Myśleliśmy, że Rosja odpali cyberbombę na miarę wipera (niszczącego pliki złośliwego oprogramowania) nazwanego NotPetya, który w 2017 roku poprzez popularne oprogramowanie księgowe zaatakował ukraińskie firmy i administrację, wymazując ogromne ilości danych. Robak ten, samodzielnie kopiując się i rozprzestrzeniając, wydostał się później poza granice Ukrainy i zainfekował sieci firm na całym świecie, w tym m.in. giganta transportowego Maersk i logistycznego FedEx, kasując pliki na serwerach, niszcząc setki tysięcy komputerów i powodując szkody szacowane na 10 miliardów dolarów.

Ale tym razem cyfrowej apokalipsy nie było. Po sześciu miesiącach od inwazji niewiele z tych lęków się zmaterializowało. 

Przewodniczący komisji Senatu USA do spraw wywiadu Mark Warner przyznał nawet, że jest "zdziwiony, iż [Rosjanie] nie sięgnęli po żadną poważną broń ze swojego cyberarsenału".

Tysiąc cyberataków

Rosyjscy hakerzy oczywiście przeprowadzali ataki typu DDoS (ang. distributed denial-of-service) na ukraińskie instytucje, starając się tymczasowo zablokować ich usługi, i próbowali się włamywać, ale nie na skalę, której spodziewaliśmy się na początku konfliktu.

Do tego rosyjskie wojsko, którego działania mieli wspierać hakerzy, okazało się zupełnie "nie z przyszłości" - z nieodpowiednio zabezpieczoną (zaszyfrowaną) komunikacją, którą Ukraińcy zagłuszali heavy metalem.

Czy przeszacowaliśmy możliwości Kremla w cyberprzestrzeni? Czy może Ukraina, po latach bycia "laboratorium" Rosji do testowania cyberbroni, teraz lepiej przygotowana, skutecznie się broni? I, podobnie jak w wojnie konwencjonalnej, została w tej sferze zlekceważona przez większego przeciwnika?

- Szczerze mówiąc, jedno i drugie. Nasza sieć okazała się odporna. Jesteśmy obiektem rosyjskich ataków od 2014 roku, więc odrobiliśmy już swoją lekcję - ocenił w rozmowie z tvn24.pl wiceminister transformacji cyfrowej Ukrainy Heorhij Dubinski.

- W 2015 i 2016 roku doświadczyliśmy ataków na naszą infrastrukturę energetyczną, mieliśmy dwa blackouty [podczas pierwszego hakerom udało się odciąć od prądu około 230 tysięcy osób, podczas drugiego, w środku wyjątkowo mroźnej zimy - około 1/5 mieszkańców Kijowa - red.]. Wdrożyliśmy wtedy strategię cyberbezpieczeństwa, którą realizują nasze rządowe agencje, przede wszystkim Państwowa Służba Łączności Specjalnej i Ochrony Informacji. W 2017 roku uderzył w nas NotPetya - z tego też dużo się nauczyliśmy, wzmocniliśmy naszą sieć i zabezpieczyliśmy infrastrukturę. Wyciągnęliśmy wnioski i wiemy już, jak się bronić. Od początku inwazji przetrwaliśmy ponad tysiąc cyberataków, z których tylko kilka było skutecznych. Żaden nie miał poważniejszych konsekwencji dla funkcjonowania naszej administracji i nie był nawet odrobinę tak skuteczny i destrukcyjny jak NotPetya - dodał.

"Bój się i czekaj na najgorsze"

Walka w cyberprzestrzeni zaczęła się jeszcze przed inwazją, w styczniu i lutym - hakerzy przeprowadzali wtedy masowe ataki DDoS polegające na sztucznym pompowaniu ruchu w sieci z wielu komputerów na ukraińskie banki i kluczowe ministerstwa, próbując przeciążyć ich serwery, żeby normalni użytkownicy nie mogli z nich korzystać. 

- Druga fala, 15 i 16 lutego, była szczególnie mocna. Był to największy atak DDoS, z jakim kiedykolwiek się mierzyliśmy. To niemożliwe, żeby "niezależna" grupa cyberprzestępców wynajęła botnet [grupę komputerów zainfekowanych szkodliwym oprogramowaniem - red.] zdolny przeprowadzić taki atak. Musiało to być sponsorowane przez Kreml i było testem penetracyjnym naszej sieci. W momencie inwazji chcieli ją przytłoczyć - opowiada wiceminister transformacji.

W lutym Rosjanie odpalili też złośliwe oprogramowanie - nazwane WhisperGate - przeciwko dwóm ukraińskim agencjom rządowym. Skasowało ono dane z kilku serwerów i tymczasowo wyłączyło dziesiątki stron państwowych.

Na witrynie MSZ w Kijowie hakerzy zamieścili groźbę w trzech językach, w tym pisaną po polsku, przetłumaczoną prawdopodobnie przez automatyczny translator:

"Ukrainiec! Wszystkie Twoje dane zostały przesłane do wspólnej sieci. Wszystkie dane na komputerze są niszczone, nie można ich odzyskać. Wszystkie informacje o Tobie stały się publiczne, bój się i czekaj na najgorsze".

