu próbowała nieco usystematyzować terminologię związaną z operacjami w cyberprzestrzeni, bardziej ogólnie niż w kontekście aktualnie toczącej się wojny ukraińsko-rosyjskiej. Czas na próbę zidentyfikowania aktorów biorących udział w operacjach w cyberprzestrzeni już w konkretnym kontekście tej wojny.

Oczywista oczywistość, cytując dość popularną frazę, że w „cyberoperacje” prowadzone równolegle do konwencjonalnych działań zbrojnych na Ukrainie zaangażowane są podmioty ukraińskie i rosyjskie, zarówno państwowe i niepaństwowe. Ale o nich później.

Najpierw o wsparciu Ukrainy z zewnątrz. Nie jest tajemnicą, że we wzmocnienie ukraińskiej „cyber odporności” (Cyber resilience) mocno zaangażowała się Unia Europejska, w szczególności Służba Działań Zewnętrznych UE (European Union External Action Service – EEAS), która m. in. przekazała 29 mln euro na zwiększenie cybernetycznej i cyfrowej odporności Ukrainy. Z tej kwoty 10 mln euro wykorzystano na sprzęt, oprogramowanie i inne powiązane wsparcie w zakresie cyberbezpieczeństwa, a kolejne 19 mln euro na wsparcie odpornej transformacji cyfrowej. Dodatkowe wsparcie w dziedzinie cyberobrony zapewnia Europejski Instrument na rzecz Pokoju.

Dzięki ścisłej współpracy z UE i innymi międzynarodowymi partnerami w dziedzinie cyberbezpieczeństwa i cyberobrony, Ukraina wykazała duże zdolności do przeciwdziałania wrogim operacjom w cyberprzestrzeni i ochrony swojej infrastruktury krytycznej. Wsparcie w tym zakresie realizowane jest dzięki ścisłej dwustronnej współpracy Państwowej Służby Łączności Specjalnej i Ochrony Informacji Ukrainy, Rady Bezpieczeństwa Narodowego i Obrony Ukrainy, Służby Bezpieczeństwa Ukrainy, Ministerstwa Obrony, Ministerstwa Spraw Zagranicznych Ukrainy, Ministerstwa Transformacji Cyfrowej Ukrainy i CERT-UA  oraz Wydziału Polityki Bezpieczeństwa i Obrony w Europejskiej Służbie Działań Zewnętrznych, Dyrekcji Generalnej ds. Sieci Komunikacyjnych, Treści i Technologii; Agencji UE ds. Bezpieczeństwa Sieciowego i Informacyjnego (ENISA), CERT-EU oraz Grupy Wsparcia Komisji Europejskiej dla Ukrainy (SGUA).  Wsparcie ze strony UE i jej instytucji ma charakter niemilitarny, dotyczy głównie zabezpieczenia funkcjonowania krytycznych usług publicznych i infrastruktury krytycznej Ukrainy.

Czy zatem Ukraina otrzymuje wsparcie w ramach wojskowych operacji w cyberprzestrzeni? Oczywiście, że tak, ale jeśli spytać kogokolwiek o oficjalne potwierdzenie, słychać będzie raczej energiczne zaprzeczenia, aczkolwiek… Dowódca US CYBERCOM gen. Paul Nakasone niby przypadkiem napomknął, że CYBERCOM prowadziło ofensywne operacje w cyberprzestrzeni przeciwko Rosji, we wsparciu Ukrainy. 

„Przeprowadziliśmy serię operacji w pełnym spektrum; operacje ofensywne, defensywne [i] informacyjne”.

