Cyberfrontlinjer i Ukrainakonflikten

Under de första dagarna efter att Ryssland inlett sin kampanj i Ukraina befarade Illia Vitiuk och hennes kollegor det värsta: Kievs kollaps.

Vitiuk, chef för cyberavdelningen inom Ukrainas säkerhetstjänst (SBU), landets högsta kontraspionagestyrka, sa att han hade bekämpat ryska hackare och spioner i åratal. Men den 24 februari 2022 fick SBU en annan uppgift. De var tvungna att flytta servrar och kritisk teknisk infrastruktur från Kiev för att skydda dem från ryska attacker.

”Missiler träffade Kiev och folk skyndade sig att evakuera staden. Vi försökte kontakta några myndigheter och förvaltare av kritisk infrastruktur men fick ibland svar som ’systemadministratören är bortrest eftersom hans familj är i Bucha och han måste få ut dem från Bucha’”, mindes Vitiuk.

"Kiev riskerade att bli omringat", fortsatte han. "Så vi behövde flytta de viktigaste databaserna och hårdvaran från Kiev."

I slutändan, tack vare Vitiuk och hans experter på ”cyberkrigföring”, kunde ryska hackare inte förstöra Ukrainas digitala infrastruktur under konfliktens tidiga dagar.

Ukraina har dock drabbats av en serie cyberattacker, upp till nästan 3 000 fall i år, enligt Vitiuk.

Tillsammans med missil- och drönarattacker har cyberoperationer utförda av ryska hackare avsevärt försvagat Ukrainas infrastruktur, särskilt dess elnät. Ryska hackare har också fått tag på känslig information för att stödja Moskvas kampanj.

Från och med omkring december 2021 har cyberattackerna från Ryssland ökat så dramatiskt att många inom den privata sektorn befarar att det värsta tänkbara scenariot är på väg.

Ungefär samtidigt reste representanter från US Cyber ​​Command till Kiev för att hjälpa till att inspektera viktiga komponenter i Ukrainas cyberinfrastruktur som de sa skulle vara "i centrum för attacker", sa Vitiuk.

"Och det är precis vad som hände", sa han och tillade att USA också tillhandahöll hårdvara och mjukvara som den ukrainska regeringen fortfarande använder idag för att skydda sin cyberinfrastruktur.

Ryssland använde sedan ett antal cyberattackverktyg mot cirka 70 ukrainska myndigheter och stängde ner dussintals myndighetswebbplatser. De påstod sig ha infiltrerat Diia, en digital applikation som används av ukrainare för att lagra dokument, samt en rad andra onlinetjänster. I februari 2022 attackerade ryska hackare finansiella tjänster för att få ukrainare att tro att de inte kunde komma åt sina pengar i en nödsituation.

Vitiuk sa att det verkade som att de ryska hackarna "testade och förberedde sig för något stort" vid den tidpunkten.

Natten den 23 februari 2022, strax innan konflikten bröt ut, blev läget mer spänt än någonsin. ”Vi började uppleva en serie cyberattacker”, sa Vitiuk. ”Vi var tvungna att stå emot den psykologiska kampanj de lanserade.”

Några av attackerna slog ner ViaSat, det satellitkommunikationssystem som användes av den ukrainska militären vid den tiden. Eftersom Ryssland inte kunde stoppa de ukrainska väpnade styrkorna från att kommunicera med varandra, sa Vitiuk att de verkade ha kallat in alla cyberstyrkor som stod till sitt förfogande, med måltavlor mot mediebolag, telekommunikationsleverantörer och lokala myndigheters och ministeriers webbplatser.

"Från allra första början var det tydligt för oss att de försökte använda alla trumfkorten de hade på handen", sa han.

För Ukraina var den största utmaningen under den perioden att samordna med cybersäkerhetsexperter inom myndigheter och andra viktiga organisationer, av vilka många hotades av artillerield. Det var då SBU började flytta servrar från Kiev.

På frågan om de första attackerna hade någon bestående inverkan sa Vitiuk att endast ett fåtal system skadades och att en liten mängd data stals.

"Inga större system skadades", sa han. "Vi arbetar dygnet runt. Vi löste problemet ganska snabbt."