Wiadomość grała też na polsko-ukraińskich zaszłościach. "To dla Ciebie za Twoją przeszłość, teraźniejszość i przyszłość. Za Wołyń, za OUN UPA, Galicję, Polesie i za tereny historyczne" - pisali hakerzy, starając się - z błędami gramatycznymi - winą za cyfrowy sabotaż obarczyć Polaków.

Był to jednak, jak mówili dziennikowi "Washington Post" przedstawiciele ukraińskiej administracji, falstart i słabo skalkulowany atak, który ujawnił luki w zabezpieczeniach systemowych, z których Rosjanie planowali jeszcze skorzystać. Pozwolił Ukrainie zabezpieczyć się przed kolejnymi, podobnymi próbami sabotażu przy użyciu kasujących dane wiperów, gdy zaczęła się inwazja. - Odpalony miesiąc później mógł być jednak katastrofalny w skutkach - przyznaje Victor Zhora, zastępca przewodniczącego Państwowej Służby Łączności Specjalnej i Ochrony Informacji.

ViaSat i awaria turbin wiatrowych w Niemczech

Groźniejszy i wymagający długiego planowania był przeprowadzony w dniu inwazji atak na firmę ViaSat, dostawcę szybkiego satelitarnego internetu. Rosjanom udało się wtedy zakłócić pracę satelity Ka-Sat, z którego korzystały m.in. ukraińskie wojsko, służby i policja. Spowodowało to "poważne problemy w komunikacji na początku wojny".

- To był duży i rzeczywiście bardzo skuteczny cyberatak. Rosjanom udało się na kilka godzin sparaliżować komunikację satelitarną naszego wojska. Przy czym to nie był oczywiście jedyny kanał naszej komunikacji, mieliśmy też zapasowe, dlatego łączność została sprawnie przywrócona - mówi tvn24.pl Jurij Szyhol, szef Państwowej Służby Łączności Specjalnej i Ochrony Informacji.

Incydent wywołał też awarię 5,8 tysiąca turbin wiatrowych w Niemczech (przez ponad miesiąc firma Enercon nie mogła nimi zdalnie sterować) oraz dziesiątek tysięcy modemów satelitarnych w Europie, przede wszystkim w Niemczech, Francji i Polsce - pozbawiając wiele firm i prywatnych klientów dostępu do internetu. 

Serwis Zaufana Trzecia Strona pisał wtedy, że "modemy dla użytkowników są martwe".

Nieudany trzeci blackout

Po stronie ukraińskiej były też znaczne sukcesy, które pokazały, że kraj nabrał doświadczenia w cyfrowej obronie. W kwietniu hakerzy z niesławnej grupy Sandworm (znanej też jako Jednostka 74455, powiązana z rosyjskim wywiadem wojskowym GRU; za informacje o tożsamości członków grupy Departament Stanu USA zaoferował w tym roku 10 mln dolarów) próbowali po raz trzeci (poprzednio w 2015 i 2016 roku) zdestabilizować ukraińską sieć energetyczną.

- Zaatakowali jedną z naszych firm energetycznych, ale Zespół Reagowania na Awarie Komputerowe Ukrainy CERT-UA sobie z tym poradził. Pomogliśmy zatrzymać ich akcję, a później ograniczyć spowodowane szkody - tłumaczy Heorhij Dubinski.

- Próbowali starej sztuczki, którą już znaliśmy. Wykorzystali nieco zmodyfikowany malware [złośliwe oprogramowanie - red.] Industroyer, z którym mieliśmy do czynienia poprzednio w 2016 roku. Udało nam się obronić dosłownie na kilka minut przed odłączeniem prądu w całym regionie w centralnej Ukrainie. Na tym terenie mieszka około 2 milionów ludzi - opowiada Jurij Szyhol.

Cyfrowe odstraszanie?

Niektórzy komentatorzy, jak np. dziennikarz "The Washington Post" Joseph Marks, sugerowali, że Rosja dotychczas mogła być celowo powściągliwa i ostrożna w cyberatakach. Nie sięgała po najcięższe cyfrowe działa w obawie przed eskalacją konfliktu oraz reakcją państw NATO - na podobnej zasadzie, na jakiej nie używa broni jądrowej.

Potężniejsza cyberbroń - jak NotPetya pięć lat temu - mogłaby w niekontrolowany sposób rozprzestrzenić się poza granice Ukrainy, argumentuje profesor prawa międzynarodowego Kristen Eichensehr w artykule "Ukraine, Cyberattacks, and the Lessons for International Law" w "American Journal of International Law". Teoretycznie mogłoby to wciągnąć NATO w konflikt, Sojusz ma bowiem utrwaloną doktrynę, że poważnie destabilizujący cyberatak może uruchomić artykuł 5 Traktatu Północnoatlantyckiego o wzajemnej obronie.

