Hoppa yfir valmynd

Netárásir í Úkraínustríðinu

30. jún. 2023

Þegar allsherjar innrás Rússlands í Úkraínu hófst í febrúar 2022 var talið mjög líklegt að hefðbundnum árásum myndu fylgja fjöldi tölvuárása á úkraínska innviði og jafnvel bandamenn Úkraínu. Árásirnar yrðu á vegum rússneskra stjórnvalda eða hópum hliðhollum þeim. 

Sérfræðingar töldu að Rússar myndu reyna að lama Úkraínu með netárásum meðan á innrássinni stæði. Úkraína hefur verið vinsælt skotmark rússneskra ógnarhópa og orðið fyrir reglulegum tölvuárásum síðan árið 2014, þegar Krímskagi var hernuminn [1]. Árið 2017 varð landið fyrir barðinu á einni stærstu netárás sem framin hefur verið. Rússneskum ógnarhópnum með sterk tengsl við rússnesku ríkisstjórnina tókst að lama daglegt líf í Úkraínu með skrúbb óværu (e. wiper) sem kallast NotPetya [2]. Fjármálakerfi landsins lamaðist, spítalar misstu netsamband sem og flestar ríkisstofnanir í landinu. Óværan fór einnig langt út fyrir landamæri Úkraínu og hafði áhrif á fyrirtæki víða um heim, t.d. danska flutningsfyrirtækið Maersk og heilbrigðiskerfið í Bretlandi. Talið er að heildartap af völdum óværunnar hafi verið í kringum 10 milljarðar Bandaríkjadala [3].

Þó minna hafi farið fyrir tölvuárásum í fréttum af stríðinu en búist var við, hafa þær vissulega átt sér stað. Í raun hófust þær fyrir innrásina því strax 13. janúar tilkynnti Microsoft um óværu sem fannst í fjölda úkraínskra ríkisstofnanna sem og nokkrum góðgerðarstofnunum. Daginn eftir náðu ógnaraðilar stjórn á yfir 70 úkraínskum ríkissíðum. Ráðuneyti stafrænna umbreytinga (e. Ministry of Digital Transformation) í Úkraínu lýsti Rússa ábyrga fyrir árásinni. 

Um miðjan febrúar, ekki löngu fyrir innrás á landi, tókst ógnarhópum að taka niður vefsíður ríkisstofnanna, banka og hindra útsendingu útvarpsstöðvar í nokkra klukkutíma. Fljótlega eftir árásirnar sakaði Bretland fyrst þjóða Rússa um netárásir á Úkraínu til að skapa þar glundroða og hræðslu. Sömu vefsíður og ógnarhóparnir tóku niður urðu fyrir barðinu á skúbb óværunni HermeticWiper þann 23. febrúar, degi fyrir innrás á landi [1].

Klukkutíma fyrir innrásina réðst Rússland á KA-SAT gervihnött sem Úkraínski herinn, ríkisstofnanir og fleiri fyrirtæki treystu á fyrir samskipti yfir internetið. Áhrifin náðu langt út fyrir Úkraínu, meðal annars til Ítalíu, en talið er að allt að tvær milljónir tækja hafi misst netsamband við árásina á KA-SAT. Þó er talið að árásin hafi ekki gefið Rússum það hernaðarlega forskot sem þeir vonuðust eftir [4].

Fyrstu daga innrásarinnar einblíndu rússneskir hakkar sér sérstaklega að ríkisstofnunum auk landamærastöðva til að koma í veg fyrir fólksflótta frá Úkraínu. Stöðugar netáráris hafa verið gerðar á innviði og borgara Úkraínu meðfram hefðbundnum árásum í stríðinu. Úkraínsk stjórnvöld halda því fram að Rússar hafi gert yfir 2000 netárásir á sig yfir árið 2022. Alvarleiki árásanna er misjafn sem og áhrif þeirra á daglegt líf fólks. Hægt er að lesa betur um einstaka árásir á vef CSO og á vef NCSC í Hollandi

Hefðbundnar netárásir eru ekki það eina sem notast er við í hernaðinum. Talið er að djúp fölsun (e. deep fake) hafi verið beitt þónokkrum sinnum. Þann 16. Mars tókst ógnarhópum að birta myndband í beinni dagskrá á ríkissjónvarpsstöðinni Ukraine 24. Myndbandið var djúp fölsun af Volodymyr Zelenskyy, forseta Úkraínu, þar sem hann bað borgara landsins að leggja niður vopn og gangast við vilja Rússlands [5]. Einnig er vitað til þess að reynt hafi verið að nota djúpfalsanir á fjarfundum til að rýra samband Úkraínu og Tyrklands [6].

Netvarnir Úkraínu hafa haldið vel miðað við aðstæður. Má það líklega rekja til stöðugra netárása frá 2014 auk þess sem úkraínsk stjórnvöld kölluðu strax eftir aðstoð netöryggissérfræðinga og létu viðbrögðin ekki á sér standa. Í fyrsta skiptið svo vitað er til eru sérfræðingar í netöryggi virkir þátttakendur í stríðsástandi, á staðnum í Úkraínu og aðstoða þarlend stjórnvöld við netvarnir. 

