Rusia nu a reușit să doboare sistemele informatice ucrainene cu un atac cibernetic masiv atunci când a invadat Ucraina în acest an, în ciuda previziunilor multor analiști. Activitatea unei ramuri puțin cunoscute a armatei americane, care vânează adversarii online, ar putea fi unul dintre motive. BBC a avut acces în exclusivitate la operatorii cibernetici implicați în aceste misiuni globale.
La începutul lunii decembrie a anului trecut, o mică echipă militară americană condusă de un tânăr maior a sosit în Ucraina într-o călătorie de recunoaștere înaintea unei desfășurări mai ample. Dar maiorul a raportat rapid că trebuie să rămână.
„În decurs de o săptămână aveam întreaga echipă acolo, gata să meargă la vânătoare”, își amintește unul dintre membrii echipei.
Veniseră să detecteze ruși online, iar partenerii lor ucraineni le-au spus clar că trebuie să înceapă imediat munca.
„Ea a analizat situația și mi-a spus că echipa nu va pleca”, a declarat pentru BBC generalul-maior William J Hartman, care conduce Forța Națională de Misiune Cibernetică a SUA.
„Aproape imediat am primit feedback-ul că ‘este diferit în Ucraina în acest moment’. Nu am redistribuit echipa, ci am întărit echipa”.
Din 2014, Ucraina a fost martora unora dintre cele mai importante atacuri cibernetice din lume, inclusiv primul în care o centrală electrică a fost oprită de la distanță în toiul iernii.
Uniți împotriva Rusiei
La sfârșitul anului trecut, oficialii serviciilor de informații occidentale urmăreau pregătirile militare rusești și erau din ce în ce mai îngrijorați că un nou viscol de atacuri cibernetice va însoți o invazie, paralizând comunicațiile, energia, serviciile bancare și guvernamentale, pentru a deschide calea pentru preluarea puterii.
Comandamentul cibernetic al armatei americane dorea să descopere dacă hackerii ruși se infiltraseră deja în sistemele ucrainene. În decurs de două săptămâni, misiunea lor a devenit una dintre cele mai mari desfășurări, cu aproximativ 40 de persoane din toate serviciile armate americane, scriu cei de la BBC.
În ianuarie, aceștia au fost în primul rând la fața locului, în timp ce Rusia a început să pregătească în spațiul cibernetic calea pentru o invazie viitoare, în care apărarea cibernetică a Ucrainei va fi pusă la un test fără precedent.
Infiltrarea în rețelele de calculatoare a avut timp de mulți ani ca scop principal spionajul – furtul de secrete – dar, recent, a fost din ce în ce mai mult militarizată și legată de activități mai distructive, cum ar fi sabotajul sau pregătirea pentru război.
Acest lucru înseamnă un nou rol pentru armata americană, ale cărei echipe sunt angajate în misiuni „Hunt Forward”, care cercetează rețelele de calculatoare ale țărilor partenere pentru a găsi semne de penetrare.
„Ei sunt vânători și cunosc comportamentul „prăzii” lor”, explică operatorul care conduce activitatea de apărare împotriva Rusiei.
Armata americană a cerut ca unii operatori să rămână anonimi, iar alții să fie identificați doar cu prenumele lor, din motive de securitate.
Misiuni pe întreaga planetă
Din 2018, operatorii militari americani au fost desfășurați în 20 de țări, de obicei aliați apropiați, în Europa, Orientul Mijlociu și regiunea Indo-Pacific. – deși nu și în țări precum Marea Britanie, Germania sau Franța, care au propria expertiză și este mai puțin probabil să aibă nevoie sau să dorească ajutor extern.
Cea mai mare parte a activității lor a fost lupta împotriva hackerilor de stat din China și Coreea de Nord, dar Rusia a fost cel mai persistent adversar al lor. În unele țări au fost desfășurate mai multe misiuni, inclusiv în Ucraina, unde pentru prima dată atacurile cibernetice au fost combinate cu un război la scară largă.
Invitarea armatei americane în țara dumneavoastră poate fi sensibilă și chiar controversată pe plan intern, așa că mulți parteneri cer ca prezența SUA să rămână secretă – echipele poartă rareori uniformă. Dar, din ce în ce mai mult, guvernele aleg să facă misiunile publice.
