Od prije šest mjeseci scenarij prema kojem velika industrijalizirana država napadne susjeda u fizičkom svijetu i digitalnoj sferi više nije samo teoretska mogućnost.

Ipak, čini se kako se kibernetički napadi na ukrajinsku infrastrukturu koji su prethodili i odvijali se usporedno s ruskom invazijom tek trebaju pokazati uspješnijima od pokušaja osvajanja Kijeva na brzinu i postavljanja marionetskog režima.

Ukrajinci i njihovi saveznici na Zapadu imali su priliku iz prve ruke proučavati kako Rusi koriste zlonamjerni softver u ratne svrhe.

Osam godina iskustva

Rusija je s digitalim napadima na Ukrajinu krenula još prije osam godina, kad su njene postrojbe prešle granicu u znatno manjem broju. Njihov je zlonamjerni softver od tada u više navrata nadograđen, pri čemu je dobio i izgubio pojedine značajke.

Recimo, rana izdanja obitelji malwarea BlackEnergy, isporučena e-poštom putem napada spear-phishing, zlorabila su ranjivosti nultog dana u Microsoftovom setu programa Office.

Rusi su ih koristili kako bi preuzeli nadzor nad ključnim ukrajinskim infrastrukturnim sustavima. Između ostalog, ostavili su 23. prosinca 2015. godine oko 225 tisuća ljudi bez struje na oko šest sati, kao i koristili alate za brisanje čvrstih diskova i firmwarea na daljinu kako bi nestanak električne energije što dulje potrajao.

Godinu dana kasnije skupina Sandworm, iz koje je ponikao BlackEnergy, upogonila je Industroyer, zlonamjerni softver koji je mogao sabotirati sustave automatski nakon što bi ušao u računalnu mrežu napadnute infrastrukture.

Ali, taj je napad 17. prosinca 2016. isključio svjetla tek u pojedinim dijelovima Ukrajine na samo sat vremena.

Pomoć izvana i malo sreće

Ovogodišnju rusku invaziju na Ukrajinu pratilo je dramatično povećanje aktivnosti razvojnih programera zaduženih za izradu zlonamjernog softvera. Otkriveno je barem sedam različitih programa koji su pokušali brisati važne ukrajinske podatke na daljinu.

No, do tada su Ukrajinci već skupili godine iskustva u otkrivanju i ublažavanju ruskog zlonamjernog softera. Stoga je treći napad na elektrodistributivnu mrežu, izvršen 8. travnja alatom Industroyer2, bio najmanje uspješan dosad.

Osim iskustva prikupljenog tijekom višegodišnjeg odmjeravanja snaga s Rusima, Ukrajincima su pomogle informacije i upozorenja tvrtki kao što su ESET i Microsoft, američkog tijela Cybersecurity and Infrastructure Security Agency i tima Computer Emergency Response, smještenog u Ukrajini.

Imali su i ponešto sreće - Rusi su, čini se, zaboravili kako se petkom u Ukrajini radi kraće, pa su početak napada namjestili za vrijeme kad je većina ciljanih radnih stanica već bila isključena.

Napadi su nastavljeni, ali bez značajnijih uspjeha. Tri značajnija ukrajinska web odredišta ciljana su DDoS napadima, koji su bili odbijeni.

Najvažnije mjere obrane

Ključne mjere za obranu trebale bi biti:

• razdvajanje mreža koje upravljaju ključnim softverom od manje važnih
• zaštita ključnih korisničkih računa višestupanjskom provjerom (uz korištenje USB ključeva)
• stalna obuka osoblja zaduženog za računalnu sigurnost.

Stručnjake je iznenadilo to što ruske vlasti nisu nastavile aktivnosti s kojima su započele napad na Ukrajinu.

Procjenjuje se kako Rusija nije pokrenula sav arsenal kibernetičkog ratovanja kojim raspolaže zbog toga što zazire od napada na vlastite ključne infrastrukturne sustave, piše Fast Company.