Í apríl 2022 tilkynntu úkraínsk stjórnvöld að komið hefði verið í veg fyrir netárás Rússa á raforkukerfi Úkraínu [7]. Slóvakíska netöryggisfyrirtækið ESET vann með úkraínskum aðilum að koma í veg fyrir árásina. Síðar var tilkynnt að óværunni sem var beitt var uppfærð útgáfa af óværu sem notuð var í samskonar árásir á raforkukerfi Úkraínu árið 2015 og olli rafmagnsleysi.  

Það hefur vakið eftirtekt hve oft skrúbb óværur hafa verið notaðar á Úkraínska innviði í stríðinu. Þeim er ætlað að eyðileggja gögn á tækjum sem þær sýkja. Þegar slíkum óværum er beitt er eina ætlunarverkið að valda skaða því fjárhagslegur ávinningur af árásum sem þessum er engin. Gefur það einnig vísbendingar um að veigameiri aðgerðarhópar standi að baki árásunum og miklar líkur á beinum tengingum við rússneska ríkið. 

Athyglisvert er að lítið af þessum árásum hafa farið út fyrir landamæri Úkraínu ef frá er talin árásin á gervihnöttinn KA-SAT. Ólíkt því sem gerðist í NotPetya þegar óværan fór víða um heim. Geta verið ýmsar ástæður fyrir því, t.d. að þessar skrúbb óværur séu gerðar til að ráðast aðeins á aðgreint skotmark og ekki gerð til að dreyfa sér, varnir Úkraínu með aðstoð annarra landa og fyrirtækja eru að standa betur af sér þessar árásir eða sitt hvort af báðu. Rússnesk stjórnvöld gætu viljað forðast að skrúbb óværa færist langt yfir landamæri Úkraínu um hræðslu að þá myndi lönd enn frekar styrkja Úkraínu hernaðarlega í stríðinu sjálfu. 

Veigameiri aðgerðarhópar frá Rússlandi hafa einnig ráðist á önnur lönd, sér í lagi aðildarríki NATO. Markmið þeirra árása er alla jafna ekki eyðilegging gagna heldur gagnastuldur. APT29 er þekktastur þeirra ógnarhópa sem nýta sér hnitmiðaðar vefveiðar á erindreka og embættismenn aðildarríkja NATO og Evrópusambandsins [8]. Fjöldi Dreifðra álagsárása hefur verið gerður víðsvegar um Evrópu frá ógnarhópum sem styðja Rússland í stríðinu. Ólíklegt þykir að þessir hópar séu beintengdir rússneska ríkinu. Er markmið þeirra frekar talið vera að vekja athygli á sér og valda usla innan landa sem þeir beina spjótum sínum gegn. 

Ýmsar ástæður geta verið fyrir því að ekki hafi farið meira fyrir stórum netárásum innan Úkraínu eftir innrásina eins og spáð hafði verið. Í grunninn hefur aðstoð sérfræðinga á sviði netvarna með Úkraínu verið með besta móti, slík samstaða á sér enga hliðstæðu í fyrri stríðum. Undirbúningsvinna fyrir netárásir getur oft verið tímafrek og má lítið sem ekkert útaf bregða til að þær heppnist. Samanborið við aðrar hefðbundnari árásir í stríðsástandi er erfitt að tímasetja netárásir svo þær veiti hernaðarlegt forskot. Þar að auki er ekki eins bersýnilegt að netárás hafi skilað tilsettum árangri og sérstaklega ef þær eru bornar saman við annars konar árásir. Það er auðsjáanlegra hvort tekist hafi að sprengja hernaðarlega mikilvægt skotmark í loft upp en hvort netárás hafi haft áhrif á innviði.

Netárásir eru í eðli sínu ósýnilegri en árásir í raunheimum og oftast erfiðara að rekja. Árásaraðilar virðast nýta sér það og ráðast á netumdæmi landa sem þau myndu aldrei ráðast á úr lofti, landi eða sjó. Stríðið í Úkraínu hefur sýnt okkur hvers megnug öflug samstaða í netöryggismálum getur verið. Heilt yfir litið hafa netárásir Rússa á Úkraínu ekki skilað tilsettum árangri. Úkraína hefur komið sér upp góðum netvörnum eftir ítrekaðar netárásir frá 2014 og með aðstoð sérfræðinga frá vinveittum ríkjum hafa þær styrkst enn frekar og viðbragðsgetan aukist til muna. 

Stríð eru háð á mörgum vígstöðvum. Net- og upplýsingaöryggi fær sífellt meiri athygli þegar kemur að milliríkja samskiptum og tilefni til að taka það alvarlega. Netöryggi er vegferð en ekki áfangastaður og viðbragðsaðilar geta ekki sofnað á verðinum meðan árásaraðilar leita nýrra leiða til að ná markmiðum sínum.