„Spokojnie, to tylko cyberatak”, czyli czemu wojna na Ukrainie nie toczy się tylko w cyberprzestrzeni.

Część 2, czyli kto, z kim, jak i dlaczego.

Poprzednia część wpisu próbowała nieco usystematyzować terminologię związaną z operacjami w cyberprzestrzeni, bardziej ogólnie niż w kontekście aktualnie toczącej się wojny ukraińsko-rosyjskiej. Czas na próbę zidentyfikowania aktorów biorących udział w operacjach w cyberprzestrzeni już w konkretnym kontekście tej wojny.

Oczywista oczywistość, cytując dość popularną frazę, że w „cyberoperacje” prowadzone równolegle do konwencjonalnych działań zbrojnych na Ukrainie zaangażowane są podmioty ukraińskie i rosyjskie, zarówno państwowe i niepaństwowe. Ale o nich później.

Najpierw o wsparciu Ukrainy z zewnątrz. Nie jest tajemnicą, że we wzmocnienie ukraińskiej „cyber odporności” (Cyber resilience) mocno zaangażowała się Unia Europejska, w szczególności Służba Działań Zewnętrznych UE (European Union External Action Service – EEAS), która m. in. przekazała 29 mln euro na zwiększenie cybernetycznej i cyfrowej odporności Ukrainy. Z tej kwoty 10 mln euro wykorzystano na sprzęt, oprogramowanie i inne powiązane wsparcie w zakresie cyberbezpieczeństwa, a kolejne 19 mln euro na wsparcie odpornej transformacji cyfrowej. Dodatkowe wsparcie w dziedzinie cyberobrony zapewnia Europejski Instrument na rzecz Pokoju.

Dzięki ścisłej współpracy z UE i innymi międzynarodowymi partnerami w dziedzinie cyberbezpieczeństwa i cyberobrony, Ukraina wykazała duże zdolności do przeciwdziałania wrogim operacjom w cyberprzestrzeni i ochrony swojej infrastruktury krytycznej. Wsparcie w tym zakresie realizowane jest dzięki ścisłej dwustronnej współpracy Państwowej Służby Łączności Specjalnej i Ochrony Informacji Ukrainy, Rady Bezpieczeństwa Narodowego i Obrony Ukrainy, Służby Bezpieczeństwa Ukrainy, Ministerstwa Obrony, Ministerstwa Spraw Zagranicznych Ukrainy, Ministerstwa Transformacji Cyfrowej Ukrainy i CERT-UA  oraz Wydziału Polityki Bezpieczeństwa i Obrony w Europejskiej Służbie Działań Zewnętrznych, Dyrekcji Generalnej ds. Sieci Komunikacyjnych, Treści i Technologii; Agencji UE ds. Bezpieczeństwa Sieciowego i Informacyjnego (ENISA), CERT-EU oraz Grupy Wsparcia Komisji Europejskiej dla Ukrainy (SGUA).  Wsparcie ze strony UE i jej instytucji ma charakter niemilitarny, dotyczy głównie zabezpieczenia funkcjonowania krytycznych usług publicznych i infrastruktury krytycznej Ukrainy.

Czy zatem Ukraina otrzymuje wsparcie w ramach wojskowych operacji w cyberprzestrzeni? Oczywiście, że tak, ale jeśli spytać kogokolwiek o oficjalne potwierdzenie, słychać będzie raczej energiczne zaprzeczenia, aczkolwiek… Dowódca US CYBERCOM gen. Paul Nakasone niby przypadkiem napomknął, że CYBERCOM prowadziło ofensywne operacje w cyberprzestrzeni przeciwko Rosji, we wsparciu Ukrainy. 

„Przeprowadziliśmy serię operacji w pełnym spektrum; operacje ofensywne, defensywne [i] informacyjne”.