Gen. Nakasone potwierdził również, że USA dzielą się z Ukrainą danymi wywiadowczymi również w zakresie tzw. „Cyber threat intelligence”, czyli danych na temat zagrożeń w cyberprzestrzeni:

„Możliwość dzielenia się tymi informacjami, upewnienia się, że są dokładne, aktualne i nadają się do wykorzystania na szerszą skalę, była bardzo, bardzo istotna w tym kryzysie”

Dowódca CYBERCOM wspomniał jednakże, iż oficjalnie bagatelizowane przez stronę ukraińską rosyjskie ofensywne operacje w cyberprzestrzeni, mają jednak destruktywny potencjał i potrafią być wykorzystywane przez stronę rosyjską we wsparciu operacji konwencjonalnych. Ale o publicznie ujawnionych rosyjskich operacjach cybernetycznych przeciwko Ukrainie nieco później (niezbyt wiele informacji w tej kwestii zostało upublicznionych). Kwestię amerykańskiego zaangażowania w operacje cybernetyczne wspierające Ukrainę podsumować może kolejny cytat z wypowiedzi gen. Nakasone:

„W U.S. Cyber Command robimy trzy rzeczy: bronimy sieci, danych i systemów uzbrojenia należących do Departamentu Obrony. […] Zapewniamy też wsparcie dowódcom sił połączonych, takim jak US  EUCOM. Uniemożliwiamy dostęp, degradujemy i zakłócamy. Wykrywanie, obrona, zakłócanie i odstraszanie – wszystko to robimy w trakcie naszych operacji.”

Skoro wiemy już, że Ukraina nie działa w cyberprzestrzeni sama, to należy zauważyć, że brak jest zweryfikowanych informacji wskazujących na to, że chińskie jednostki wyspecjalizowane w operacjach w cyberprzestrzeni (głównie jednostki o rzekomych numerach 61398 i 61486) miałyby aktywnie wspierać rosyjskie operacje w cyberprzestrzeni przeciwko Ukrainie, choć ich aktywność raczej nie zmalała w ostatnim czasie i w dalszym ciągu prowadzą aktywne działania cyberszpiegowskie (i nie tylko).  Być może dość chłodny stosunek Pekinu do rosyjskiej agresji na Ukrainę w połączeniu z kalkulacjami dotyczącymi osłabienia Rosji wskutek wojny z Ukrainą skłaniają władze ChRL do powściągliwości w tym zakresie. 

Strona rosyjska w operacje w cyberprzestrzeni angażuje nie tylko wyspecjalizowane jednostki wojskowe związane z wywiadem wojskowym. Rosyjskie cywilne służby specjalne (SWR i FSB) powiązano nie tylko z grupami haktywistów działającymi w Rosji, ale również ze zorganizowanymi grupami przestępczymi działającymi zarówno na terenie Federacji Rosyjskiej, jak i poza nim.  F-Secure zidentyfikowała powiązania FSB z grupą Cozy Bear (wcześniej znaną jako APT29 czy „The Dukes„). Korzystanie z grup przestępczych czy haktywistów do prowadzenia tzw. „state-sponsored hacking” czyli działań hakerskich sponsorowanych przez państwo jest częstym modus operandi rosyjskich służb jako element działań hybrydowych (nie „wojny hybrydowej”, bo celem działań hybrydowych jest utrzymanie się poniżej progu wojny), ponieważ utrudnia atrybucję (możliwość przypisania odpowiedzialności podmiotowi państwowemu) i ułatwia tzw. „plausible deniability”, czyli możliwości względnie wiarygodnego zaprzeczenia, że władze państwowe stały za określonymi działaniami.

Wiemy już (częściowo) kto i z kim, czas opisać jak i dlaczego. 

