FAKULTA SOCIÁLNÍCH STUDIÍ

Skupina APT28 ako hrozba pre národnú bezpečnosť Slovenskej republiky

Diplomová práca

BC. DOMINIK PLÁVKA

Vedúci práce: Mgr. Jakub Drmola, Ph.D.

Katedra politologie odbor Bezpečnostní a strategická studia

Brno 2021

SKUPINA APT28 AKO HROZBA PRE NÁRODNÚ BEZPEČNOSŤ SLOVENSKEJ REPUBLIKY

Bibliografický záznam

Autor: Bc. Dominik Plávka Fakulta sociálních studií Masarykova univerzita Katedra politologie Názov práce: Skupina APT28 ako hrozba pre národnú bezpečnosť Slovenskej republiky Študijný program: Bezpečnostní a strategická studia Študijní odbor: Bezpečnostní a strategická studia Vedúci práce: Mgr. Jakub Drmola, Ph.D. Rok: 2021 Počet strán: 130 Kľúčové slová: kybernetická bezpečnosť, národná bezpečnosť, ešpionáž, kritická infraštruktúra, APT, APT28, Slovenská republika

2 SKUPINA APT28 AKO HROZBA PRE NÁRODNÚ BEZPEČNOSŤ SLOVENSKEJ REPUBLIKY

Bibliographic record

Author: Bc. Dominik Plávka Faculty of Social Studies Masaryk University Department of Political Science Title of Thesis: APT28 group as a threat to the national security of Slovak Republic Degree Programme: Security and Strategic Studies Field of Study: Security and Strategic Studies Supervisor: Mgr. Jakub Drmola, Ph.D. Year: 2021 Number of Pages: 130 Keywords: Cyber security, national security, espionage, critical infrastructure, APT, APT28, Slovak Republic

3 SKUPINA APT28 AKO HROZBA PRE NÁRODNÚ BEZPEČNOSŤ SLOVENSKEJ REPUBLIKY

Abstrakt

Témou predloženej diplomovej práce je hrozba vyplývajúca zo skúse- ností s doterajšími aktivitami hackerskej skupiny APT28. Ruskou federá- ciou podporovaný aktér svojimi kapacitami a schopnosťami reprezen- tuje výrazné ohrozenie pre štáty, ktorých národné záujmy sú v strete s tými ruskými. Slovenská republika ako člen NATO a EÚ tak predstavuje potenciálny cieľ pre útoky tejto skupiny. Diplomová práca sa na základe aplikovania teoretického rámca zraniteľností a dvoch hlavných hrozieb v kybernetickom priestore pre štáty zaoberá analýzou toho, že do akej miery znamená skupina APT28 reálne ohrozenie pre národnú bezpeč- nosť Slovenska a v ktorom ohľade sa krajina môže cítiť najohrozenejšia.

4 SKUPINA APT28 AKO HROZBA PRE NÁRODNÚ BEZPEČNOSŤ SLOVENSKEJ REPUBLIKY

Abstract

The topic of the submitted diploma thesis is the threat resulting from the experience with the previous activities of the hacking group APT28. The actor supported by the Russian Federation with his capacities and capa- bilities represents a significant threat to states whose national interests are in conflict with those of Russia. The Slovak Republic, as a member of NATO and the EU, thus represents a potential target for this group's at- tacks. Based on the application of the theoretical framework of vulnera- bilities and two main threats in cyberspace for states, the diploma thesis analyzes the extent to which the APT28 group represents a real threat to Slovakia's national security and by which means the country may feel most threatened.

5

SKUPINA APT28 AKO HROZBA PRE NÁRODNÚ BEZPEČNOSŤ SLOVENSKEJ REPUBLIKY

Čestné prehlásenie

Prehlasujem, že som diplomovú prácu na tému Skupina APT28 ako hrozba pre národnú bezpečnosť Slovenskej republiky vypracoval sám. Všetky pramene a zdroje informácií, ktoré som použil k vypracova- niu tejto práce, boli citované v texte a sú uvedené v zozname použitých zdrojov.

V Brne 5. januára 2021 ...... Bc. Dominik Plávka

7

SKUPINA APT28 AKO HROZBA PRE NÁRODNÚ BEZPEČNOSŤ SLOVENSKEJ REPUBLIKY

Poďakovanie

Rád by som sa touto cestou poďakoval vedúcemu mojej práce, doktorovi Drmolovi, za rady a pomoc pri jej napísaní.