Gen. Nakasone potwierdził również, że USA dzielą się z Ukrainą danymi wywiadowczymi również w zakresie tzw. „Cyber threat intelligence”, czyli danych na temat zagrożeń w cyberprzestrzeni:

„Możliwość dzielenia się tymi informacjami, upewnienia się, że są dokładne, aktualne i nadają się do wykorzystania na szerszą skalę, była bardzo, bardzo istotna w tym kryzysie”

Dowódca CYBERCOM wspomniał jednakże, iż oficjalnie bagatelizowane przez stronę ukraińską rosyjskie ofensywne operacje w cyberprzestrzeni, mają jednak destruktywny potencjał i potrafią być wykorzystywane przez stronę rosyjską we wsparciu operacji konwencjonalnych. Ale o publicznie ujawnionych rosyjskich operacjach cybernetycznych przeciwko Ukrainie nieco później (niezbyt wiele informacji w tej kwestii zostało upublicznionych). Kwestię amerykańskiego zaangażowania w operacje cybernetyczne wspierające Ukrainę podsumować może kolejny cytat z wypowiedzi gen. Nakasone:

„W U.S. Cyber Command robimy trzy rzeczy: bronimy sieci, danych i systemów uzbrojenia należących do Departamentu Obrony. […] Zapewniamy też wsparcie dowódcom sił połączonych, takim jak US  EUCOM. Uniemożliwiamy dostęp, degradujemy i zakłócamy. Wykrywanie, obrona, zakłócanie i odstraszanie – wszystko to robimy w trakcie naszych operacji.”

Skoro wiemy już, że Ukraina nie działa w cyberprzestrzeni sama, to należy zauważyć, że brak jest zweryfikowanych informacji wskazujących na to, że chińskie jednostki wyspecjalizowane w operacjach w cyberprzestrzeni (głównie jednostki o rzekomych numerach 61398 i 61486) miałyby aktywnie wspierać rosyjskie operacje w cyberprzestrzeni przeciwko Ukrainie, choć ich aktywność raczej nie zmalała w ostatnim czasie i w dalszym ciągu prowadzą aktywne działania cyberszpiegowskie (i nie tylko).  Być może dość chłodny stosunek Pekinu do rosyjskiej agresji na Ukrainę w połączeniu z kalkulacjami dotyczącymi osłabienia Rosji wskutek wojny z Ukrainą skłaniają władze ChRL do powściągliwości w tym zakresie. 

Strona rosyjska w operacje w cyberprzestrzeni angażuje nie tylko wyspecjalizowane jednostki wojskowe związane z wywiadem wojskowym. Rosyjskie cywilne służby specjalne (SWR i FSB) powiązano nie tylko z grupami haktywistów działającymi w Rosji, ale również ze zorganizowanymi grupami przestępczymi działającymi zarówno na terenie Federacji Rosyjskiej, jak i poza nim.  F-Secure zidentyfikowała powiązania FSB z grupą Cozy Bear (wcześniej znaną jako APT29 czy „The Dukes„). Korzystanie z grup przestępczych czy haktywistów do prowadzenia tzw. „state-sponsored hacking” czyli działań hakerskich sponsorowanych przez państwo jest częstym modus operandi rosyjskich służb jako element działań hybrydowych (nie „wojny hybrydowej”, bo celem działań hybrydowych jest utrzymanie się poniżej progu wojny), ponieważ utrudnia atrybucję (możliwość przypisania odpowiedzialności podmiotowi państwowemu) i ułatwia tzw. „plausible deniability”, czyli możliwości względnie wiarygodnego zaprzeczenia, że władze państwowe stały za określonymi działaniami.

Wiemy już (częściowo) kto i z kim, czas opisać jak i dlaczego. 

Nie powinno szczególnie dziwić, iż nie słychać za bardzo o spektakularnych sukcesach którejkolwiek ze stron wojny w działaniach w cyberprzestrzeni. I to nie tylko dlatego, że pewne względy warunkują „ciszę w eterze” na ten temat (o czym będzie w ostatniej części). Prawda jest taka, że ofensywne zdolności do działań w cyberprzestrzeni to creme de la creme działalności „wojowników cybeprzestrzeni”. Ich rozwijanie jest kosztowne, praco- i czasochłonne, a użycie często trudne i ograniczone do jednego razu. Niektóre ofensywne „cybernarzędzia” będą jednorazowego użytku, bo po ich wykryciu przeciwnik „załata” podatności, przeanalizuje sposób działania exploita, jego „wektory ataku” i odpowiednio poprawi zabezpieczenia, w tym możliwości wykrywania prób nieautoryzowanego dostępu do systemu czy sieci. Często więc takie ofensywne zdolności są trzymane jak przysłowiowy as w rękawie, na okoliczność przeprowadzenia skutecznego „ataku” przeciwko celowi o znaczeniu strategicznym, tzw. High Pay-off Target (HPT) i nie będzie się ich używało do atakowania celów o znaczeniu taktycznym, których porażenie możliwe będzie środkami konwencjonalnymi, przynajmniej w otwartym konflikcie zbrojnym. W działaniach hybrydowych użycie narzędzi „cybernetycznych” może być bardziej opłacalne ze względu na wspomniane wcześniej problemy z atrybucją i rozmywanie odpowiedzialności.