Nie powinno szczególnie dziwić, iż nie słychać za bardzo o spektakularnych sukcesach którejkolwiek ze stron wojny w działaniach w cyberprzestrzeni. I to nie tylko dlatego, że pewne względy warunkują „ciszę w eterze” na ten temat (o czym będzie w ostatniej części). Prawda jest taka, że ofensywne zdolności do działań w cyberprzestrzeni to creme de la creme działalności „wojowników cybeprzestrzeni”. Ich rozwijanie jest kosztowne, praco- i czasochłonne, a użycie często trudne i ograniczone do jednego razu. Niektóre ofensywne „cybernarzędzia” będą jednorazowego użytku, bo po ich wykryciu przeciwnik „załata” podatności, przeanalizuje sposób działania exploita, jego „wektory ataku” i odpowiednio poprawi zabezpieczenia, w tym możliwości wykrywania prób nieautoryzowanego dostępu do systemu czy sieci. Często więc takie ofensywne zdolności są trzymane jak przysłowiowy as w rękawie, na okoliczność przeprowadzenia skutecznego „ataku” przeciwko celowi o znaczeniu strategicznym, tzw. High Pay-off Target (HPT) i nie będzie się ich używało do atakowania celów o znaczeniu taktycznym, których porażenie możliwe będzie środkami konwencjonalnymi, przynajmniej w otwartym konflikcie zbrojnym. W działaniach hybrydowych użycie narzędzi „cybernetycznych” może być bardziej opłacalne ze względu na wspomniane wcześniej problemy z atrybucją i rozmywanie odpowiedzialności.

Zatem gros działań obu stron w cyberprzestrzeni sprowadza się do rozpoznania, wywiadu (w tym OSINT – Open Source Intelligence), ewentualnie prób penetracji sieci przeciwnika w celu ekstrakcji informacji, bądź jej zniszczenia. Intensywnym operacjom w cyberprzestrzeni nie sprzyja też relatywnie niewielkie „usieciowienie” używanych przez obie strony systemów uzbrojenia, z których najliczniejszymi są wciąż przedstawiciele sowieckich, analogowych technologii z ubiegłego stulecia. Co nie znaczy oczywiście, że technologie cyfrowe i sieciowe nie są obecne na polach bitew wojny ukraińsko-rosyjskiej (bo są), a obie strony chwaliły się np. skutecznym przejmowaniem kontroli nad UAV przeciwnika, zwłaszcza tymi komercyjnymi, wykorzystującymi cywilne technologie do ich sterowania.

Strona ukraińska na dość szeroką skalę prowadzi kampanię tzw. „doxingu”, czyli pozyskiwania i publikowania dokumentów rosyjskich żołnierzy, która budzi pewne kontrowersje z perspektywy prawa międzynarodowego, szczególnie jeśli wiąże się z ujawnianiem personaliów, czy miejsc zamieszkania członków rodzin rosyjskich żołnierzy. Szczególnie kontrowersyjny jest „doxing” w odniesieniu do całych jednostek , które stacjonowały w miejscu popełnienia prawdopodobnych zbrodni wojennych, stawiający na równi faktycznych potencjalnych sprawców z żołnierzami, którzy nie mieli z ich popełnieniem nic wspólnego, ponieważ prowadzi do efektywnego stosowania odpowiedzialności zbiorowej wprost zakazanej przez MPHKZ, nie wspominając o publikowaniu danych osobowych członków rodzin, którzy przecież w działaniach zbrojnych nie biorą udziału.

Równie kontrowersyjny jest „doxing” prowadzony przez dziennikarzy śledczych, jak to miało miejsce np. w przypadku ustalenia przez Bellingcat tożsamości rosyjskich żołnierzy odpowiadających za programowanie tras przelotu i celów rosyjskich pocisków manewrujących.