Zdaniem badaczki jest jednak mało prawdopodobne, że Kreml, rzucając tak znaczne siły lądowe przeciwko Ukrainie, nałożyłby sobie ograniczenia w sferze cyfrowej. - Dotychczas sankcje, którymi groził Zachód, niespecjalnie odstraszały Rosję przed eskalacją konfliktu - przekonuje Eichensehr. Mało realne jest więc, że Putin dysponuje jakimś cyberarsenałem, z którego rosyjskie wojsko i służby jeszcze nie skorzystały. 

W cieniu pomagają Amerykanie

Lepszym wyjaśnieniem braku spektakularnych sukcesów Rosji w cyberwojnie z Ukrainą - poza odrobieniem przez Kijów lekcji w odpieraniu ataków - wydaje się to, że Ukraina ma potężnych sojuszników w tej walce. Rosja jest kompetentną siłą w cyberprzestrzeni - jej hakerzy przecież w 2020 roku przeprowadzili jeden z najbardziej wyrafinowanych ataków, infekując popularne oprogramowanie firmy SolarWinds do zarządzania sieciami. Zinfiltrowali wtedy dziesiątki tysięcy firm oraz dziewięć amerykańskich organizacji rządowych.

Ale to Amerykanie pozostają hegemonem w sieci.

Waszyngton współpracował z Kijowem, starając się wzmocnić jego sieć i zabezpieczyć infrastrukturę po blackoutach z 2015 i 2016 roku. W czerwcu szef Dowództwa Cyberprzestrzeni Sił Zbrojnych USA gen. Paul Nakasone, jednocześnie dyrektor National Security Agency, po raz pierwszy otwarcie przyznał, że Stany Zjednoczone przeprowadziły serię ofensywnych i defensywnych operacji cyfrowych w odpowiedzi na rosyjską agresję na Ukrainę.

- Mamy bardzo dobrą współpracę z naszymi partnerami, przede wszystkim ze Stanami Zjednoczonymi. Prowadzimy też szeroki dialog dotyczący cyberbezpieczeństwa z Unią Europejską. Z naszymi sojusznikami wymieniamy się też informacjami wywiadowczymi o cyberatakach - komentuje wiceminister transformacji cyfrowej Ukrainy.

W cyberwojnę mocno włączył się też amerykański sektor prywatny, w tym giganci internetowi, tacy jak Google, który chroni kilkaset ukraińskich stron przed atakami DDoS czy Microsoft, który kilka razy wykrył złośliwe rosyjskie oprogramowanie oraz próby ataków. - Microsoft bardzo pomógł w ochronie naszej infrastruktury krytycznej, dostarczając nam narzędzi i wiedzy eksperckiej o cyberatakach. Nasze agencje do spraw cyberbezpieczeństwa stale wymieniają z firmą informacje - dodaje Dubinski.

Cyberwojna, której nie widać

O wojnie Rosja-Ukraina w cyberprzestrzeni na razie więcej nie wiemy, niż wiemy - i długo tak pozostanie. Walka w sieci spowita jest mgłą, a głośno jest raczej o atakach amatorskich, o bardziej wizerunkowym znaczeniu, nierzadko mających odwrócić uwagę ofiary i opinii publicznej od tych naprawdę groźnych, przeprowadzanych w tajemnicy. W przekazach medialnych bardziej przebijają się też doniesienia o konwencjonalnych walkach - z realnymi ofiarami i spustoszeniem kraju - niż tych przeprowadzanych zza klawiatury. 

- Przeceniliśmy możliwości Rosji w cyberprzestrzeni, ta wojna to zweryfikowała, ale też w ostatnich dekadach przeszacowaliśmy, jakie cyberataki są w ogóle możliwe do wykonania. Spodziewaliśmy się cyberwojny rodem z filmów science fiction, ze spadającymi gromami z jasnego nieba i wybuchającymi od złośliwego oprogramowania elektrowniami atomowymi. To zawsze był mit i nie dziwi mnie, że nie widzieliśmy tego typu destabilizujących i szkodliwych działań w Ukrainie - ocenia Thomas Rid, profesor amerykańskiego Uniwersytetu Johnsa Hopkinsa i autor wydanej niedawno w Polsce książki "Wojna informacyjna". 

Jego zdaniem w cyberwojnie skupiamy się nie na tym, co trzeba - najbardziej skuteczne ataki hakerskie polegają na cyberszpiegostwie i z założenia pozostają ukryte. Ich celem jest długoterminowe pozyskiwanie wrażliwych informacji o wrogu (i wykorzystywanie ich później na przykład w propagandzie), dlatego o tych najbardziej wyrafinowanych i podstępnych długo nie usłyszymy. Do tego wiele z nich nie zostanie ujawnionych, bo zarówno dla sprawcy, jak i ofiary korzystne będzie zachowanie tego w tajemnicy.

Cyberwojna będzie więc rozgrywać się po cichu, pod powierzchnią i w tle konfliktu, najczęściej poza radarem mediów, a jej najważniejsze rozdziały i główni aktorzy mogą zostać opisani przez ekspertów dopiero lata po konflikcie. Jeśli w ogóle do tego dojdzie.