O ruských hackerech se píše často, a ne zrovna v pozitivních souvislostech. Otázka je, do jaké míry lze poplašným zprávám o nich věřit. Jak je to s ruskými hackery doopravdy?

Ruští hackeři jsou v našem — a obecně západním tisku — oblíbené téma. Příkladem je třeba nedávný článek na Forum24. Rozšířené jsou i narativy o tom, jak Rusko „hacklo“ americké prezidentské volby v r.2016 a referendum o Brexitu v tomtéž roce (byť v tomto kontextu je pojem „hacking“ používán obecněji, coby synonymum pro vměšování se). Pro USA, které je (údajně) častým cílem hackerských útoků, je to tak citlivé téma, že je řešeno až na nejvyšší úrovni.

Je proto dobré udělat si na ruské hackery kvalifikovaný názor. Do jaké míry je nebezpečí, které představují, reálné, a do jaké míry jde o uměle vyvolanou a živenou paniku? Do jaké míry jde o zdivočelé kriminální bandy bažící po nelegálním zisku a do jaké míry o koordinované útoky pololegálních hackerů skrytě podporované přímo ruskou vládou?

Podotýkám, že nejsem expert na IT bezpečnost a mohu se ve svých závěrech mýlit. Pokud někdo z vás, čtenářů, dané problematice rozumí lépe a pokud jsem někde mimo, budu rád, když mi dáte vědět.

Jaké je riziko hackerských útoků obecně?

Začněme od toho, jak velké riziko hackerské útoky obecně představují. Mám známého, který pracuje v oddělení IT bezpečnosti v jedné velké finanční společnosti a který tvrdí, že denně zaregistrují — a díky bohu odrazí — okolo 100 tisíc kybernetických útoků. Nevím přesně, co vše mezi takové útoky počítal, ani tomu v detailu nerozumím. Každopádně mne to šokovalo—bylo to mnohem víc, než jsem odhadoval.

Dostupné statistiky o celkových globálních počtech kyberútoků jsou o něco nižší, avšak pořád alarmující. Uvádí se, že každých 39s je na webu proveden nový útok (2244 útoků denně). V r. 2019 se každých 14s odehrál útok pomocí ransomware proti nějaké firmě (6171 útoků denně); odhaduje se, že se frekvence těchto útoků se v r.2021 zvýší na jeden během každých 11s (7854 útoků denně). Denní počet hackutých webů je odhadován na 30 tisíc. Kromě toho se na světě každý den odehraje asi 23 tisíc útoků typu DoS. Jen ve Velké Británii odrazí malé a střední podniky každý den okolo 65 tisíc útoků.

Závažnost problému ilustruje i to, že globální náklady, které bude nutné vynaložit na likvidaci následků kyberútoků v r.2021, jsou odhadovány na závratných 6 triliónů dolarů.

Kdo za kybernetickými útoky stojí?

Kyberútoky tedy rozhodně nejsou něco, co bychom měli podceňovat. Jejich objem navíc rok od roku narůstá a to skoro exponenciálně. Kdo je ale páchá?

To je otázka za pět set. Experti odhadují, že více, než polovina kybernetických útoků zůstane neodhalena. A ty, které odhaleny jsou, často „vyplavou“ více méně náhodou a po dlouhé době: střední doba nutná k detekci úniku dat je hrůzně dlouhých 11 měsíců.

Hackeři prostě, z povahy toho, co dělají, dokáží dobře zametat stopy anebo svádět vyšetřovatele na stopu falešnou. Zejména to platí o útocích typu DoS; o něco snazší je vystopovat útoky namířené proti webovým stránkám. Přesto statistiky zemí původu kybernetických útoků existují, i když je jich málo. Rusové v nich — pro někoho možná překvapivě — nijak neexcelují.

