Hackeři versus Putin. ‚Kyberprostor je dalším bitevním polem,‘ říká reportérka

Jano, jakou roli hrají v největším vojenském konfliktu na území Evropy od konce druhé světové války hackeři a hackerské skupiny?
Velmi zásadní, protože se vlastně potvrzuje to, co NATO určilo už roce 2016 - tedy že kyberprostor další bitevní pole. A opravdu se to děje.

Máme informace o tom, že se hackerská scéna třeba nějakým způsobem rozdělila, že někteří hackeři pomáhají Ukrajině, další skupina hackerů pomáhá Rusku. To znamená, i ta hackerská skupina je jaksi polarizovaná. A na sociálních sítích také rapidně stoupl počet příspěvků o kyberútocích - mluví se o DDoS útocích na webové stránky, narušuje se televizní vysílání. Máme ale také informace o velkých cílených kyberútocích, které mají spojitost s válkou. Já jsem se třeba nedávno věnovala útoku na běloruské železnice.

Mají ho na svědomí takzvaní kyberpartyzáni. Tobě se podařilo, pokud vím, spojit s jejich mluvčí. Jak k tomu došlo? A víme, co přesně je to za skupinu?
Je to běloruská hacktivistická skupina, to znamená, jsou to hackeři aktivisté, kteří nesouhlasí se současným režimem prezidenta Lukašenka. A ten jejich útok na běloruské železnice nebyl první. Už v minulosti uskutečnili několik útoků. Já jsem na to narazila na Twitteru, tady na tuto skupinu Cyberpartyzans z Běloruska. Oni mají i v popisku na svém twitterovém účtu, že mají mluvčí, což mi přišlo zajímavé. Takže jsem si rozklikla účet té mluvčí a normálně jsem jí napsala přes Twitter - dobrý den, že jsem novinářka z Českého rozhlasu a že by mě zajímaly podrobnosti tady o tom útoku, o co vlastně jde a spojila se se mnou…

Takže my víme, jak se ta paní jmenuje.
Ona vystupuje pod svým normálním jménem Yuliana Shemetovesová a je zajímavé, že dokonce studovala dva roky tady v Praze, takže mě pozdravila na začátku česky, což mě trošku vykolejilo. Nicméně, teď je mluvčí této skupiny, ale není v Bělorusku, je ve Spojených státech, je ovšem normálně dohledatelná i ve veřejných zdrojích. Dá se najít její fotografie. S tou jsme se spojili a ona mi vyprávěla, jaké vlastně byly motivace této skupiny, jak ta skupina funguje a co se stalo.

Popisovala mi motivaci této skupiny a proč se rozhodli na ty železnice zaútočit.

Popisovala, že si dávali pozor na to, aby neohrozili bezpečnost cestujících. A říkala, že Běloruské železnice jsou velmi špatně zabezpečené, že to IT zabezpečení je tam velmi špatné, takže nebyl opravdu problém se jim probourat do jejich sítí. A že měli možnosti udělat daleko větší škody. Ale nakonec se rozhodli ty vlaky jen zpomalit a upozornit, že tam jsou - dát tam ten ransomware. V žádném případě to nemělo ovlivnit třeba signalizační zařízení na těch železnicích, aby prostě nedocházelo k žádným srážkám vlaků. Takže de facto se vlaky zpožďovaly, protože veškeré automatické systémy, které tam fungovaly, vypadly a vlaky se musely řídit manuálně.

To znamená, že ty Běloruské železnice musely okamžitě nabrat lidi, vlastně takové ty seniory, kteří ještě uměli zacházet s vlaky manuálně a začít je šoupat po železnicích ručně. Což samozřejmě zdrželo dopravu, takže se tvořily velké fronty na nádražích, nefungoval systém pro elektronický nákup jízdenek - všechno to vlastně komplikovalo život na železnici, ale neohrožovalo na životě cestující.

Já jsem se na ten útok samozřejmě ptala přímo i toho dopravce v Bělorusku a ten moc nekomunikoval. Chtěl to poslat e-mailem, což jsem udělala. Na ten už nereagoval. Běloruská ambasáda se mnou sice komunikovala, ale řekla mi, že k tomu nemají co říct a že se mám obrátit přímo na toho dopravce. Z té druhé strany se mi vlastně nepodařilo získat žádné vyjádření.

