Ruska cyber kampanja prelazi na ukrajinske linije fronta

 

S obzirom na to da je glavni cilj ruske očekivane ljetne ofanzive u toku, pravi je trenutak da se sagledaju značajne i nedovoljno cijenjene promjene koje su zavladale u pristupu Moskve cyber operacijama u Ukrajini.

Većina dosadašnjih zapadnjačkih analiza fokusirala se na vrlo vidljivu rusku početnu cyber ofanzivu, prednosti njenog pristupa i potencijal za obnovljenu destruktivnu kampanju slične prirode protiv ukrajinske kritične infrastrukture. Ovaj fokus je, međutim, pogrešno postavljen i usidrio je zapadno razumijevanje kibernetičkih dimenzija rata za rusku strategiju protivvrijednosti za jačanje društvenog pritiska putem široko rasprostranjene sabotaže kompjuterskih mreža – pristup koji nije imao primat od prve godine invazije kada su pretpostavke o kratkom ratu i dalje vodile rusku teoriju pobjede.

Surova stvarnost je da su ruske obavještajne službe prilagodile svoj položaj u cyber prostoru zahtjevima dugog rata. Sve više dokaza, koji sežu do mjeseci koji su prethodili ukrajinskoj kontraofanzivi 2023. godine, ukazuju na to da je više ruskih cyber jedinica pomjerilo fokus sa strateških civilnih ciljeva na vojničke kompjutere i mobilne krajnje tačke,  kako bi dosegnuli taktičke vojne ciljeve na ukrajinskim linijama fronta. Ova promjena u operativnom fokusu bila je sveobuhvatna, pri čemu su ruska vojna obavještajna služba (GRU) i domaća služba sigurnosti (FSB) – dugo poznate po rivalstvu i nepovjerenju – ujedinjavale svoje ranije nepovezane kibernetičke napore i sistematizirale niz adaptacija zanatstva sa ciljem povećanja njihove vojne efikasnosti.

Ovo je bila relativna promjena prioriteta, a ne potpuna revizija šire strategije Rusije. Ostaju obrasci operativnih aktivnosti koji ukazuju na kontinuirani interes za ukrajinske objekte kritične infrastrukture, koji ne bi imali neposrednu obavještajnu vrijednost i stoga vjerovatno predstavljaju pripreme za buduću sabotažu. Ono što je, međutim, jasno je da je Moskva rebalansirala svoj sveobuhvatni koncept operacija, kako bi naglasila ciljeve koji njenim konvencionalnim snagama mogu pružiti direktnije i opipljivije prednosti na bojnom polju.

Ova prilagođavanja nisu samo odraz smanjenih ambicija Rusije u Ukrajini, niti načina na koji se njena šira percepcija centra gravitacije Kijeva promijenila u posljednje dvije godine kako se sukob intenzivirao u iscrpljujući rat. Oni su, također, važan signal o tome kako su ruske obavještajne službe prilagodile svoje razmišljanje o tome kako optimalno integrirati cyber i konvencionalne sposobnosti nakon dvije godine intenzivnog angažmana, i šta bi naredni mjeseci mogli donijeti, dok Rusija vrši novi prodor u istočnoj Ukrajini.

 

Ruski taktički stožer

 

Preusmjeravanje ruske cyber kampanje kako bi se zadovoljilo ono što je gotovo sigurno rastuća potražnja za taktički relevantnim obavještajnim podacima (SIGINT) uglavnom je spalo na nekoliko glavnih pravaca napora.

Osim ciljanih napora da se dobije pristup uređajima i sistemima koje koriste ukrajinski vojnici, Rusija je preusmjerila svoje kibernetičke snage kako bi pomogla u lociranju ukrajinske vojne opreme i položaja.

Prvi su bili prodorni uređaji koje koriste ukrajinski vojnici na frontu. Ne samo da je Kijev naglasak na 'borbi vođenoj podacima' učinio pametne telefone neprocjenjivim izvorom podataka o lokaciji za uspostavljanje obrazaca kretanja, lociranja i ciljanja ukrajinskih položaja, već je i ovisnost vojske o besplatnim šifriranim aplikacijama za razmjenu poruka (EMA), kao što je Signal za sigurno operativnu komunikaciju, učinila je mogućnost prisluškivanja ovih uređaja od najveće važnosti i za GRU i za FSB.

Izazov za Moskvu je to što prikupljanje ovakvih signala nije trivijalan podvig. Kriptografski protokoli koje koriste popularne EMA-e izdržali su rigoroznu kontrolu javnosti i malo je vjerovatno da su ruske službe sposobne da ih tiho razbiju. Malo je vjerovatno da će telefoni na frontu biti povezani na mobilne mreže gdje se geolokacija i drugi signali mogu pouzdano prikupljati putem ugrožene telekomunikacijske infrastrukture ili mogućnosti elektronskog ratovanja. Ovo je navelo obavještajne službe da usvoje nekoliko operativnih koncepata kako bi popunili ovu kritičnu prazninu u prikupljanju podataka.

