A XXI. században a háborúk már nem korlátozódnak kizárólag a fizikai térre, hanem ma már a kibertérben is legalább olyan mértékű és jelentőségű háború zajlik. A 2016. júliusában Varsóban tartott csúcstalálkozóján a NATO hadszíntérré nyilvánította a kiberteret, mely beigazolta az addigi véleményeket, álláspontokat, miszerint a kibertér kiemelt jelentőséggel bíró színtere az államok között kialakult konfliktusokban, diplomáciában. Ebből kifolyólag a mai modern világban a katonai műveletek megkerülhetetlen színterévé vált a kibertér, melynek köszönhetően a különböző műveletek egyszerre több dimenzióban, több területen képesek futni, ezért sokan hibrid hadviselésnek nevezik a mai modernkori hadviselés formáját.

Fontos megjegyezni, hogy a kibertámadások számában és intenzitásában növekedés tapasztalható az elmúlt években, melynek egyik legnagyobb oka az, hogy a mai napig nincs teljes mértékben letisztázva, jogszabályokban rögzítve, hogy milyen tevékenységet lehet végezni a kibertérben és mely az a határ, amikor már kibertámadásról, kiberhadviselésről beszélhetünk. A hadviselésről alkotott képet elsőként az Észtország ellen, 2007-ben indított kibertámadás alakította át végérvényesen, amikor is (feltehetően) Oroszország megtámadta és megbénította Észtország közigazgatási rendszerét a kibertéren keresztül. Ez a támadás volt az, amikor is a közvélemény megismerhette, megtapasztalhatta, mi mindent el lehet érni egy kibertérből indított támadással és mi mindenre lehet képes egy összehangolt kibertámadás. Az első katonai konfliktus, mely hibrid formában ötvözte a kiberteret, illetve a hagyományos értelemben vett fizikai teret, a 2008-ban kirobbant orosz-grúz háború tekinthető. Az orosz hackerek még a fizikai térben kirobbant fegyveres konfliktus előtt támadásokat intéztek grúz állami weboldalak ellen, melynek célja az volt, hogy rombolják a grúz állam megítélését a külföldi államok vonatkozásában. A támadások mellett a másik cél a lakosság dezinformálása, félretájékoztatása volt, melyet a kommunikációs csatornák blokkolásával igyekeztek elérni. Fontos kiemelni, hogy Grúzia akkoriban nem rendelkezett fejlett informatikai hálózattal, ezért ezek az információs műveletek nem tudtak akkora kárt okozni, mint mondjuk Észtország esetében, mely rendkívül fejlett informatikai kiépítettségéről volt ismert.

A kibertámadások alkalmazása ma már szinte minden állam eszköztárában megjelenik. Ennek egyik legfőbb oka, hogy a nehéz bizonyíthatóság miatt bárki könnyedén letagadhatja azt, hogy kibertámadásban vett volna részt vagy adott ki rá parancsot, mely egyfajta kockázatmentességet biztosít a támadó fél számára. Nincs ez másként a 2022. február 24.-én kirobbant orosz-ukrán háború vonatkozásában sem, ahol a hagyományos értelemben vett szárazföldi és légi katonai műveletek mellett a kibertérben is fokozott háború zajlik az államok között. Fontos tisztázni, hogy a két állam között korábban is történtek kiberbiztonsági incidensek, támadások. Elég csak megemlíteni a 2016-ban elterjedt NotPetya nevű rosszindulatú programot, melyet sokan az orosz állam által támogatott kibertámadásnak tartanak. Ennek a zsarolóvírusnak az elsődleges célpontja Ukrajna, azon belül a különböző kormányzati és pénzügyi szervek voltak, azonban a kártékony program az egész világon éreztette hatását a Pennsylvaniától egészen a Tasmániáig. A rosszindulatú program mechanizmusa úgy működött, hogy a megfertőzött eszközön az adatokat letitkosította és bizonyos összegért cserébe-melyet az esetek nagy többségében kriptovalutában kértek a támadók- feloldották (jobb esetben) az adatokon lévő titkosítást. A zsarolóvírus által elért kár becslések szerint meghaladta a 10 milliárd dolláros határt, mely jól reprezentálja, hogy a kibertérből milyen mértékű károkat lehet okozni, melyre minden olyan állam vagy állam által támogatott hackercsoport képes lehet, amely rendelkezik megfelelő kibertámadási kapacitással és infrastruktúrával.