Zatem gros działań obu stron w cyberprzestrzeni sprowadza się do rozpoznania, wywiadu (w tym OSINT – Open Source Intelligence), ewentualnie prób penetracji sieci przeciwnika w celu ekstrakcji informacji, bądź jej zniszczenia. Intensywnym operacjom w cyberprzestrzeni nie sprzyja też relatywnie niewielkie „usieciowienie” używanych przez obie strony systemów uzbrojenia, z których najliczniejszymi są wciąż przedstawiciele sowieckich, analogowych technologii z ubiegłego stulecia. Co nie znaczy oczywiście, że technologie cyfrowe i sieciowe nie są obecne na polach bitew wojny ukraińsko-rosyjskiej (bo są), a obie strony chwaliły się np. skutecznym przejmowaniem kontroli nad UAV przeciwnika, zwłaszcza tymi komercyjnymi, wykorzystującymi cywilne technologie do ich sterowania.

Strona ukraińska na dość szeroką skalę prowadzi kampanię tzw. „doxingu”, czyli pozyskiwania i publikowania dokumentów rosyjskich żołnierzy, która budzi pewne kontrowersje z perspektywy prawa międzynarodowego, szczególnie jeśli wiąże się z ujawnianiem personaliów, czy miejsc zamieszkania członków rodzin rosyjskich żołnierzy. Szczególnie kontrowersyjny jest „doxing” w odniesieniu do całych jednostek , które stacjonowały w miejscu popełnienia prawdopodobnych zbrodni wojennych, stawiający na równi faktycznych potencjalnych sprawców z żołnierzami, którzy nie mieli z ich popełnieniem nic wspólnego, ponieważ prowadzi do efektywnego stosowania odpowiedzialności zbiorowej wprost zakazanej przez MPHKZ, nie wspominając o publikowaniu danych osobowych członków rodzin, którzy przecież w działaniach zbrojnych nie biorą udziału.

Równie kontrowersyjny jest „doxing” prowadzony przez dziennikarzy śledczych, jak to miało miejsce np. w przypadku ustalenia przez Bellingcat tożsamości rosyjskich żołnierzy odpowiadających za programowanie tras przelotu i celów rosyjskich pocisków manewrujących.

Ever wonder how Russian cruise missiles find their way into Ukrainian playgrounds, power stations, and apartment buildings? Well thanks to @bellingcat’s @christogrozev wonder no more. It’s time to meet the team behind the targeting of Russian missiles on civilian infrastructure. pic.twitter.com/HHRrmUE3jQ

— Eliot Higgins (@EliotHiggins) October 24, 2022

 W raporcie tym okrzyknięto żołnierzy odpowiedzialnych za programowanie rosyjskich pocisków manewrujących zbrodniarzami wojennymi, ale w sposób świadczący o kompletnej nieznajomości MPHKZ, o czym pisałem nawiązując do tego raportu.

There's so many variables in the equation that without in-depth knowledge of the decision-making process behind each strike, incl. INTEL used in support of such decision, "issuing verdicts" like this is like trying to read from a crystal ball.https://t.co/W7ZMWBuzyw

— Wieslaw_Gozdziewicz (@_LOAC_lawyer) October 25, 2022

Podobne wątpliwości dotyczą ujawnienia tożsamości rosyjskich pilotów którzy mieli odpalić pociski Ch-22 na cele w Krzemieńczuku, z których jeden trafił w parking przed centrum handlowym AMSTOR.