În luna mai, Lituania a confirmat că o detașare de trei luni tocmai își încheiase activitatea în rețelele sale de apărare și de afaceri externe, având ca prioritate preocupările legate de amenințările din partea Rusiei în urma invaziei din Ucraina.
Croația a găzduit cea mai recentă desfășurare. „Vânătoarea a fost minuțioasă și de succes, iar noi am descoperit și am prevenit atacuri rău intenționate asupra infrastructurii statului croat”, a declarat Daniel Markić, șeful agenției de securitate și informații a țării.
„Am putut să oferim SUA un nou „teren de vânătoare” pentru actorii rău intenționați și să împărtășim experiența noastră și cunoștințele dobândite”, adaugă el.
Dar declarațiile publice călduroase ascund realitatea că aceste misiuni încep adesea în mod neplăcut.
SUA, cu ochii și pe prieteni, și pe dușmani
Chiar și țările aliate cu SUA pot fi nervoase în a permite SUA să pătrundă în rețele guvernamentale sensibile. De fapt, dezvăluirile făcute de fostul contractor de informații Edward Snowden în urmă cu 10 ani au sugerat că SUA spionează atât prietenii, cât și inamicii.
„Aceasta este o propunere destul de înfricoșătoare dacă ești o națiune gazdă”, explică generalul Hartman. „Ai imediat o anumită îngrijorare că vom face ceva nefast sau că este vorba de un fel de operațiune super-secretă”.
Mai simplu spus, americanii trebuie să își convingă gazdele că sunt acolo pentru a-i ajuta – și nu pentru a-i spiona.
Partenerii locali stau uneori alături de echipele americane în săli de conferință, observând cu atenție pentru a se asigura că nu se întâmplă nimic nepotrivit. „Trebuie să ne asigurăm că transmitem această încredere”, spune Eric, un veteran de 20 de ani în domeniul operațiunilor cibernetice. „Faptul că oamenii stau alături de noi este un factor important în dezvoltarea acestui lucru.”
Și, deși suspiciunea nu poate fi niciodată înlăturată în totalitate, un adversar comun îi unește.
„Singurul lucru pe care acești parteneri îl doresc este ca rușii să iasă din rețelele lor”, își amintește generalul Hartman că unul dintre membrii echipei sale i-a spus.
Oricine poate fi în spatele atacului
Comandamentul cibernetic al SUA oferă o perspectivă asupra a ceea ce pun la cale rușii, sau alții, mai ales că lucrează îndeaproape cu National Security Agency, cea mai mare agenție de informații americană care monitorizează comunicațiile și spațiul cibernetic.
Într-un caz, dovada infiltrării a venit în timp real. Un operator american, Chris, care a condus mai multe misiuni europene, își amintește că a observat pe cineva care se mișca în mod suspect în rețeaua de calculatoare a unei țări partenere.
Ceea ce era bizar era că părea să fie unul dintre administratorii rețelei locale cu care lucra echipa. Persoana respectivă se afla chiar în spatele lui Chris. Ar putea fi vorba de un fel de amenințare din interior?
„Tu ești?” a întrebat Chris.
„Acela este computerul meu, dar jur că nu sunt eu”, a răspuns administratorul, transpus ca și cum ar fi urmărit un film. Cineva îi furase identitatea online.
„Să găsești pe cineva în rețeaua ta nu este un moment bun, mai ales când îți folosește acreditările”, își amintește Chris. Acel moment a transmis realitatea amenințării și, la rândul său, a ajutat la asigurarea unui acces mai mare.
Echipele americane spun că împărtășesc ceea ce descoperă pentru a permite partenerului local să elimine rușii (sau alți hackeri de stat), în loc să o facă ei înșiși. De asemenea, ele folosesc instrumente comerciale, astfel încât partenerii locali să poată continua după încheierea misiunii.
O relație bună poate aduce dividende. La finalul unei misiuni, operatorii americani spun că partenerii locali le-au înmânat un cadou de despărțire – un disc de calculator care conținea software rău intenționat, sau malware, dintr-o altă rețea în care echipa nu intrase.
Fiecare misiune este diferită și există unele în care un adversar a fost găsit chiar în prima zi de căutare, explică Shannon, care a condus două misiuni în Europa. Însă, de multe ori, este nevoie de o săptămână sau două pentru a descoperi hackeri mai avansați, care au săpat mai adânc.