A hibrid háború megértéséhez fontos tisztázni, hogy milyen eszközökkel vívják a kiberháborút a szemben álló felek, illetve mit is értünk pontosak kibertér és kiberhadviselés alatt. A kibertér definícióját a 1139/2013. évi (III. 21.) Korm. határozat Magyarország Nemzeti Kiberbiztonsági Stratégiája elég pontosan meghatározza, miszerint „A kibertér globálisan összekapcsolt, decentralizált, egyre növekvő elektronikus információs rendszerek, valamint ezen rendszereken keresztül adatok és információk formájában megjelenő társadalmi és gazdasági folyamatok együttesét jelenti”. A kiberhadviselés fogalmának meghatározása a katonai terminológiában következőképpen hangzik: „olyan összehangolt és koordinált tevékenységeket takarnak, amelyek a műveleti biztonság, a katonai megtévesztés, a pszichológiai műveletek, az elektronikai hadviselés és a számítógép-hálózati műveletek különböző akcióival támogatják a harc sikeres megvívását”.

Egy kiberháborúban az első szakasz mindig az információszerzés, amikor is a támadó fél információkat gyűjt a kiválasztott célpont felépítéséről, sebezhetőségeiről. Ez azért is szükséges és fontos, hogy a megindított kibertámadás minél nagyobb eséllyel sikerrel tudjon végbe menni. Manapság a leginkább alkalmazott és elterjedt információszerzési technika a nyílt forrású hírszerzés vagy más néven Open Source Intelligence (a továbbiakban: OSINT). Ennek az információszerzési módszernek a lényege, hogy a támadó fél olyan oldalakból, adatbázisokból, újságokból vagy más nyílt forrásból gyűjt információkat a célpontról, melyek bárki számára ingyenesen hozzáférhetőek. Az orosz-ukrán konfliktusban is nagy szerepet játszik az OSINT, melyet mindkét fél alkalmaz. Ennek eklatáns példája az ukrán kormányzati Diia nevű alkalmazás, mely lehetővé teszi az állampolgárok számára, hogy földrajzi címkével ellátott képeket és videókat küldjenek el az orosz csapatok mozgásáról.

Egy támadás a megismert sebezhetőségekre, sérülékenységekre épít, mely számos módszerrel kivitelezhető. Egyik legelterjedtebb támadási forma rosszindulatú csatolmányok, linkek küldése social engineering technikával ötvözve. Ez a támadás az emberi sebezhetőségre (minden elektronikus információs rendszerben a leggyengébb láncszem az ember) épít, mely, ha sikerül rászednie az adott célpontot, a csatolmányra vagy linkre kattintva a kártékony program lefut, illetve hamis weboldalra irányítja a felhasználót. Ennek számos formája ismert, többek között lehet zsarolóvírus (ransomware), trójai program, kémprogram (spyware) vagy hitelesnek látszó fake weboldalra történő átirányítás.