Počas všetkých týchto (až príliš veľa) rokov na BSS pre mňa veľa zname- nal ľudský a prívetivý prístup od našich pedagógov, pani sekretárky a priateľské vzťahy so spolužiakmi, ďakujem za to. BSS hey hey hey!

Za nenahraditeľnú pozíciu v mojom živote a absolútnu podporu pri štú- diu si nesmierne vážim svojich rodičov, Bebe a Simonku. ĎAKUJEM!!!

9

OBSAH

Obsah

Zoznam obrázkov 13

Zoznam tabuliek 14

Zoznam skratiek 15

Úvod 17

1 Metodologické ukotvenie práce 19 1.1 Výber prípadov ...... 19 1.2 Cieľ práce ...... 21 1.3 Postup práce ...... 21 1.4 Konceptualizácia práce ...... 22 1.5 Prehľad literatúry ...... 25 1.6 Limity práce ...... 26

2 Teoretické ukotvenie práce 28 2.1 Definovanie kľúčových pojmov ...... 28 2.2 Definovanie APT ...... 33 2.3 Zaradenie APT skupín medzi aktérov v kybernetickom priestore ...... 36 2.4 Atribúcia APT skupín ...... 39 2.5 Teoretický rámec od Forresta Hare ...... 42

3 Kybernetická bezpečnosť na Slovensku 48 3.1 Legislatívne a kompetenčné ukotvenie ...... 48 3.2 Kybernetické útoky APT aktérov voči Slovensku ...... 50

4 Ruské národné záujmy a Slovensko 52 4.1 Ruské národné záujmy ...... 52 4.2 Ruské záujmy a bezpečnosť Slovenska ...... 55

11 OBSAH

5 Skupina APT28 57 5.1 Vznik skupiny ...... 57 5.2 Atribúcia skupiny ...... 58 5.3 Obete a objektívy skupiny ...... 62 5.4 Vektory a nástroje útokov ...... 64 5.5 Priebeh útoku ...... 67 5.6 Signifikantné operácie a kampane APT28 ...... 68

6 Definovanie pozície Slovenska v rámci zraniteľností od F.Hare 78 6.1 Sila štátu ...... 78 6.2 Sociálno-politická súdržnosť ...... 81 6.3 Kritická slabosť Slovenska a aktivity APT28 ...... 83

7 Ohrozenie bezpečnosti Slovenska dvoma spôsobmi útokov 92 7.1 Preniknutie do strategických informačných systémov ...... 92 7.2 Narušenie fungovania kritickej infraštruktúry ...... 97

8 APT28 a predikcie do bezprostrednej budúcnosti 103

Záver 107

Príloha 1 110

Použité zdroje 113

Počet znakov: 184 993

12 ZOZNAM OBRÁZKOV

Zoznam obrázkov

Obrázok 1: Vzorec fungovania kybernetických aktérov Obrázok 2: Presah názvov toho istého aktéra pri skúmaní inými or- ganizáciami Obrázok 3: Krajiny v Ruskom zamýšľanej sfére vplyvu Obrázok 4: Mapa krajín doteraz zasiahnutých útokmi APT28 (z roku 2020) Obrázok 5: Spearphishingový email od APT28 použitý pri útoku na DNC v 2016

13 ZOZNAM TABULIEK

Zoznam tabuliek

Tabuľka 1 – Zraniteľnosti a typy štátov podľa Barryho Buzana Tabuľka 2 – Kybernetické zraniteľnosti a typy štátov podľa F. Hare

14 ZOZNAM SKRATIEK

Zoznam skratiek

APT – Advanced Persistent Threat APT28 – Advanced Persistent Threat 28 BIS – Bezpečnostní informační služba CIA – Confidentiality, Integrity, Availability COVID-19 – CoronaVirus Disease - 2019 DDOS – Distributed Denial Of Service DNC – Democratic National Committee FBI – Federal Bureau of Investigation GRU – Glavnoje razvedyvatelnoje upravlenije IAAF – International Association of Athletics Federations NATO – North Atlantic Treaty Organization NBÚ – Národný bezpečnostný úrad NSA – National Security Agency NÚKIB – Národní úřad pro kybernetickou a informační bez- pečnost OSCE – Organization for Security and Co-operation in Eu- rope OPCW – Organisation for the Prohibition of Chemical Wea- pons OSINT – Open-Source Intelligence OSN – Organizácia spojených národov SIS – Slovenská informačná služba SK-CERT – Slovak Computer Emergency Response Team V4 – Vyšehradská štvorka