One more example of determining guilt without a trial. There is so many variables in this equasion, incl. deficiencies of the weapon system and its circular error probable (CEP). There is a difference between hitting a civilian object and directly attacking it. https://t.co/Hs9wwPKZAy

— Wieslaw_Gozdziewicz (@_LOAC_lawyer) June 28, 2022

Przy czym wg raportu Bellingcat zniszczenie centrum handlowego Amstor trudno uznać za zbrodnię wojenną, a najprawdopodobniej było rezultatem użycia nieprecyzyjnego uzbrojenia w postaci pocisków Ch-22.

Update. We now know what was the intended target of the missile strike in Kremenchuk. https://t.co/hjDwXqENQU
The "AMSTOR" Shopping mall is just 500-1000m away from the plant. Highly doubtful, that the mall was struck deliberately. The choice of weapon system used by RUS…

— Wieslaw_Gozdziewicz (@_LOAC_lawyer) June 28, 2022

Strona ukraińska dość powszechnie wykorzystuje również technologie cyfrowe i powszechny dostęp do smartfonów w celu gromadzenia tzw. taktycznych danych wywiadowczych. Dotyczyło to zarówno dedykowanej aplikacji do przekazywania informacji o ruchach i pozycjach rosyjskich wojsk, jak i do śledzenia używanych przez stronę rosyjską pocisków manewrujących i bojowych UAV, w tym amunicji krążącej. W obu przypadkach pamiętać należy, iż prowadzenie tzw. taktycznego zwiadu przez osoby cywilne (obie strony konfliktu wykorzystywały w tym celu cywilów) naraża te osoby na utratę ochrony przysługującej cywilom.

Przykład tego, jak taktyczny zwiad stanowi bezpośredni udział cywila w działaniach zbrojnych, bez ochrony wynikającej ze statusu kombatanta. Gdyby takich taktycznych danych wywiadowyczych dostarczał RUS żołnierz, po schwytaniu korzystałby z ochrony wynikającej z immunitetu… https://t.co/IqaDJlx9Fy

— Wieslaw_Gozdziewicz (@_LOAC_lawyer) August 27, 2022

Na kwestie te zwracali uwagę również eksperci Instytutu Liebera przy Westpoint i to nawet w odniesieniu do informowania o trasach przelotu rosyjskich pocisków manewrujących czy amunicji krążącej, o czym sam również wspominałem.

Aspekt, którego nikt w tym kontekście nie porusza, to bezpośredni udział cywilów w działaniach zbrojnych, który stawia cywilów prowadzących taktyczny zwiad/wywiad na korzyść jednej z walczących strpn w położeniu dozwolonego celu wojskowego bez przywilejów kombatanta…

— Wieslaw_Gozdziewicz (@_LOAC_lawyer) August 3, 2022

Nie do pominięcia jest również kwestia wykorzystywania podmiotów komercyjnych do prowadzenia operacji w cyberprzestrzeni, zwłaszcza takich ofensywnych „cyberoperacji”, które wyczerpują znamiona ataku np. zgodnie z kryteriami Podręcznika Talińskiego (śmierć/zranienie/ zniszczenie/uszkodzenie, poważne zakłócenia funkcjonowania infrastruktury krytycznej). W bardzo zwięzły sposób opisał te kwestie jeden z ekspertów Instytutu Liebera, wskazując na konsekwencje podobne do tych dotyczących prowadzenia taktycznego zwiadu przez cywilów. Ale z operacjami w cyberprzestrzeni wiąże się wiele kontrowersji, również w zakresie statusu osób prowadzących „cyberoperacje” w ramach działań zbrojnych, częściowo pokrewnych z tymi dotyczącymi operatorów uzbrojonych (bojowych) bezpilotowców (BBSP/UCAV).

