Ukrajinski rat i na prvim linijama, i u cyber svijetu

Iako se od početka ruske agresije na Ukrajinu pre dve godine u javnosti i medijima širom sveta najčešće izveštava i govori o napadima na civilnu infrastrukturu, kršenju pravila ratovanja, te ugrožavanju šire bezbednosti u Evropi napadima na nuklearna postrojenja, ovaj sukob se vodi u još jednom, jednako bitnom aspektu – putem računarskih mreža i interneta.

Stručnjaci smatraju sukob u Ukrajini i prvim pravim sajber ratom u istoriji, budući da obe strane intenzivno koriste različite tehnike za napade na kompjutersku infrastrukturu protivnika.

Kako ugasiti svjetla u Kijevu

Krajem 2022, ruski raketni napadi su velikim delom bili usmereni na uništavanje ili onesposobljavanje ukrajinske mreže za snabdevanje električnom energijom. Uporedo sa raketnim, trajali su i sajber napadi, sa do tada neviđenom softverskom tehnologijom. Mandiant, kompanija za sajber bezbednost koja je deo giganta Google, prva je detektovala do tada neviđeni oblik veoma razornog računarskog virusa. Virus je bio tako dizajniran da napada pre svega ICS kontrolne sisteme u industriji, kao i operativne sisteme u prenosu električne energije (Operational Technology for Energy, OTE). Ovo je „na terenu“ prvo dovelo do kvara na kompjuterskim sistemima koji kontrolišu same transformatorske stanice velike snage, što je dalje dovelo do domino-efekta i kvarova na nižim trafostanicama, i na kraju, prestanka snabdevanja električnom energijom u Kijevu i okolini.

Ono što je stručnjake Mandianta, kao i analitičare američke Agencije za sajber bezbednost (CISA), iznenadilo je bila sofisticiranost samog napada, kao i tehničke mogućnosti kompjuterskog virusa. Sam virus je bio delimično zasnovan na „porodici“ sličnog malware koda pod imenom „Caddy Wiper“, koji je i sam derivat starijeg virusa „Hermetic Wiper“. Svi ovi virusi su godinama korišćeni od strane ruskih hakerskih grupa, od kojih su mnoge održavale bliske kontakte sa bezbednosnim službama FSB i GRU. Istraživači sa nemačkog instituta Fraunhofer su čak uspeli i da „rastave“ (back engineer) ovaj virus i došli do informacija da on prilikom napada briše sve korisničke naloge na računaru, kao i da „prebriše“ (eng. wipe, odatle i naziv) sve bitne datoteke koje kompjuterski sistem koristi za komunikaciju sa spoljnim uređajima (u ovom slučaju, kontrolnim sklopkama za uključivanje ili prekid prenosa električne energije). U nekim pogođenim kompjuterima u Ukrajini, virus se pojavljivao i kao „Desert Blade“, koji je brisao sve datoteke na ciljanim sistemima, navodi se na stranici agencije CISA. Nemački institut je i u okviru svoje Malpedia baze podataka objavio i kompjuterski kod čitave ove „porodice“ računarskih virusa.

Američki i ukrajinski stručnjaci su uskoro uspeli da ovaj virus „isprate do kuće“, te otkrili da iza napada stoji hakerska grupa „Sandworm“, što je zapravo online ime za „Jedinicu 74455“ vojne obaveštajne službe GRU. Hakeri iz ove grupe su aktivni još od 2010. pod imenom „Telebots“, dok su nakon 2015. godine koristili ime „Iron Viking“. Iako se ova grupa često dovodi u vezu sa „Fancy/Dancing Bear“, razlika je u tome što su „igrajući medvedi“ civili koji se bave širenjem kompjuterskih malware virusa i phishing krađama podataka. Sa druge strane, „Sandworm“ su deo same službe GRU, koji izvršavaju sajber napade planirane u ruskom vojnom vrhu ili samom Kremlju. Američke službe CISA i FBI zbog toga „Sandworm“ nazivaju „aktivnom stalnim pretnjom“ (Active Persistent Threat, APT), budući da je ona deo zvaničnog državnog i vojnog aparata Ruske Federacije.

Na čelu „Jedinice 74455“ se nalazi verovatno najpoznatiji ruski haker, Sergej Vladimirovič Detistov. On se, sa još petoro svojih podređenih, već tri godine nalazi na crvenoj poternici američkog Ministarstva pravde i agencije FBI. U poternici se navodi da je Detistov „svojim aktivnostima unutar službe GRU odgovoran za čitav niz sajber napada u Ukrajini, Gruziji, Francuskoj i SAD-a“.

Ukrajina uzvraća elektronski udarac

„Sandworm“ hakeri na čelu sa Detistovim nisu jedina grupa koja vrši sajber napade po naređenjima iz Kremlja. Službe FSB i GRU imaju najmanje 15 sličnih grupa, što kao deo „zvanične“ organizacije, što kao labavo povezanih civila kojima je novac glavni cilj „patriotskih online akcija“. „Killnet“, kao jedna od ovakvih grupa čiji su pojedini članovi i deo grupe „Dancing Bear“, u aprilu 2022. godine je izvela niz sajber napada na kompjuterske sisteme u Rumuniji. Napadi su uglavnom bili DDoS tipa, kada se preusmeravanjem internet saobraćaja obaraju ciljane web prezentacije ili cele mreže. Tada su bili oboreni web sajtovi rumunske Vlade, Ministarstva odbrane, Granične policije, kao i nekoliko drugih državnih agencija i službi.

Kijev, sa druge strane, ima nekoliko svojih grupa hakera unutar SBU (Službe državne bezbednosti) i Obaveštajnog direktorata (GUR). Takođe, na internetu je veoma aktivna i „IT Army of Ukraine“ (Ukrajinska sajber armija), formirana nedugo nakon početka ruske agresije. Nju mahom čine volonteri civili, programeri i IT stručnjaci iz svih delova Ukrajine. Oni su podeljeni u ofanzivne i defanzivne sajber grupe, čiji je glavni cilj praćenje aktivnosti ruskih hakera unutar ukrajinskih kompjuterskih mreža. Početkom ove godine, ukrajinski hakeri su napali ruski državni Istraživački centar za hidrometeorologiju, koji zapravo upravlja mrežom satelita za snimanje terena i izviđanje iz orbite Zemlje. Ukrajinski hakeri su trajno onemogućili dalji rad baza podataka ovog centra, bez kojih je nemoguće primati podatke sa 11 satelita. Ove snimke i fotografije su koristili FSB, GRU kao i sam Kremlj za planiranje napada na Ukrajinu, a ukupno je uništeno 280 serverskih sistema, te trajno obrisano čak dva petabajta podataka.

Hakeri unutar službe SBU su takođe početkom ove godine uspešno izvršili napad na ruski internet provajder „M9 Telecom“. Tom prilikom je obrisano oko 20 terabajta podataka, te onemogućen pristup internetu u jednom delu Moskve. Početkom marta hakeri iz službe GUR uspešno su napali servere ruskog Ministarstva odbrane, te došli do „izvornog koda“ (source code) softvera kojeg su ruske službe koristile za enkripciju svojih dokumenata, kao i onih koji se distribuiraju unutar Kremlja i njegovih službi.