A másik igen gyakran alkalmazott támadási módszer a túlterheléses vagy szolgáltatásmegtagadással járó támadás (Denial of Service), illetve, ha több számítógép használatával történik, akkor pedig elosztott túlterheléses támadás (Distributed Denial of Service). Manapság az utóbbi a jellemzőbb, melyet többek között a fentebb már említette Észtország ellen is alkalmaztak 2007-ben. A támadási módszer mechanizmusa, hogy ha a támadónak sikerül zombihálózatot kiépítenie- zombi hálózat alatt megfertőzött számítógépek összességét értjük- akkor nagyobb erőforrással képes végrehajtani a támadást. A megfertőzött számítógépek felett általában rosszindulatú programok (malwarek) segítségével veszik át az irányítást a támadók. A zombihálózatot egy zombiszerver koordinálja, mely képes akár több millió számítógépet egyidőben irányítani. A támadás fő célja a nevéből adódóan egy adott digitális szolgáltatás (weboldal, online portál) hozzáférhetetlenné tétele a felhasználók számára. Ezt a két kibertámadási módszert szemléltetésképpen ismertettem azzal a céllal, hogy milyen szofisztikált kivitelezésű és számú módszer áll rendelkezésre egy kiberháború elindításához, lefolytatásához.

A jelenleg is zajló háborúban az orosz kibertámadások elsődleges célpontjai már nem az ukrán kormányzati és pénzügyi elektronikus információs rendszerek, sokkal inkább az ukrán egészségügyi ágazat. Ennek legfőbb oka, hogy az oroszok az ukrán egészségügyi rendszer megtöréséből számos olyan adat, információ kinyerhető, mely a katonai műveletek vonatkozásában relevánsak és fontosak lehetnek. Ilyen adat lehet például az, hogy a háború megkezdése óta (melyet az oroszok mai napig különleges katonai műveletnek neveznek) hány ember veszítette életét, mennyi ember szenved betegségben, az ország mely régióiban volt kiemelkedően nagy az emberveszteség. Ezen információk tudatában az orosz katonai erők (mely az ukránok esetében is igaz lehet) jobban képesek felmérni azt, hogy az adott fronton hozzávetőlegesen mekkora katonai ellenállásra számíthatnak, mely óriási előnyt jelenthet a tervezésben, mint harcászati, mint hadműveleti szinten egyaránt.

Az orosz-ukrán konfliktus kiváló esettanulmányként szolgál arra, hogy bemutassa miként használja mindkét hadviselő állam műveleteiben a modernkori technológiákat, eszközöket. Mindkét fél számára nagyon fontos a saját narratívájának erősítése, hihetővé tétele. Erre kiváló eszközként szolgálnak a közösségi platformok, melyek kiváló lehetőséget biztosítanak bármely állam számára, hogy az általuk megalkotott híreket, információkat juttassák el az emberek számára. Ez azonban azzal a következménnyel jár, hogy a háború menetének objektív megítélése szinte lehetetlen feladat, hiszen mindkét fél a saját szubjektív véleményét mutatja be a külvilág számára, melyek szinte mindig óriási különbségeket mutatnak egymáshoz viszonyítva. Ebből kifolyólag szinte lehetetlen feladat megállapítania egy felhasználónak a hatalmas mennyiségű híranyagból, hogy mi tekinthető valós, hiteles információnak és mi a hamis hír. A közösségi oldalak ilyen célú használata már korábban is megfigyelhető folyamat volt, elég csak megemlíteni például a 2016-os amerikai elnökválasztást, amikor is álhírek terjesztésével próbálták befolyásolni az választás kimenetelét. A közösségi platformok használata összefoglalva tehát kiválóan alkalmas az álhírek terjesztésére, a dezinformálásra, mely a kiberhadviselés fontos eszközeként funkcionál mindkét fél vonatkozásában.

A kiberhadviselésben az álhírek, a dezinformálás mellett kiemelt szerep jut az állami kiberkatonáknak, illetve az állam által támogatott hackercsoportoknak. A félreértés elkerülése végett fontos tisztázni, hogy egy kiberkatona hivatásszerűen, a hadsereg tagjaként, legálisan látja el a feladatát, míg egy hacker vagy hackercsoport sok esetben illegálisan hajtja végre az adott állam által rájuk kiszabott tevékenységet. Az államok ezeket a hackercsoportokat a legtöbb esetben a háttérből irányítják, pénzelik, mivel ezen csoportok nyílt támogatása nem lehetséges jogszabályi vagy etikai okok végett. A hackercsoportok jellemzője, hogy általában Advanced Persistent Threat (a továbbiakban: APT) jellegű támadásokat hajtanak végre, melynek fő ismérve, hogy nem egyből hajtja végre a rosszindulatú tevékenységet, hanem a rendszerben megbújva, hosszabb idő elteltével fejti ki a hatását. Egy ilyen jellegű támadásnak számos célja lehet az anyagi haszonszerzéstől az adatszerzésen át a kémkedésig széles körben alkalmazható. Az APT támadások folyamatosan fennálló, fejlett támadást jelentenek, melyek a legtöbben esetben nem véletlenszerűen, hanem előre kiválasztott célpont ellen irányulnak.

Mindkét hadviselő fél esetében beszélhetünk APT jellegű csoportokról vagy hackercsoportokról, amelyek támogatják a szembenálló feleket. Ukrán oldalon a legismertebb hackercsoport az Anonymous, mely nyíltan az ukránok mellet áll a kiberháborúban. Az Anonymous tagjai világszerte, globálisan megtalálhatóak, mely decentralizáltan működő aktivistaközösségként funkcionál. Ezt kihasználva a hackercsoport a háború kitörése után közvetlenül kampányolni kezdett, hogy a kiberharcosai támadják meg Oroszország információs rendszereit. A támadások fő célpontjai orosz kormányzati weboldalak (köztük a Russia Today hírszolgálat), valamint az oroszvédelmi minisztérium weboldalai voltak. Az Anonymous már korábban, a 2014-es krími konfliktusban is indított hasonló volumenű DDoS támadásokat Oroszország ellen, melynek akkor ugyancsak az volt a célja, hogy offline állapotba helyezzék az orosz állami weboldalakat. Ismertebb csoportok még az AgainstTheWest, illetve a fehérorosz Cyber Partisans, melyek Ukrajnát támogatják.

Orosz oldalon is számos APT csoport jelen van a háborúban. A kettő, talán legismertebb csoport a Cozy Bear (más néven APT 29) és Fancy Bear (más néven APT 28). A két APT csoport legfőbb célja az orosz állami érdekek előmozdítása. A hackercsoportok kiemelt célpontjai között szerepelt korábban Ukrajna, Grúzia, Németország és az Egyesült Államok. Legismertebb támadásaikat 2016-ban hajtották végre, amikor kibertámadást indítottak a Demokrata Nemzeti Bizottság ellen, melynek célja az amerikai elnökválasztás eredményének befolyásolása volt. A Fancy Bear csoport már korábban is intézett kibertámadást Ukrajna, azon belül annak tüzérsége ellen, melynek célja az ukrán hadsereg meggyengítése volt. A Fancy Bear az orosz katonai hírszerzési szolgálat (GRU) kiberkémkedési egységeként hajtja végre támadásait. A Cozy Bear csoport a Fancy Bear csoporttal szemben nem katonai, sokkal inkább civil egységként működik. Hozzájuk köthető többek között a FireEye elleni kibertámadás, melyben a Fancy Bear csoport is érintett volt. Természetesen ezen csoportokon kívül számos más hackercsoport részt vesz orosz oldalon is a kibertérben történő hadviselésben. Az egyik legismertebb ezek közül a Conti nevű csoport, mely számos nagy volumenű ransomware támadást végrehajtott a közelmúltban.

Összességében megállapítható tehát, hogy a mai modern hadviselésben a kibertérnek megkerülhetetlen szerepe van, mely a jövőben nagy valószínűséggel tovább fog erősödni. A kibertérből eredő támadások számának növekedése újabb konfliktusokhoz vezethetnek az államok között, melynek elhárítása és diplomáciai úton történő rendezése nagy kihívást fog jelenteni a jövőben bármelyik ország számára.

Ésik Béla írása.

Ebben a témában közzétett korábbi cikkeink ide kattintva érhetők el.

A cikkben szereplő képek a flickr.com-ról származnak.