15

ÚVOD

„Malicious activities in the information Úvod space contradict the principles of the Russian foreign policy, national in- Pojem „kybernetická bezpečnosť“ sa v po- terests and our understanding of in- sledných rokoch stal akýmsi buzzwordom, ku terstate relations. Russia does not ktorému sa v súčasnosti tak radi vyjadrujú conduct offensive operations in the cy- politici a spájajú ho so všetkým, čo je tech- ber domain.“ Embassy of Russia in the USA nicky možné zapojiť do elektrickej zásuvky. (Facebook 2020). Okrem prázdnych fráz o potrebe vytvorenia bezpečného kybernetického priestoru sa však v reálnom živote často sami nesprávajú „bezpečne“, čoho následkom sú aj viaceré incidenty spomenuté v tejto práci. A práve tieto typy udalostí tvoria gro obáv pred kybernetickými ak- térmi, ktorým ich schopnosti a kapacity umožňujú preniknúť skrz bez- pečnostné perimetre do systémov alebo zariadení tak jednotlivcov ako aj organizácií a cieľavedome z nich exfiltrovať citlivé alebo utajované dáta. V médiách sa následne objavujú správy o hackerských útokoch na štátne orgány, v ktorých útočníci získali im neprivilegované prístupy k informá- ciám, čoho následkom sa môžu štáty cítiť v nebezpečenstve. Kľúčovým faktorom sú totiž poznatky o tom, kto a ako získané informácie zužitkuje vo svoj prospech. A v týchto prípadoch to takmer bez výnimky predsta- vujú im konkurenčné alebo nepriateľsky naladené štáty. Pri porovnaní so získavaním dát, ktorých zneužitie sa môže prejaviť aj v neskoršom časovom období, viditeľný a priamy efekt na život v kra- jine majú útoky cieliace na poškodenie fungovania kritickej infraštruk- túry. Odstavenie výroby elektriny v elektrárni, prerušenie spojenia v elektrickej prenosovej sieti alebo vypnutie prúdu v nemocnice, to všetko sú hrozby, ktoré súvisia len s jednou častou kritickej infraštruk- túry a predsa zreálnenie každej z nich by malo obrovský dopad na značnú časť obyvateľstva v krajine. Zároveň sú všetky tieto body zrani- teľné voči kybernetickým útokom a udalosti v posledných rokoch len do- svedčujú vysokú mieru nevyhnutnosti ich dostatočne chrániť. Tieto dva druhy útokov patria medzi oblasti, ktoré majú v kyberne- tickom priestore zásadný vplyv na bezpečnosť štátu. Bývalý plukovník amerického letectva a v súčasnosti profesor na prestížnych amerických univerzitách Forrest Hare ich pokladá za tak rozhodujúce spôsoby ohro- zenia štátu, že ich vo svojich publikáciách označuje ako „existenčné hrozby pre štát“ (Hare 2012, 127 ).

17 ÚVOD

Prominentné miesto spomedzi kybernetických aktérov schopných zrealizovať tieto hrozby v praktickom prevedení zastávajú Advanced Persistent Threats, v kontexte práce chápané ako APT skupiny. Vďaka svojej organizovanosti a získavanej podpore zo strany štátov sú vnímané ako proxy aktéri svojich sponzorov, ktorí ich využívajú na dosahovanie svojich národných záujmov. Vzhľadom na doterajšie aktivity zastávajú centrálnu úlohu práve ruské APT skupiny, pričom v rámci odbornej ko- munity budí význačný ohlas skupina APT28, braná ako súčasť spravodaj- skej služby GRU. V prípade záujmu o analýzu bezpečnosti krajiny akou je Slovenská republika sa preto ako relevantná javí analýza tohto aktéra, ktorého viacnásobné úspešne uskutočnené kybernetické útoky ohrozili bezpečnosť a stabilitu viacerých členských štátov EÚ a NATO, teda zá- stupcov medzinárodno-bezpečnostného prostredia, v ktorom sa nachá- dza aj Slovensko. Na základe relevantnosti a legitímnosti odborných prác od Forresta Hare sa tak táto práca sústreďuje na aplikovanie dvoch princípov útokov a rámca kritickej zraniteľnosti pre národnú bezpečnosť štátu na prípa- dovú štúdiu Slovenskej republiky a skupiny APT28. Diplomová práca sa na začiatku zaoberá potrebným metodologic- kým a teoretickým ukotvením analýzy, pričom hlavný dôraz sa kladie na jasné definovanie pojmov a termínov, ktoré sú v ďalších častiach textu využívané, a na čo najkomplexnejšie predstavenie teoretického rámca od Forresta Hare. Podstatné miesto zastáva opis APT skupín vo všeobec- nosti a následne aj stručná analýza problematiky kybernetickej bezpeč- nosti na Slovensku. Keďže je skupina APT28 atribuovaná Ruskej federá- cií, je nevyhnutné aj v krátkosti opísať ruské národné záujmy, ktoré sa skupina svojimi aktivitami snaží naplniť, pričom následne sa práca upriamuje práve na jej doterajšie pôsobenie a najdôležitejšie ňou usku- točnené kybernetické útoky. Získané informácie práca zužitkováva v na- sledujúcej hlavnej časti textu, ktorý sa zameriava na analýzu hrozieb vplývajúcu z doterajších aktivít APT28 vo vzťahu ku dvom hlavným spô- sobom ohrozenia bezpečnosti štátu v rámci kybernetického priestoru. Záverečná časť práce sa venuje očakávanému vývoju aktivít skupiny aj vo vzťahu ku Slovenskej republike. Doplňujúcim prvkom analýzy sú vyjadrenia zástupcov slovenských orgánov verejnej moci, gro použitých údajov a informácií však pochádza z otvorených zdrojov.