UN joc de-a șoarecele și pisica
În 2021, s-a aflat că rușii au folosit software-ul unei companii numite SolarWinds pentru a se infiltra în rețelele clienților care l-au cumpărat, inclusiv guverne.
Operatorii americani au început să caute urme ale prezenței lor. Un sergent tehnic din cadrul Comandamentului cibernetic căruia îi plăceau puzzle-urile a observat modul în care rușii își ascundeau codul într-o țară europeană, spune generalul Hartman. Descifrându-l, el a putut stabili că rușii se ascundeau într-o rețea. Opt eșantioane diferite de software malițios, toate atribuite serviciilor secrete rusești, au fost apoi făcute publice pentru a permite industriei să își îmbunătățească apărarea.
Vânătoarea nu este un act altruist al armatei americane. Pe lângă faptul că oferă o experiență practică echipelor sale, aceasta poate ajuta și acasă. Într-o misiune, un tânăr operator cibernetic înrolat a constatat că același malware pe care îl descoperise într-o țară europeană era prezent și într-o agenție guvernamentală americană. Statele Unite au întâmpinat deseori dificultăți în identificarea și eliminarea vulnerabilităților pe plan intern, fie că este vorba de industrie sau de guvern, din cauza suprapunerii responsabilităților între diferite agenții, chiar dacă își trimit operatorii în străinătate.
Misiunile Hunt Forward sunt clasificate ca fiind „defensive”, dar generalul Paul Nakasone, care conduce atât Comandamentul cibernetic al armatei, cât și Agenția Națională de Securitate, a confirmat că au fost întreprinse și misiuni ofensive împotriva Rusiei în urma invaziei din Ucraina. Dar el și alții au refuzat să ofere mai multe detalii.
În luna ianuarie a acestui an, echipa din Ucraina a încercat să facă față unei serii de atacuri cibernetice majore. „Temeți-vă și așteptați-vă la ce e mai rău”, scria un mesaj postat de hackeri pe site-ul Ministerului de Externe.
Echipa americană a urmărit în timp real cum un val de așa-numit software de ștergere, care face calculatoare inutilizabile, a lovit mai multe site-uri guvernamentale.
„Au putut să ajute la analizarea unora dintre atacurile în curs și să faciliteze schimbul de informații către partenerii din Statele Unite”, spune generalul Hartman.
Scopul a fost destabilizarea țării înaintea invaziei din februarie.
Premeditarea invaziei
În momentul în care trupele rusești au trecut granița, echipa americană fusese retrasă. Cunoașterea riscului fizic pentru partenerii lor ucraineni care au rămas a cântărit greu pentru ei.
Cu câteva ore înainte de începerea invaziei din 24 februarie, un atac cibernetic a afectat un furnizor american de comunicații prin satelit care susținea armata ucraineană. Mulți au prezis că acesta va fi începutul unui val de atacuri pentru a doborî domenii cheie, cum ar fi căile ferate. Dar acest lucru nu s-a întâmplat.
„Unul dintre motivele pentru care rușii s-ar putea să nu fi avut atât de mult succes este că ucrainenii erau mai bine pregătiți”, spune generalul Hartman.
„Există multă mândrie în modul în care au fost capabili să se apere. O mare parte a lumii a crezut că vor fi pur și simplu călcați în picioare. Și nu au fost”, spune Al, un analist tehnic senior care a făcut parte din echipa de desfășurare ucraineană. „Ei au rezistat”.
Ucraina a fost supusă unor atacuri cibernetice continue care, dacă ar fi avut succes, ar fi putut afecta infrastructura. Dar țara a continuat să se apere mai bine decât se așteptau mulți. Oficialii ucraineni au declarat că acest lucru s-a datorat în parte ajutorului din partea aliaților, inclusiv a Comandamentului cibernetic al SUA și a sectorului privat, precum și propriei experiențe în creștere. Acum, SUA și alți aliați se îndreaptă spre ucraineni pentru a învăța de la ei.
„Noi continuăm să împărtășim informații cu ucrainenii, ei continuă să împărtășească informații cu noi”, explică generalul Hartman. „Aceasta este cu adevărat întreaga idee a acestui parteneriat de durată”.
În condițiile în care oficialii ucraineni și cei din serviciile de informații occidentale își exprimă îngrijorarea că Moscova ar putea răspunde la recentele eșecuri militare prin intensificarea atacurilor sale cibernetice, este un parteneriat care s-ar putea confrunta în continuare cu alte teste.