Často citovaný zdroj je Massachusetský provozovatel cloudové platformy Akamai. Ten uvádí následujících 10 států, ze kterých pochází nejvíce hackerských útoků:

1.Čína41,0%
2.USA10,0%
3.Turecko4,7%
4.Rusko4,3%
5.Taiwan3,7%
6.Brazílie3,3%
7.Rumunsko2,8%
8.Indie2,3%
9.Itálie1,6%
10.Maďarsko1,4%

Statistika však vychází z dat za r. 2012, je tedy poměrně zastaralá. Podařilo se mi však dohledat její aktualizovanou verzi z Q2-2013, dle které Čínu dočasně v žebříčku předběhla Indonésie, zatímco Rusko se propadlo na mizernou sedmou příčku:

1.Indonésie38,0%
2.Čína33,0%
3.USA6,9%
4.Taiwan2,5%
5.Turecko2,4%
6.Indie2,0%
7.Rusko1,7%
8.Brazílie1,4%
9.Rumunsko1,0%
10.Jižní Korea0,9%

Ještě novější statistiku z r.2016 uvádí indický deník Gulf business, bohužel bez udání primárního zdroje. Dle Indů vypadá top-ten žebříček hackerských zemí takto:

1.Čína27,2%
2.USA17,1%
3.Turecko10,2%
4.Brazílie8,6%
5.Jižní Korea7,5%
6.Indie6,7%
7.Španělsko6,3%
8.Thajsko5,9%
9.Japonsko5,6%
10.Rusko5,1%

Všimněme si, že Rusko je až desáté…

Ještě novější indická studie z března 2021 činí Čínu odpovědnou za 30% globálních kyberútoků. Bohužel však neuvádí státy na dalších místech žebříčku.

Několik relevantních statistik z oblasti kybernetické kriminality pro r.2021 poskytuje i známý zdroj dat Statista:
Podíl jednotlivých zemí původu na kybernetických útocích proti webovým aplikacím (Statista)

Ani zde není Rusko žádným favoritem.

Dalším, velmi zajímavým zdrojem je americká firma působící v oblasti IT bezpečnosti Imperva. Imperva uvádí několik denně aktualizovaných statistik. Jednou z nejzajímavějších je celkový světový počet pokusů o kybernetický útok vedených z jednotlivých zemí. Ke dni 31.7.2021 tato statistika vypadala takto:
Mapa kybernetických útoků (Imperva)

Rusko se do top tří zemí vůbec nedostalo…

Diskuse

Uvedené zdroje vesměs pocházejí od IT firem působících v oblasti kybernetické bezpečnosti, tedy od odborníků v dané oblasti. To ale neznamená, že bychom jim měli nekriticky věřit. Většina z nich nijak blíže nespecifikuje, jakých druhů kybernetických útoků se uváděné statistiky týkají. Zdroje, které tuto informaci uvádí, obvykle vycházejí jen z útoků směrovaných na webové stránky.

Sporná je také metoda určení zemí původu. Často se země, ze které útok pochází, odvozuje jednoduše ze zdrojové IP adresy. Nejsem na problematiku maskování IP adres odborník, ale je mi zřejmé, že když IP adresu dokáže zamaskovat i běžná VPN za méně než 10 dolarů na měsíc (např. zde), spoléhání na IP adresy bude dost ošemetné.

Dalším problémem je, že původ drobných a v zásadě nepodstatných útoků proti individuálním webovým stránkám a aplikacím může být jiný než původ útoků koordinovaných, nepřátelskými vládami podporovaných nebo dokonce objednaných, a namířených proti vládním institucím nebo klíčové infrastruktuře. Existují tedy nějaké statistiky velkých kybernetických útoků napadajících stát?

Ano existují, ale jejich faktická důvěryhodnost je dost sporná. Za jeden ze solidních zdrojů by mohl být považován Digital Defense Report od Microsoftu, který uvádí statistiku kybernetických hrozeb pocházejících od národních států (nation state threats). Hrozbu ze strany národního státu Microsoft definuje jako „kybernetickou hrozbu pocházející z konkrétního státu, jejíž zjevným účelem (apparent intent) je prosazování národních zájmů“. No, nevím jak vám, ale mě to přijde značně vágní a ideologicky vychýlené. Když se někdo pokusí vlomit do emailové schránky kongresmana, jde automaticky o hrozbu ze strany státu? Opravdu to nemůže nikdo udělat čistě z vyděračských pohnutek?