18 METODOLOGICKÉ UKOTVENIE PRÁCE

1 Metodologické ukotvenie práce

Diplomová práca je postavená na kvalitatívnom druhu výskumu. Vychá- dza z teórie od Jana Hendla, podľa ktorého sa kvalitatívny výskum môže zaoberať verifikáciou predpokladov a vyhodnocovaním. V kontexte tejto práce to súvisí s cieľom analyzovať hrozbu vyplývajúcu z aktivít skupiny APT28, keďže vzhľadom na doterajšie uskutočnené útoky je tu predpo- klad, že aktér predstavuje zásadnú hrozbu pre bezpečnosť Slovenska. Obsah práce je tak spracovaný vo forme prípadovej štúdie, a to kon- krétne ako štúdium organizácie (Hendl 1999, 51).

1.1 Výber prípadov

Skupiny APT podporované štátmi fungujú v podstate ako proxy aktéri svojich sponzorov. Uskutočnený kybernetický útok, ktorého pôvodcom je vybraná skupina, preto nie je korektné označiť len ako ojedinelý inci- dent alebo súčasť kybernetickej operácie na základe jej vlastnej inicia- tívy. Zo strategického pohľadu sa nevyhnutnou javí byť dôkladnejšia analýza zámerov a objektívov, z ktorých daná škodlivá aktivita vychádza. Jadro diplomovej práce sa skladá zo snahy o analýzu kybernetických hrozieb plynúcich pre Slovenskú republiku. Popri častých zmienkach o kriminálnych a prioritne taktických zámeroch rozličných aktérov však vo verejnej debate absentuje precíznejšie úsilie o popísanie nebezpečen- stiev vyplývajúcich z národných záujmov iných štátov, a to konkrétne tých konkurenčne alebo nepriateľsky nastavených. V geopolitickom kon- texte Slovenska sa medzi nimi nachádzajú primárne Rusko, Čína, Irán alebo Severná Kórea (Lo 2020). Z tohto pohľadu o to význačnejšiu sku- točnosť prezentuje report kybernetickej spoločnosti Microsoft a jeho zá- ver, podľa ktorého za 89% zo všetkých štátmi podporovaných kyberne- tických útokov boli zodpovedné len tri krajiny (Microsoft 2020). Aj keď spoločnosť explicitne nezmieňuje názvy konkrétnych štátov, v súvislosti so zverejňovanými atribúciami kybernetických útokov sa to v zásade takmer určite vzťahuje na niektoré z nich1.

1 Toto tvrdenie podčiarkuje napríklad aj záznam kybernetických útokov za rok 2020 vypracované americkým think-tankom CSIS, v ktorých nadpriemere prevažujú útoky atribuované Rusku, Číne a Iránu (CSIS 2020).