Jedna od metoda su konvencionalni pokušaji kompromitiranja cijelog uređaja korištenjem zlonamjernog softvera, češće nego prikrivenog u aplikacije koje koristi ukrajinska vojska. Iako ovo zanatstvo nije sasvim novo – GRU je prvi izmijenio ukrajinsku aplikaciju za geolociranje artiljerijskih jedinica 2016. – maskiranje zlonamjernog softvera kao verzija mobilnih aplikacija značajno se povećalo, kao odgovor na kijevski paket vojnih inovacija vođenih softverom. Ove operacije su se generalno oslanjale na visoko prilagođeni društveni inženjering, prenamjenu legitimnih vojnih komunikacija i direktnu interakciju sa ciljevima preko signalnih i telegramskih chatova kako bi se uspostavio odnos prije isporuke zlonamjernih aplikacija.

Drugi noviji metod je bio sifoniranje poruka kroz funkciju povezivanja uređaja ugrađenu u uobičajene EMA. Jedna jedinica povezana sa ruskom vojskom posvetila je svoj fokus društvenom inženjeringu ukrajinskih vojnika u povezivanju slučajeva EMA-a pod kontrolom ruske obavještajne službe, uključujući Signal, Telegram i WhatsApp, sa njihovim računima. Slično fokusirane operacije FSB-a bile su usmjerene na iskorištavanje sistema koji su već povezani sa telefonima ukrajinskih vojnika. Prema Microsoft-u, cyber operateri povezani sa Centrom 16, glavnom SIGINT jedinicom FSB-a, pokazali su poseban interes za krađu datoteka koje sadrže poruke iz aplikacije Signal Desktop, omogućavajući im pristup osobnim razgovorima i prilozima u Signal-u.

 

Na sličan način, GRU je angažiran u eksploataciji mobilnih uređaja i drugih sistema zarobljenih od strane ruskih snaga na bojnom polju iz bliskog pristupa kako bi se postigao sličan pristup. Ovdje su cyber operateri počeli tehnički omogućavati svojim kolegama u ruskoj vojsci da samostalno započnu prikupljanje obavještajnih podataka sa ukrajinskih uređaja.  

Naprimjer, Mandiant istraživanje je naglasilo kako je GRU-ov Glavni centar za specijalne tehnologije (GTsST), poznatiji kao APT44 ili Sandworm, osigurao namjensku infrastrukturu i tehničke upute ruskim kopnenim snagama kako bi mogle eksfiltrirati Telegram i Signal komunikacije iz zaplijenjenih uređaja druge strane. Služba sigurnosti Ukrajine (SBU) je na sličan način izvijestila o Sandwormu koji koristi zaplijenjene uređaje kao uporište za isporuku zlonamjernog softvera poznatog kao Infamous Chisel za prodiranje u vojne mreže i prikupljanje podataka o povezanim Starlink terminalima i paketu specijaliziranih aplikacija koje koristi ukrajinska vojska.  

Još jedna velika linija napora bila je prodor u digitalne sisteme koje ukrajinska vojska koristi za komandu i kontrolu, situacionu svijest i druge operativne potrebe. Nije tajna da su digitalizirani sistemi upravljanja bojnim poljem kao što su Delta i Kropiva bili ključni pokretač informacija i borbenih prednosti za ukrajinsku vojsku. U stvari, Moskva je ove sisteme smatrala toliko efikasnim da je preduzela napore da razvije tačne replike za rusku vojsku. Za razliku od pokušaja isporuke zlonamjernog softvera prerušenog u ove aplikacije radi kompromitiranja krajnjih tačaka, ova kategorija operacija se umjesto toga fokusirala na prevaru vojnika da se odreknu svojih akreditiva, pružajući ruskim službama prikriveni objektiv u zajedničkoj operativnoj slici Kijeva.

Osim ciljanih napora da se dobije pristup uređajima i sistemima koje koriste ukrajinski vojnici, Rusija je preusmjerila svoje cyber snage kako bi pomogla u lociranju ukrajinske vojne opreme i položaja. SBU je upozorio na ruske napore da kontrolira kompromitirane web kamere u naseljenim centrima, kako bi locirala ukrajinsku protivzračnu odbranu i druge kritične infrastrukturne objekte i ubacila podatke o ciljanju u svoj izviđačko-udarni kompleks. Nizozemska vojna obavještajna služba je na sličan način upozorila javnost na cjelokupno preusmjeravanje ruske cyber kampanje, ističući operacije osmišljene za lociranje i mapiranje vojnih položaja i opreme za kasniju fizičku zapljenu. Oni koji pružaju pomoć Ukrajini trebali bi uzeti u obzir potencijalne rizike ove aktivnosti cyber nadzora, budući da intenzivirajuća kampanja sabotaže širom Evrope snažno ukazuje da je uvid u zapadne vojne lance snabdijevanja jasan prioritet za ruske obavještajne službe u ovom trenutku.

Primjetno, svaki od ovih novih operativnih koncepata ukazuje na produbljivanje dvosmjernog odnosa između ruskih cyber i konvencionalnih snaga i proširenje njihovih ranih napora za koordinaciju kako bi sada obuhvatili i strateške i taktičke ciljeve. Štaviše, oni signaliziraju da su se za specifične operacije ruski cyber elementi vjerovatno približili frontu kako bi iskoristili kratkotrajnu taktičku inteligenciju koju bi ovi mobilni uređaji mogli pružiti. Gledajući naprijed, razumno je očekivati da će dalje adaptacije i operativni koncepti proizaći iz ovog bližeg odnosa kako se rat nastavlja.

 

Implikacije za Ukrajinu i NATO

 

Glavni zaključak zapadnih kreatora politike je da su mobilni uređaji postali kritični centar gravitacije za rusku cyber kampanju u Ukrajini. Ratne linije fronta bogate tehnologijom i senzorima dale su prednost sposobnosti prikupljanja signala s uređaja vojnika i digitalnih mreža koje ih povezuju. Sa novim tehnologijama koje nastavljaju oblikovati bojno polje i pokreću taktičke inovacije na prvim linijama fronta, ove vrste operacija će vjerovatno postati sve češće kako se rat nastavlja.

Ono što je važno prepoznati je da je ovo fundamentalno drugačije tehnološko okruženje u kojem je manje vjerovatno da će ranije lekcije o kapacitetima vlada i privatnog sektora da podrže ukrajinsku cyber odbranu. Vidljivost osjetljivih vojnih mreža i mobilnih uređaja je mnogo neprozirnija, odgovor na virtuelne incidente je teži, a manje odbrambenih partnera vjerovatno će imati spremne sposobnosti za ovu vrstu sigurnosne pomoći. Ako zanemarimo impresivne odbrambene sposobnosti Ukrajine, ruski prilagođeni angažman snaga zahtijeva ponovnu pažnju o tome kako najbolje održati međunarodnu podršku kibernetičkoj odbrani Ukrajine. Ovo je posebno važno sada kada druge prijetnje koje se pojavljuju sve više troše ograničene obavještajne resurse i pažnju.

Jednako važno, moramo početi priznavati da posljedice drugog reda ovih špijunskih operacija mogu biti ozbiljne. Uzmimo, na primjer, smrtonosni napad na ukrajinsku 128. brdsko-jurišnu brigadu u novembru 2023. godine koji se vodi do prodora na račun jednog vojnika na aplikaciji Signal. U vrijeme kada je konvencionalna mudrost postala prezirna u pogledu vojne koristi koju su kibernetičke operacije pružile Rusiji, važno je pažljivo razmotriti implikacije ovog prestrojavanja misije i šta ono predstavlja o rastućoj ulozi cybera u kinetičkim, konvencionalnim operacijama sada kada je iscrpljivanje ključni element ruske strategije.

Zlonamjerni povezani uređaji nastavit će presretati čak i kada su telefoni isključeni, uništeni ili na neki drugi način neaktivni, jer signalne poruke ne moraju rutirati kroz telefon cilja da bi bile isporučene na povezani uređaj. Komunikacija će stoga i dalje stizati do ruskih operatera čak i kada neće nužno stići do ciljanog ukrajinskog primaoca. Kako kaže jedan ukrajinski stručnjak, ako „vojnik iz bataljonske grupe bude zarobljen ili pogine, njegov telefon pada u ruke neprijatelju, a Rusi još mjesec dana čitaju svu prepisku u ovoj grupi“. Dugotrajni uticaj ovih operacija može biti ozbiljan.

Također, treba biti spreman da se novi operativni koncepti Rusije šire izvan Ukrajine. Danas su Signal i druge EMA postale standardna praksa za osjetljivu komunikaciju. Ove aplikacije sveprisutno koriste zapadne vojske, političari, grupe civilnog društva i druge uobičajene mete ruskih obavještajnih službi. Ruska taktika usmjerena na rat bi stoga mogla razumno vidjeti širu upotrebu za ispunjavanje drugih hitnih obavještajnih zahtjeva, kao što je prikupljanje vanjskih političkih obavještajnih podataka od ukrajinskih partnera, ili u potencijalnim naporima da se utiče na jedan od mnogih posljedičnih zapadnih izbora na

horizontu. Ako nas je istorija neče mu naučila, to je da rusko djelovanje rijetko ostaje ograničena na Ukrajinu.