Microsoft uvádí, že Rusko zodpovídá za 52% takových hrozeb, Irán za 25%, Čína za 12% a Severní Korea aj. za zbylých 11%. To, že v žebříčku nefigurují žádné další státy, které se dle jiných zdrojů v oblasti kybernetické kriminality výrazně angažují, vyvolává značné pochybnosti. Italská společnost Hacking team, jejíž služeb prokazatelně využívala i CIA, se nepočítá? A co Izraelská NSO, na kterou si stěžuje i Amnesty International? A kam se poděl legendární worm Stuxnet, který podle všeho vytvořily USA a Izrael, který je považován za nejdražší malware vůbec a který v r.2010 mimo jiné napadl iránské zařízení na obohacování uranu Natanz? Jak máme rozumět vyjádření Sergeje Rjabkova z 28.6.2021, který tvrdí, že USA napadly Rusko napadli v nedávné minulosti celkem 40x?

Dalším zdrojem, který se mi podařilo dohledat, je statistika geopolitických kybernetických útoků z let 2009-2019 uváděná Rumunskou společností Privacyaffairs. Dle tohoto zdroje pochází 28,6% potvrzených kybernetických útoků na národní vlády z Číny, 27,2% z Ruska, 11,6% ze Severní Korey a 11,2% z Iránu. Naproti tomu USA je prý autorem pouze 4,3% takových útoků. Privacyaffairs se ovšem nevěnují IT bezpečnosti profesionálně, pouze o těchto tématech edukují veřejnost a píší. To ale samo o sobě nic neznamená. Mnohem závaznějším problémem je, že primární zdroje, na které se Privacyaffairs odkazují, vůbec žádné takové statistiky neuvádí. Závěry Privacyaffairs se tudíž zdají vycházet spíše ze sekundárních zdrojů (novinových zpráv), než ze seriozního trackingu firmami působícími v oblasti IT bezpečnosti.

V neposlední řadě je také nutno se zamyslet nad tím, kam jednotlivé útoky směřují. Je možné, že ačkoliv Rusko odpovídá za relativně málo kyberútoků, jsou tyto útoky nadproporčně zaměřené na USA a západní svět?

Křížové statistiky kyberzločinnosti dávající do spojitosti zemi původu se zemí cílovou se shání těžko. Určitým vodítkem může být pěkná vizualizace opět od firmy Acamai. Autor uvádí dva obecné závěry:

1) Kdo útočí na tvoji zemi? Především místní hackeři a hackeři ze sousedních států

2) Na koho útočí hackeři tvé země? Zejména na tvou vlastní zemi a na USA.

V textu je zmíněno, že Rusko se z tohoto vzorce poněkud vymyká, stejně jako třeba Francie. Další detaily se mi nepodařilo dohledat.

Závěr

Co si tedy z těchto faktů odnést za závěry? Rozhodně to vypadá, že Rusko není v kybernetické kriminalitě žádným přeborníkem. I když nelze vyloučit, že Ruští hackeři cílí na západní státy více, než je průměr, platí, že USA jsou oblíbeným cílem všech hackerů bez rozdílu národnosti. A to včetně hackerů domácí provenience a hackerů ze sousední Kanady.

Zdroje, které řadí Rusko na čelná místa kyberzločinu, jsou sporadické, s velkou pravděpodobností zpolitizované a nikoliv primární. Primární a důvěryhodné zdroje — tedy IT firmy prokazatelně působící v oblasti kybernetické bezpečnosti — řadí Rusko na 4-10. místo na světě, daleko Čínou a USA. Konzervativně můžeme považovat za podložené, že Čína zodpovídá za asi 30% globálních kyberútoků, USA za minimálně 10% a Rusko za maximálně 5%.

Minimálně dva zdroje se shodují na tom, že více kybernetických útoků pochází z Brazílie a Turecka, nežli z Ruska. Já ale v životě neslyšel o tureckých nebo brazilských hackerech. Vy ano? S důvěrou je tedy možno vyslovit hypotézu, že mediální pozornost věnovaná ruským hackerům je značně přehnaná. V druhé části článku si tuto hypotézu potvrdíme a v detailu podíváme na konkrétní případy medializovaných útoků ruských hackerů z poslední doby.

Štěpán Čábelka