 W raporcie tym okrzyknięto żołnierzy odpowiedzialnych za programowanie rosyjskich pocisków manewrujących zbrodniarzami wojennymi, ale w sposób świadczący o kompletnej nieznajomości MPHKZ, o czym pisałem nawiązując do tego raportu.

https://twitter.com/_LOAC_lawyer/status/1584870253804544003

Podobne wątpliwości dotyczą ujawnienia tożsamości rosyjskich pilotów którzy mieli odpalić pociski Ch-22 na cele w Krzemieńczuku, z których jeden trafił w parking przed centrum handlowym AMSTOR.

https://twitter.com/_LOAC_lawyer/status/1541735125452570624

Przy czym wg raportu Bellingcat zniszczenie centrum handlowego Amstor trudno uznać za zbrodnię wojenną, a najprawdopodobniej było rezultatem użycia nieprecyzyjnego uzbrojenia w postaci pocisków Ch-22.

https://twitter.com/_LOAC_lawyer/status/1541764868516233216

Strona ukraińska dość powszechnie wykorzystuje również technologie cyfrowe i powszechny dostęp do smartfonów w celu gromadzenia tzw. taktycznych danych wywiadowczych. Dotyczyło to zarówno dedykowanej aplikacji do przekazywania informacji o ruchach i pozycjach rosyjskich wojsk, jak i do śledzenia używanych przez stronę rosyjską pocisków manewrujących i bojowych UAV, w tym amunicji krążącej. W obu przypadkach pamiętać należy, iż prowadzenie tzw. taktycznego zwiadu przez osoby cywilne (obie strony konfliktu wykorzystywały w tym celu cywilów) naraża te osoby na utratę ochrony przysługującej cywilom.

https://twitter.com/_LOAC_lawyer/status/1563455333711769607?s=20&t=aWqxyKDjwhyKkWFgZFKE5w

Na kwestie te zwracali uwagę również eksperci Instytutu Liebera przy Westpoint i to nawet w odniesieniu do informowania o trasach przelotu rosyjskich pocisków manewrujących czy amunicji krążącej, o czym sam również wspominałem.

https://twitter.com/_LOAC_lawyer/status/1554920926067757056

Nie do pominięcia jest również kwestia wykorzystywania podmiotów komercyjnych do prowadzenia operacji w cyberprzestrzeni, zwłaszcza takich ofensywnych „cyberoperacji”, które wyczerpują znamiona ataku np. zgodnie z kryteriami Podręcznika Talińskiego (śmierć/zranienie/ zniszczenie/uszkodzenie, poważne zakłócenia funkcjonowania infrastruktury krytycznej). W bardzo zwięzły sposób opisał te kwestie jeden z ekspertów Instytutu Liebera, wskazując na konsekwencje podobne do tych dotyczących prowadzenia taktycznego zwiadu przez cywilów. Ale z operacjami w cyberprzestrzeni wiąże się wiele kontrowersji, również w zakresie statusu osób prowadzących „cyberoperacje” w ramach działań zbrojnych, częściowo pokrewnych z tymi dotyczącymi operatorów uzbrojonych (bojowych) bezpilotowców (BBSP/UCAV).

Tu dochodzimy do „wisienki na torcie” (nieco zepsutej, co prawda), czyli rosyjskich operacji w cyberprzestrzeni przeciwko Ukrainie. Pomijając oczywiste kwestie, czyli kampanie dezinformacyjne lub defamacyjne prowadzone przez farmy trolli pod kontrolą rosyjskich służb, tak naprawdę niewiele wiadomo o rosyjskich operacjach sieciowych wymierzonych przeciwko  Ukrainie (znów – przyczyny „ciszy w eterze” omówione zostaną w ostatniej części), ale z tego, co wiemy wyłania się dość ciekawy obraz rosyjskich zdolności do działania w cyberprzestrzeni głównie w zakresie „wojny informacyjnej”, jak to określa się w doktrynie Gierasimowa oraz „przygotowania informacyjnego” pola walki, aniżeli jako faktycznego wsparcia konwencjonalnych działań zbrojnych. W przededniu inwazji strona rosyjska przeprowadziła dość zmasowaną kampanię incydentów przeciwko ukraińskiemu sektorowi usług publicznych i bankowych.