19 METODOLOGICKÉ UKOTVENIE PRÁCE

Veľké riziko všeobecnej analýzy by však spočívalo v jej plytkosti, pretože by sa musela zamerať hneď na niekoľko štátov a z nich vyvádza- júcich ohrození. V úsilí o vyhnutie sa tomuto výsledku sa preto práca koncentruje práve na fenomén jedného kybernetického aktéra, ktorého činnosť pramení z národných záujmov Ruskej federácie. Konsekvenciou tohto prístupu je zas naopak úzka špecifickosť danej analýzy, ktorá tak zamedzuje priniesť viac vo všeobecnosti platných zistení, to však záro- veň ani nie je nevyhnutne jej cieľom. Ako centrálny kybernetický aktér predstavujúci potenciálnu hrozbu pre národnú bezpečnosť Slovenskej republiky je teda skupina APT28. Významnosť hrozby vplývajúcej z aktivít tejto organizácie potvrdzuje množstvo štátnych a súkromných entít zaoberaj ich sa jej útokmi a usku- točnenými operáciami. Kybernetická firma Kaspersky ju napríklad vo svojom reporte za rok 2020 označila ako siedmeho najnebezpečnejšieho škodlivého aktéra v kybernetickom priestore (Securelist 2020). Kľúčo- vým argumentom pre výber práve tejto skupiny ako kybernetickej hrozby však predstavujú konsekvencie množstva úspešných operácií a kampaní APT28 a predovšetkým ich dopadov na bezpečnosť zasiahnu- tých krajín, čo dokazuje aj ich deskripcia v tejto práci. Súčasne je potrebné podčiarknuť, že až do konca roka 2020 nie sú (okrem jednej výnimky2) v otvorených zdrojoch evidované žiadne zmienky o zameraní aktivít skupiny APT28 na slovenské ciele. Výskum toho, či daný aktér môže mať záujem o zameranie svojej činnosti voči Slovensku a v akej miere preň reprezentuje hrozbu, sa preto ukazuje byť ako relevantný a opodstatnený.

2 Goud (2019) vo svojom článku popisuje varovanie vydané spoločnosťou Microsoft, podľa ktorého sa v druhej polovici roka 2018 cieľom útokov APT28 stalo 12 krajín EÚ, a to vrátane Slovenska. V ďalšom odstavci textu následne hovorí o expanzii no- vého programu spoločnosti. V tomto prípade sa však jedná o chybu autora článku, pretože Microsoft v blogu na svojej webovej stránke (z ktorého Goud evidentne čerpá informácie, aj keď bez priameho odkazu na zdroj) síce konštatuje zazname- nanie daných útokov, avšak medzi cieľmi nie je prítomné Slovensko. Krajina sa na- opak nachádza medzi 12 členmi zapojenými do prijatia vyššie spomenutého pro- gramu (Burt 2019).

20 METODOLOGICKÉ UKOTVENIE PRÁCE

1.2 Cieľ práce

Cieľ diplomovej práce spočíva v analyzovaní skupiny APT28 ako so- fistikovaného škodlivého aktéra v kybernetickom priestore a na základe jeho charakteristických postupov zistiť, či a do akej miery je schopný ohroziť národnú bezpečnosť Slovenskej republiky. Váž- nosť hrozby vyplýva z dvoch hlavných faktorov – skúsenosti s jeho dote- rajšími aktivitami, ktoré viedli k preniknutiu do systémov a sietí inštitú- cií iných štátov a súkromných organizácií a jeho atribuovaní Ruskej fede- rácií, pre ktorú je Slovenská republika ako člen EÚ a NATO potenciálnym nepriateľom. Oboma faktormi sa podrobne zaoberajú príslušné časti práce. Pre naplnenie cieľa práce boli zvolené špecifické výskumné otázky:

▪ Do akej miery znamená skupina APT28 ohrozenie pre slo- venskú národnú bezpečnosť? ▪ Ktorá z jej doteraz využívaných metód útokov môže byť naj- väčšia hrozba pre Slovensko? ▪ Akú veľkú hrozbu pre Slovensko potenciálne predstavuje skupina v bezprostrednej budúcnosti?