Tu dochodzimy do „wisienki na torcie” (nieco zepsutej, co prawda), czyli rosyjskich operacji w cyberprzestrzeni przeciwko Ukrainie. Pomijając oczywiste kwestie, czyli kampanie dezinformacyjne lub defamacyjne prowadzone przez farmy trolli pod kontrolą rosyjskich służb, tak naprawdę niewiele wiadomo o rosyjskich operacjach sieciowych wymierzonych przeciwko  Ukrainie (znów – przyczyny „ciszy w eterze” omówione zostaną w ostatniej części), ale z tego, co wiemy wyłania się dość ciekawy obraz rosyjskich zdolności do działania w cyberprzestrzeni głównie w zakresie „wojny informacyjnej”, jak to określa się w doktrynie Gierasimowa oraz „przygotowania informacyjnego” pola walki, aniżeli jako faktycznego wsparcia konwencjonalnych działań zbrojnych. W przededniu inwazji strona rosyjska przeprowadziła dość zmasowaną kampanię incydentów przeciwko ukraińskiemu sektorowi usług publicznych i bankowych.

Kampania ta miała na celu najprawdopodobniej wywołanie paniki na rynkach finansowych i podważenie zaufania ukraińskich obywateli do rządu, choć nie da się wykluczyć, że miała również na celu rozpoznanie podatności niektórych serwisów na działania hakerskie czy ofensywne operacje w cyberprzestrzeni. W dniu inwazji doszło również do przeprowadzenia tzw. DDoS (Distributed Denial of Service) na sieć satelitów KA-SAT użytkowanych przez Viasat, w celu ograniczenia dostępności łączności internetowej na części terytorium Ukrainy. Cytowany wcześniej gen. Nakasone w nawiązaniu do tej operacji stwierdził:

„Widzieliśmy to w odniesieniu do ataków na ich systemy satelitarne, trwających prób wymazywania danych, destrukcyjnych ataków na ich procesy rządowe. To jest ta część, która myślę, że czasami umyka opinii publicznej”.

ERRATA: Dzięki informacjom przekazanym od zaprzyjaźnionego specjalisty Kamila Bojarskiego koryguję, że nie był to DDoS, a Targeted Denial of Service czyli ukierunkowana operacja wymierzona w użytkowników modemów satelitarnych dostarczanych przez Viasat, co dość szczegółowo opisał portal Zaufana Trzecia Strona. Za nieświadome wprowadzenie w błąd P.T. czytelników przepraszam i jeszcze raz dziękuję Kamilowi Bojarskiemu za sprostowanie.

Ale jak to, cywilne satelity celem wojskowej operacji w cyberprzestrzeni?”, zapyta ktoś. Jak pisałem w wątku na temat ukraińskiej infrastruktury energetycznej, fakt, że dany obiekt jest zasadniczo wykorzystywany do celów cywilnych, ale pełni też częściowo funkcje wojskowe, czyni z danego obiektu potencjalnie dozwolony cel wojskowy zgodnie z MPHKZ i podobnie jest z infrastrukturą komunikacyjną, w tym systemami łączności satelitarnej, nawet jeśli są one operowane przez podmiot komercyjny. 

Oznacza to też, że przy zachowaniu warunków wynikających z zasad konieczności wojskowej, humanitaryzmu, proporcjonalności i rozróżnienia, nawet satelity StarLink mogą być dozwolonym celem wojskowym, a jeśli podmiot komercyjny udostępnia dane wywiadowcze stronie konfliktu, jak to ma miejsce w przypadku satelitów SAR fińskiej korporacji ICEYE, to musi się liczyć z konsekwencjami uznania urządzeń gromadzących takie dane za dozwolone cele wojskowe.

Czego dowiedzieliśmy się w kwestii „jak i dlaczego”? Przede wszystkim tego, że żadna ze stron nie „chwali się” publicznie swoimi operacjami w cyberprzestrzeni i wiele wskazuje na to, iż mają one ograniczony zakres. Najważniejszy jest chyba jednak wniosek, iż nawet mimo globalnych wzajemnych powiązań sieciowych i trudnych do przewidzenia potencjalnie globalnych konsekwencji „lokalnych” operacji w cyberprzestrzeni, konwencjonalnej wojny nie da się wygrać tylko w cyberprzestrzeni, a zdolności w tym zakresie budowane na czas „P” mogą mieć ograniczoną przydatność w czasie faktycznego konfliktu, zwłaszcza, jeśli w użyciu są znaczne ilości „nieusieciowionego” uzbrojenia pochodzącego z „czasów analogowych”.

W trzeciej, ostatniej części próba analizy ciszy panującej wokół operacji w cyberprzestrzeni towarzyszących konwencjonalnym działaniom zbrojnym.