Efter blitzkrieg-operationens misslyckande sa Vitiuk att SBU hade observerat ryska hackare som ändrade taktik, främst med syftet att samla in underrättelser och störa elnäten.

"Sedan i somras har de förstått att den här konflikten kommer att bli längre och att de måste gå vidare till något mer allvarligt", sa han.

Enligt Vitiuk har Ryssland också försökt infiltrera Ukrainas militära operationsplaneringssystem, inklusive Delta-plattformen. SBU släppte nyligen en detaljerad rapport om hur ryska militära underrättelseofficerare i frontlinjen försökte ta Android-surfplattor som använts av ukrainska officerare för att hacka sig in i Delta för att samla in underrättelser, samt den ukrainska militärens användning av Starlink mobilkommunikationsutrustning från miljardären Elon Musks SpaceX.

På så sätt skulle Ryssland kunna lokalisera några av de Starlink-anslutna enheterna och bättre rikta in sig på dem för missilangrepp.

SBU hävdar att de framgångsrikt har blockerat Rysslands tillgång till Delta och liknande program, men Vitiuk medger att de ändå har förlorat en del information.

När konflikten bröt ut anmälde sig nästan alla i Ukraina frivilligt, donerade pengar eller arbetade direkt med regeringen för att stödja striderna. Bland dem fanns IT-arbetare.

Många arbetar som deltidskonsulter för myndigheter, medan andra tar en mer praktisk roll. Den mest framträdande är IT-armén, som har stöttats av Ukrainas ministerium för digital transformation sedan konfliktens början. Gruppen har främst fokuserat på att utveckla programvara och verktyg för civila att utföra överbelastningsattacker (DoS) mot ryska mål, och på att utveckla automatiserad programvara för att hjälpa regeringen att samla in underrättelser.

I arbetet deltar grupper som den ukrainska cyberalliansen, Hackyourmom, ett projekt som startats av den ukrainska cybersäkerhetsentreprenören Nykyta Kynsh, och Inform Napalm, en webbplats som är dedikerad till att undersöka läckt data och identifiera ryska hackare.

Många grupper tillkännager sina aktiviteter offentligt, men andra verkar mer i hemlighet.

Ändå varnar cybersäkerhetsexperter för att attacker som utförs av volontärer, som ibland uppstår slumpmässigt och ofta inte har någon bestående effekt, kan göra mer skada än nytta för hemliga operationer.

Trots oron menar Vitiuk att alla färdigheter som volontärer har är värdefulla i viss mån. ”Det är som att skydda vårt territorium online”, säger han. ”Det är vårt jobb att övervaka och lära känna våra volontärer, att vägleda dem eller ge dem råd om hur de kan utföra sitt arbete mer effektivt.”

När Vitiuk fick frågan om det framtida cyberhotet från Ryssland förutspådde han att attackerna skulle fortsätta med samma intensitet som förra året, särskilt nu när vi går in i vinter.

Attackerna skulle kunna bli mer sofistikerade, men att öka intensiteten skulle vara en utmaning för Ryssland eftersom dess nuvarande pool av skickliga specialister är begränsad. ”De behöver fler människor”, sa Vitiuk.

Vitiuk sa att SBU fokuserar på att förbereda sig för vintern och samarbetar med energiministeriet och andra experter för att skydda elnätet baserat på lärdomar från förra året.

Trots alla deras framgångar behöver de fortfarande hjälp för att fortsätta stärka kritisk infrastruktur, erkände han, ett behov som är särskilt brådskande på lokal nivå där resurserna är begränsade.

Vid en nyligen genomförd konferens i Estland uppmanade Vitiuk cybersäkerhetsföretag att komma till Ukraina för att hjälpa till att bedöma landets behov, från teknisk infrastruktur till hårdvara och mjukvara, och att skicka utrustning direkt istället för att överföra pengar.

Han uttryckte oro över korruptionen i landet. ”Vi behöver inga pengar. Vi behöver ett system som är så transparent som möjligt”, betonade han.

Vitiuk tror att även efter att konflikten är över kommer cybersäkerhet att förbli ett stort fokus. ”Nya doktriner kommer att skrivas och tillämpas baserat på vad som hände i Ukraina, baserat på våra erfarenheter”, sa han.

Vu Hoang (enligt NPR )