Kampania ta miała na celu najprawdopodobniej wywołanie paniki na rynkach finansowych i podważenie zaufania ukraińskich obywateli do rządu, choć nie da się wykluczyć, że miała również na celu rozpoznanie podatności niektórych serwisów na działania hakerskie czy ofensywne operacje w cyberprzestrzeni. W dniu inwazji doszło również do przeprowadzenia tzw. DDoS (Distributed Denial of Service) na sieć satelitów KA-SAT użytkowanych przez Viasat, w celu ograniczenia dostępności łączności internetowej na części terytorium Ukrainy. Cytowany wcześniej gen. Nakasone w nawiązaniu do tej operacji stwierdził:

„Widzieliśmy to w odniesieniu do ataków na ich systemy satelitarne, trwających prób wymazywania danych, destrukcyjnych ataków na ich procesy rządowe. To jest ta część, która myślę, że czasami umyka opinii publicznej”.

ERRATA: Dzięki informacjom przekazanym od zaprzyjaźnionego specjalisty Kamila Bojarskiego koryguję, że nie był to DDoS, a Targeted Denial of Service czyli ukierunkowana operacja wymierzona w użytkowników modemów satelitarnych dostarczanych przez Viasat, co dość szczegółowo opisał portal Zaufana Trzecia Strona. Za nieświadome wprowadzenie w błąd P.T. czytelników przepraszam i jeszcze raz dziękuję Kamilowi Bojarskiemu za sprostowanie.

Ale jak to, cywilne satelity celem wojskowej operacji w cyberprzestrzeni?”, zapyta ktoś. Jak pisałem w wątku na temat ukraińskiej infrastruktury energetycznej, fakt, że dany obiekt jest zasadniczo wykorzystywany do celów cywilnych, ale pełni też częściowo funkcje wojskowe, czyni z danego obiektu potencjalnie dozwolony cel wojskowy zgodnie z MPHKZ i podobnie jest z infrastrukturą komunikacyjną, w tym systemami łączności satelitarnej, nawet jeśli są one operowane przez podmiot komercyjny

Oznacza to też, że przy zachowaniu warunków wynikających z zasad konieczności wojskowej, humanitaryzmu, proporcjonalności i rozróżnienia, nawet satelity StarLink mogą być dozwolonym celem wojskowym, a jeśli podmiot komercyjny udostępnia dane wywiadowcze stronie konfliktu, jak to ma miejsce w przypadku satelitów SAR fińskiej korporacji ICEYE, to musi się liczyć z konsekwencjami uznania urządzeń gromadzących takie dane za dozwolone cele wojskowe.

Czego dowiedzieliśmy się w kwestii „jak i dlaczego”? Przede wszystkim tego, że żadna ze stron nie „chwali się” publicznie swoimi operacjami w cyberprzestrzeni i wiele wskazuje na to, iż mają one ograniczony zakres. Najważniejszy jest chyba jednak wniosek, iż nawet mimo globalnych wzajemnych powiązań sieciowych i trudnych do przewidzenia potencjalnie globalnych konsekwencji „lokalnych” operacji w cyberprzestrzeni, konwencjonalnej wojny nie da się wygrać tylko w cyberprzestrzeni, a zdolności w tym zakresie budowane na czas „P” mogą mieć ograniczoną przydatność w czasie faktycznego konfliktu, zwłaszcza, jeśli w użyciu są znaczne ilości „nieusieciowionego” uzbrojenia pochodzącego z „czasów analogowych”.

W trzeciej, ostatniej części próba analizy ciszy panującej wokół operacji w cyberprzestrzeni towarzyszących konwencjonalnym działaniom zbrojnym.


Udostępnij artykuł
Tagged

2 thoughts on “„Spokojnie, to tylko cyberatak”, czyli czemu wojna na Ukrainie nie toczy się tylko w cyberprzestrzeni.

  1. After reading your article, it reminded me of some things about gate io that I studied before. The content is similar to yours, but your thinking is very special, which gave me a different idea. Thank you. But I still have some questions I want to ask you, I will always pay attention. Thanks.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *