Kybernetická válka z obýváku

Je pár týdnů po začátku ukrajinské války, krátce před půlnocí. Stojím v potemnělém obývacím pokoji rodinného domku kus od bavorského Mnichova. Se svým kontaktem jsem předem mluvil jen krátce po telefonu, pak jsem byl nasměrován do této tiché rezidenční čtvrti. Očekával jsem bledého hackera v černé mikině s kapucí, sedícího za stolem ve spoře osvětleném suterénu s různými monitory a hromadami prázdných plechovek od energetických nápojů kolem sebe.

Okolí ani můj protějšek tato klišé nenaplňují. Víc k tomu není co dodat, protože nikdo nesmí vědět, kdo mi dává nahlédnout do světa Anonymous. „Je to první hybridní válka,“ říká. „Souběžně s vojenskými útoky probíhá skrytá kybernetická válka mezi ruskými hackery na jedné straně a hackery z celého světa, kteří chtějí pomoci Ukrajině, na straně druhé.“ I zde jde o věci rozhodující válku, to by měla veřejnost vědět.

Ponoření do Darknetu

Ve vzduchu je cítit mírná nervozita, která zůstane přítomná po celou noc. Skupina Anonymous se ze své podstaty nezabývá žádnými vztahy s veřejností. Můj hostitel si pečlivě rozmýšlí, co říká: o svém vybavení, o svých nástrojích, o svém přístupu a postupech. Každý detail by mohl prozradit jeho identitu, učinit ho zranitelným a z přátel udělat nepřátele.

Jasný závazek
Krátce po vypuknutí války přislíbil hackerský kolektiv ukrajinskému lidu svou podporu.

Můj hostitel jde ke svému počítači. Alespoň šetřič obrazovky odpovídá hackerskému klišé, jsou to animované sloupečky kódu z filmu Matrix. Na počítači běží KALI Linux, jeden z předních systémů pro IT forenzní analýzu, bezpečnostní výzkum, penetrační testy a – jak tvrdí sám výrobce – etický hacking. Speciálně vyvinuté rootkity jádra, které se propašují do cílových systémů, se přitom maskují, vysvětlí nám později jiný IT specialista. Existují pro různé systémy, dokonce i pro Windows. Systémy od Microsoftu samozřejmě tvoří velkou část celosvětově používaných OS. V souladu s tím je třeba vyvinout i příslušné nástroje.

Seznamy úkolů
Přehled potenciálních cílů útoků v Rusku – přibližně 3 000 IP adres serverů s bezpečnostními zranitelnostmi. Foto: Chip

Prostřednictvím prohlížeče Tor nyní vstupujeme do Darknetu. Na obrazovce blikají přezdívky a zkratky. Zatímco hostitel pracuje před třemi obrazovkami, já mohu mezitím číst dialogy na chytrém telefonu. Vypadá to jako špatně uspořádaná skupina na WhatsAppu. Skupina se nazývá OpRedScare a je podskupinou většího fóra. Dnes v noci je v něm 368 členů. Jazykem chatu je téměř výhradně angličtina, někteří hackeři spolu komunikují také francouzsky. Zde si vyměňují informace o možných cílech, tzv. misích. 

Hrubý tón ve fóru

Na první pohled to celé vypadá jako komunita lehce bláznivých ajťáků, kteří se baví tím, že podrážejí nohy Putinově propagandě. Účastníci fóra Anonymous to však myslí vážně. Evidentně si všichni ve skupině nejsou rovni. Tón dnes udávají čtyři přezdívky. Někteří členové distribuují útržky informací, když jeden z nich zjistí přístup k serveru: „discovered open port 25/tcp on 46.61.230.xxx“. Nově příchozí jsou jimi kontrolováni nebo vyzváni k pořádku. Tón je hrubý, urážky někdy až rasistické nebo pravicově extremistické, říká mi můj protějšek.

Když někdo v chatu sdílí odkaz na YouTube, je pokárán: „Do not post Links.“ I členové Anonymous jsou nervózní: „Jak víme, že toto místo není honey pot neboli past? Jde o to, že ruští hackeři, vydávající se za nové členy, se znovu a znovu pokoušejí tajně vstoupit do chatovacích místností a šířit odkazy. Každý, kdo na ně klikne, dostane do počítače malware nebo se náhle zviditelní.

Pokud nic neumíte, jste brzy mimo hru

„Každý, kdo ví, jak se do ní dostat, se může stát součástí takové chatovací místnosti,“ říká hacker. Neexistují žádné přijímací zkoušky ani nic podobného, každý musí jen ukázat, co umí. „Ti, kteří nic neumějí a jenom kecají, jsou brzy vyloučeni. Ostatní se zařadí.“ Popisuje kolektiv, v němž se úkoly rozdělují na základě stávajících znalostí a dovedností. Výměna probíhá prostřednictvím chatů, ale také platforem, kde se šíří zdrojový kód. „Kterých, to vám neřeknu.“ Každý, kdo poprvé vstoupí do fóra OpRedScare, se prostřednictvím banneru dozví, o čem tato mise je: Current Chat Topic ... Objective – To disable Russian & Belarussian infrastructure (banking, transportation, military, energy) | Do NOT attack any health/education related services as hospital, school etc.. (přeloženo: Aktuální téma chatu: Cíl – zneškodnit ruskou a běloruskou infrastrukturu (bankovnictví, doprava, armáda, energetika) | NEútočit na žádné služby související se zdravotnictvím/školstvím jako nemocnice, školy atd.). Z toho jasně vyplývá: Anonymous chtějí být v této válce na straně dobra, civilní obyvatelstvo by mělo být pokud možno ušetřeno.

Jasná vyjádření
Tón na anonymních fórech není vždy přátelský a moderátoři dohlížejí na dodržování (přísných) pravidel.

Ve výzvě k účasti na misi je odkaz na jakýsi excelový seznam. Soubor nelze stáhnout přímo z chatu, ale lze jej najít a dešifrovat jinými způsoby. Hacker opět neřekne jakými, ale jeden najde. Nicméně falešný: když otevře seznam, monitorovací nástroje KALI náhle signalizují podezřelé aktivity na síťové úrovni – a nervozita se mění v chvat. „Sakra, to jsou oni.“ Pokusí se změnit tunel VPN, ale to už nepomůže.  Nakonec odpojí všechny systémy od sítě. „Pravděpodobně Rusové,“ vysvětluje. „Ještě to dobře dopadlo.“

Proxy servery, VPN, zapomenuté cookies

Incident ukazuje zranitelnost systému. Prostřednictvím VPN, proxy serverů, přístupů k internetu v prázdných bytech, kontrolovaných serverů nebo počítačů – hackeři mají mnoho důmyslných způsobů, jak skrýt svou identitu. Který z nich právě používá náš hacker, to nám neříká. Existuje však také mnoho způsobů, jak závoj domnělé anonymity poodhrnout. Mac adresa nebo zapomenutý soubor cookie, který obsahuje správnou IP adresu – a krytí je prozrazeno.

Co se přesně stalo, můj protějšek zjistí až druhý den. Mezitím pokračuje na jiném počítači a následně dorazí ten správný seznam. Obsahuje asi 3 000 IP adres ruských serverů – kybernetických cílů, na které se nyní hackerský kolektiv Anonymous zaměří. Cíl: odstranit je ze sítě. Skupina nemá zájem o krádež nebo ničení dat.

Oficiální žádost o pomoc
Po této výzvě ukrajinského vicepremiéra na Twitteru Anonymous oznámili, že připravují akce proti ruské infrastruktuře. Zdroj: Twitter

V kontextu současné mise se toho Anonymous podařilo v Rusku jen za několik dní od vypuknutí války poměrně dost. V té době došlo k výpadku serveru ruského ministerstva obrany. Krátce na to se zhroutily i IT systémy energetické společnosti Gazprom a poté došlo i na servery ruské státní televize.

Důvod k válce sám o sobě

Anonymous během prvních 24 hodin útoku vyřadili z provozu celkem 300 objektů, včetně ruských státních médií, jako jsou televizní stanice. 28. února skupina na Twitteru oznámila: „++ Zpráva o stavu ++ Anonymous za posledních 72 hodin napadli více než 1500 webových stránek ruských a běloruských vládních orgánů, bank, podniků a státních médií, mnohé z nich nejsou online doposud.“ Není divu, že aktivity digitálních útočníků se Rusům nelíbí. O útok na satelitní systémy Roskosmosu se zřejmě pokusili i další hackeři. Už jen to je důvod k válce, zuřil na začátku března šéf Roskosmosu Dmitrij Rogozin. Zároveň však popřel, že by hackeři systémy narušili.

FBI hackery chválí?

A i západní úřady mají k aktivistům Anonymous ambivalentní vztah. Protože hackeři se nenechají spoutat, jednají samostatně – a pravidelně porušují zákony. Ani úřady v jejich domovských zemích nejsou před útoky v bezpečí, pokud Anonymous považují svou misi za oprávněnou.

Skutečně FBI, nebo falešná chvála?
V chatovacích skupinách Anonymous sdílejí členové své konverzace s úřady. Zda je tato pravá? Těžko posoudit.

Některé úřady však zřejmě v současné situaci přivírají oči. Jeden z hackerů na fóru uvádí, že ho kontaktovala FBI. „Všimli jsme si, že jste se zapojil do kybernetické války s Ruskem.“ – Odpověď hackera: „Ano? A?“ – FBI: „Dobrá práce.“ Zda je konverzace autentická? To není jasné. Stejně jako mnoho dalšího v této válce.