Zmínila jsi ransomware. Já mám tento pojem v hlavě uložený s rovnítkem nějakého vyděračského viru nebo něco podobného, když tak mě oprav - jak vlastně fungují tyto útoky? Jak přesně byl vlastně proveden i tento útok od té běloruské kyberpartyzánské skupiny? Ona se tedy nějakým způsobem nabourala do toho automatizovaného železničního systému, nebo jak si to mám představit?
Ransomwary obecně fungují tak, že si hacker najde nějakou zranitelnost v systému. Často to není jen samotný ransomware, jsou známé příklady, kdy prostě využijí nějakou jinou možnost, jak se do systému dostat. Třeba úplně jednoduše pošlou e-mail se zavirovanou přílohou, ta oběť si přílohu rozklikne a už si vlastně natáhne ten virus do své sítě. A jestli je ta síť hodně propojená, hodně otevřená, tak se ten virus samozřejmě dostane úplně všude. A to znamená, že ty počítače se zašifrují, že je nemůžete používat, že vám tam najednou prostě vyskočí třeba tabulka “váš počítač zašifrován a pro dešifraci použijte klíč”. A ty klíče samozřejmě nemáte. To znamená, že pokud se takový počítači zašifruje, tak často nezbývá nic jiného, než ho celý přeinstalovat. A pokud máte to štěstí a máte zálohu, tak vlastně to najet znovu ze zálohy. Ale často se ty ransomwary, tedy ty vyděračské viry, samozřejmě soustředí na to, aby zlikvidovaly a zašifrovaly i ty zálohy. Takže jste potom vlastně skončili, přišli jste o data a konec.

Kromě kyberpartyzánů útočí přímo na Rusko v posledních dnech také zdánlivě organizovaná skupina, teď mluvím o Anonymous. Já od tebe ale vím, že to organizované útoky vlastně vůbec nejsou. A Anonymous nejsou ani jakási jednotná skupina. Co o nich víme?
Anonymous je hnutí bez jakékoliv hierarchie, nemají svůj web, nemají svého mluvčího. Nic takového neexistuje. Úplně první zmínky o Anonymous jsou asi z roku 2003. V roce 2006 se o tom začalo daleko více mluvit, protože vznikl film V jako vendeta, kde se začaly používat takové ty známé masky. Je to maska Guye Fawkse, který je spojovaný s neúspěchem a selháním. Podle informací, které máme, to média vlastně špatně pochopila, celé to hnutí, a začala si myslet, že se jedná o nějaké aktivistické hnutí.

Taková ta původní myšlenka úplně nebyla. Hnutí se potom ale takovým způsobem nějak přerodilo, že začali být aktivističtí. A pak jsou samozřejmě známé i nějaké historické akce hnutí Anonymous. Ať už třeba v roce 2012, kdy reagovali na uzavření populárního serveru MegaUpload a útočili na servery FBI nebo Bílého domu nebo v roce 2015 na svém YouTube kanále vyhlásili válku teroristické organizaci Islámský stát.

A vlastně něco podobného zopakovali teď, kdy vyhlásili válku Rusku.

No a jaká je tedy role těchto hackerů právě v té současné kybernetické válce? Jak Rusku škodí? Známe nějaké případy konkrétních útoků?
Určitě se na tu skupinu, na toto hnutí, nedá dívat jako na jednolitou skupinu, jako máme třeba ty kyberpartyzány, kdy se jedná o 30, 35 lidí, kteří se znají a není jednoduché se mezi ně dostat. U těch Anonymous jsou to spíš jednotlivci, kteří se hlásí k tomu hnutí. Co se děje teď je to, že tím, jak je tady to hnutí decentralizované, tak vlastně neexistuje žádné středisko, žádné centrum, žádný šéf.

Hnutí má samozřejmě i několik twitterových účtů a vlastně každému, komu se povede udělat nějaký hackerský útok nebo se o to snaží, tak ho může jakoby přiřknout tady tomu hnutí. To znamená, že to teď to působí, jako že hnutí Anonymous dělá strašně moc útoků a extrémně útočí, ale vůbec to třeba nemusí být členové tohoto hnutí. Nicméně co se děje, o čem víme, tak i ty twitterové účty, které by k tomuto hnutí měly patřit, zveřejňují informace, často DDoS útoky, že se jim podařilo ochromit ruské stránky, ruské weby - ať už jsou to státní nebo nějaké bankovní weby. Údajně se jim daří narušovat například televizní vysílání.

No a potom se zveřejňují samozřejmě i nějaké větší útoky, ale tam je potom problém vůbec ověřit tu pravost. Třeba to, že se jim podařilo napadnout satelity ruské armády, že má být tedy ruská armáda slepá. To je věc, kterou my nejsme vůbec schopni nějakým způsobem ověřit, maximálně to potom vyčíst třeba z kroků té armády, která se bude chovat slepě. A Rusko by toto samozřejmě nikdy nepřiznalo.

DDoS útoky. To je myslím další pojem, který bychom měli nějakým způsobem objasnit. A také je to asi samostatná kapitola v celé té kybernetické válce. Na sociálních sítích se začaly od začátku ruské vojenské invaze organizovat skupiny lidí, kteří mohou přes internet sami způsobit ruským serverům problémy. To jsou tedy ty takzvané DDoS útoky. O co přesně, Jano, jde?
Jde o to, že nějakou stránku zahltíte přístupy. Běžný web je koncipován na nějaký počet lidí, kteří na něj budou chodit. Samozřejmě se to o nějaké desítky procent nadhodnotí, kdyby byl ten web z nějakého důvodu v nějakou chvíli oblíbený, tak aby utáhl to množství návštěv. Čím více ale budete ten web koncipovat, aby mohl obsloužit více lidí, tím to bude dražší. Takže se vám nevyplatí, abyste dělal web, kam se může v jednu chvíli přihlásit sto milionů lidí, pokud jste třeba malá firma nebo úřad. A tady na tom jsou právě založené ty DDoS útoky, že využijí takzvaných botnetů, to znamená počítače přihlášené do jedné sítě, které už byly třeba napadené, které si vytvořily tady takovou síť. To znamená, že já jako uživatel vůbec nemusím vědět, že můj počítač teď útočí na nějaký web, ale využijí prostě kapacitu tohoto počítače. A tady ty botnety mají opravdu třeba sta tisíce počítačů, miliony počítačů v jedné sítí. To znamená, že oni určí, že tady tyto počítače teď všechny najednou začnou navštěvovat jednu stránku a ta stránka samozřejmě nezvládne takový nápor návštěv a spadne. To je vlastně celý princip tohoto útoku.

On není nebezpečný, že by tu stránku úplně navždy vyřadil, on ji nezničí. A jak tento nápor samozřejmě pomine, tak jsou potom ajťáci schopni tu stránku znovu nahodit, stránka potom znovu funguje. Ale ten prvotní nápor je velmi těžké nějakým způsobem odklonit nebo se mu bránit. To znamená že ten útok není kriticky nebezpečný, ale spíš cílí třeba na prestiž nebo na zmatení lidí. Jestli vám přestane fungovat stránka, kterou nutně potřebujete, tak vás to může třeba znervóznit, může vás to znejistit, může vám to zkomplikovat situaci. V současné chvíli jsou známé DDoS útoky třeba na média. Najednou vlastně zavřete pusu médiím, tak že nemohou informovat, což může být problém. Není to úplně kritický problém, ale pokud ty stránky nefungují dny, tak už to problém být může.

A když se na to teď podíváme z té druhé strany. Dokáže Moskva, Kreml ty kybernetické útoky nějakým způsobem odvracet? Byly vlastně, když se zeptám jinak, Rusové na tu válku na digitální frontě připraveni?
Proti DDoS útoku, například jaký jsme zmiňovali, se prostě špatně brání. Tam teď Rusko oznámilo, že by mělo začít nějakým způsobem omezovat internetové služby a to by mohlo nějakým způsobem omezit možnosti tady těch DDoS útoků a tím by vlastně mohly chránit tu svoji infrastrukturu, ty svoje weby, ty svoje stránky. Potom máme informace i naopak ne o obraně Ruska, ale o útocích Ruska. To znamená, že se na tuto válku připravovali. Máme informace o tom, že v předvečer zahájení té války ukrajinskou infrastrukturu napadl virus Viper. A to byl virus, který neměl za cíl vydělat peníze. Neměl za cíl něco zašifrovat a vydírat tu oběť, ale měl za cíl zničit veškeré počítače, operační systémy tak, aby to ani po restartování vlastně nefungovalo. Měl za cíl úplně ochromit infrastrukturu v Ukrajině. To bylo v předvečer tady té války.

A my nevíme, jestli mají Rusové tento útok na svědomí?
Za prvé je velmi brzo na někoho ukazovat prstem a za druhé je to často velmi těžké, takže se to s jistotou říci nedá. Když jsem se na druhou stranu bavila například s odborníky z ESETu, kteří tady tento útok popisovali, tak říkali - no a když se na to podíváte, komu tento útok vlastně prospěje? Ten takzvaný vektor útoku, tedy odkud jde, prostě směřuje na to Rusko.

S ruskými hackery je z dřívějška spojována řada útoků v západních zemích. My víme o tom, že ruská hackerská scéna je poměrně silná, známá. Jak silná je ale teď? Víme třeba o nějakých útocích, které byly v České republice?
Spojené s válkou.

Hm..
Co se týká České republiky, tak víme o tom, že jak eskaloval problém mezi Ukrajinou a Ruskem třeba už od ledna, tak postupně rostl počet spamů – fishingu. To jsou útoky, které jsou plošné, které nejsou cílené, které nemusí být až tak nebezpečné. Tady se ale bavíme třeba o zašifrovaných e-mailech a tak dále. Víme, že počet těchto útoků rapidně narůstá a s vypuknutím války dále roste. Že by ale byl konkrétní velký útok, cílený útok na nějakou infrastrukturu v České republice, to znamená, že bychom zaznamenali útok na nějakém ministerstvu, úřadu, elektrárnu, cokoliv takového, tak to není minimálně veřejné. N

emáme ale žádné informace o tom, že by se to dělo. Národní úřad pro kybernetickou a informační bezpečnost už na konci ledna vydal nejdříve upozornění, že kvůli eskalaci konfliktu, tehdy ještě konfliktu, tak může docházet ke kyberšpionážím, může docházet k DDoS útokům například i právě na média a může prostě docházet k více kybernetickým útokům. Potom, jakmile válka vypukla, tak už vydal varování. Varování v podání NÚKIBu, tedy toho kyber úřadu, už je právně závazné.

NÚKIB vydal varování, které mělo být ne, že se něco děje, ale upozorňoval, že se něco může dít a že ta pravděpodobnost, že se něco stane, je velmi vysoká. Ale opět, že se to samozřejmě týká té války mezi Ruskem a Ukrajinou. Tento týden Kyberúřad vydal seznam incidentů, to znamená seznam nahlášených napadení, seznam hlášených vážnějších kyberútoků, které mu ale hlásí pouze ty instituce, ty úřady nebo nemocnice, které spadají pod kybernetický zákon. Nemusí to dělat každý člověk. Když mě někdo hackne, tak já to nebudu hlásit NÚKIBu. Ale pokud by někdo hacknul ministerstvo zahraničních věcí, tak to už je přesně ten incident, který bude NÚKIB evidovat. No a za únor je těchto incidentů 11, což je podprůměr. Není to nic alarmujícího a rozhodně se nedá říct, že je to všechno v souvislosti s válkou na Ukrajině. Takto se to určitě nedá říct.

A žádný z těchto incidentů nebyl velmi kritický. To znamená, že NÚKIB zatím nezaznamenal nějaké kritické útoky na Česko. Ta hrozba tady nicméně je. Upozorňovali mě na to například odborníci z technologické firmy CzechPOINT. Opravdu dává smysl, aby NÚKIB takové varování vydal, protože na to i sám NÚKIB v té zprávě upozorňuje, že zaznamenali skenování sítě, skenování toho, jestli třeba nějaké ministerstvo, nějaký úřad a nějaká státní správa nemá zbytečně zranitelnou věc vystavenou do internetu, kudy by se potom mohli dostat snadněji a napadnout tu instituci.

A víme, proč je ta vlna útoků z ruské strany v Česku zatím podprůměrná a vlastně vůbec ani nevíme o nějakých větších útocích v západní Evropě. Je možné, že ruští hackeři třeba prostě nečekali, že ten vývoj na frontě, teď myslím skutečně na Ukrajině, bude takový, jaký je a třeba - teď to řeknu možná banálně, zaspali tu válku?
Je to už všechno na úrovni spekulací. Tady si můžeme víceméně spekulovat, co chceme.

Ale oproti těm útokům, které třeba hackeři podnikají pod tou značkou Anonymous - vlastně nechci říct, že to je nic, ty útoky o kterých víme z ruské strany - ale rozhodně to není tak silná vlna..
Není tak silně medializovaná. Tady je určitě velký problém, že tady máme to dobro a to zlo. To znamená, že v této chvíli Rusko představuje to zlo a Ukrajina to dobro. A pokud se zveřejní nějaký kybernetický útok, úspěšný kybernetický útok z Ukrajiny na Rusko, tak je samozřejmě daleko více medializovaný, daleko více podporovaný na sociálních sítích. To je jedna věc. Takže si myslím, že to částečně může vycházet i z toho, že máme přehled spíš o této straně. Já si myslím, že lidé v Rusku budou mít pocit, že Rusko hackersky brutálně útočí na západní svět, na Ukrajinu, že tam ty informace budou asi trošku jiné. A druhá věc je, že je možné, že se Rusko momentálně soustředí opravdu jen na Ukrajinu a že je pro ně důležité teď napadat pouze tu Ukrajinu. Což neznamená, že pokud by se třeba nějaký stát více angažoval v pomoci Ukrajině, že se nestane terčem. Ale toto je pořád všechno v rovině spekulací.

Jano, díky moc, žes nás vzala na digitální frontu.
Rádo se stalo.