1.3 Postup práce

So zreteľom na zadaný cieľ práce bol ako teoretický rámec vybraný ten od Forresta Hare. V ňom autor pojednáva o dvoch hlavných metódach útokov, ktoré z pohľadu kybernetického priestoru predstavujú najkritic- kejšie ohrozenie pre národnú bezpečnosť krajiny. Navyše na základe úrovne sociálno-politickej súdržnosti a vojenskej sily daného štátu Hare uvádza aj najväčšiu zraniteľnosť, ktorej využitie nepriateľom mu môže spôsobiť závažné ohrozenie bezpečnosti. Práca je založená na deskriptívno-analytickom prístupe. Napriek tomu, že sa jedná o kombináciu dvoch odlišných prístupov v metodológii, záverečný výsledok výskumu je podoprený ako dostatočnou zásobou zdrojov a faktov, tak aj analytickým prístupom hľadania súvislostí a ove- rovaním predpokladov. Výskum sa opiera zásadne o relevantné zdroje, predovšetkým však sekundárne. Kľúčovú úlohu zohrávajú reporty a vyhlásenia štátnych in-

21 METODOLOGICKÉ UKOTVENIE PRÁCE

štitúcií z rôznych krajín. Veľmi dôležitý zdroj predstavujú analýzy súk- romných kybernetických spoločností, ktoré vychádzajú zo svojich vlast- ných poznatkov a teda nie sú odkázané len na preberanie informácií od iných zdrojov, tak ako je to v prípade publicistického spravodajstva. Pri snahách o jednoznačnosť vyjadrení, predovšetkým čo sa týka atribuova- nia útokov, sa pri práci postupovalo triangulačnou metódou overovania informácií z viacerých zdrojov. Nedostatkami ohľadne zdrojov sa zaoberá kapitola o limitoch práce, najmä však kvôli chýbajúcim informáciám o zapojení Ruska do kyberne- tických aktivít na Slovensku sa v práci nachádzajú aj vyjadrenia predsta- viteľov slovenských inštitúcií, a to predsedu branno-bezpečnostného vý- boru Národnej rady Slovenskej republiky a pracovníka Národného cen- tra kybernetickej bezpečnosti SK-CERT3.

Respondenti odpovedali na nasledovné otázky: ▪ V akej miere predstavuje podľa vás Ruská federácia v súčasnosti hrozbu pre slovenskú národnú bezpečnosť z pohľadu kybernetic- kej bezpečnosti? (Vo všeobecnosti) ▪ Na základe jej doterajšej aktivity, predstavuje špecificky skupina APT28 hrozbu pre slovenskú bezpečnosť?

1.4 Konceptualizácia práce

Diplomová práca sa zaoberá aplikovaním dvoch spôsobov útokov, kto- rými je kybernetický útočník schopný zásadne ohroziť bezpečnosť kra- jiny. Podľa Forresta Hare sa jedná o:

▪ Preniknutie do strategických informačných systémov Hrozbu pre národnú bezpečnosť štátu predstavujú také preniknutia ne- priateľských štátov alebo škodlivých aktérov do informačných systémov vlády štátu, ktoré útočníkom umožnia získať vedomosti, znalosti alebo

3 Vzhľadom na citlivosť problematiky kybernetických útokov zo strany iných štátov a ochranu utajovaných skutočností sa však ich odpovede uberajú skôr všeobecným smerom, preto je ich prítomnosť v práci chápaná primárne ako doplnok. Ďalší opý- taní, ako napríklad kancelária ministra obrany alebo predseda parlamentného za- hraničného výboru, na uvedené otázky z týchto dôvodov odmietli odpovedať alebo poskytnúť akékoľvek stanovisko k tejto problematike.

22 METODOLOGICKÉ UKOTVENIE PRÁCE informácie v takom rozsahu alebo dôležitosti, že ich únik a zneužitie môže mať vážny dosah na riadne zabezpečenie fungovania štátu alebo ohroziť jeho existenciu v okamžitom alebo dlhodobom horizonte. Vo vše- obecnej rovine sa takéto útoky označujú ako ešpionáž, pričom z hľadiska jej rôznorodosti sa ňou primárne rozumie zachytávanie informácií v dá- tovej podobe alebo pomocou človeka vo vnútri systému (insidera). Vý- znamnými cieľmi takýchto prienikov sú citlivé dáta pochádzajúce z mi- nisterstva zahraničia, obrany, armády, výrobcov zbraňových systémov alebo kontraktorských firiem. Úspešne získané informácie umožňujú ne- priateľovi čeliť bezpečnostným a obranným opatreniam obete (štátu). V prípade, že sa obeť dozvie o narušení dôvernosti informácií vo svojich systémoch, kroky na posilnenie odstrašenia pred budúcimi útokmi môže ospravedlniť práve predchádzajúcimi únikmi (Hare 2012, 127). Okrem spomínaných útokov cielených na zisk neverejných vojen- ských informácií sa medzi ďalšie ciele zaraďujú aj dôverné informácie v rámci vnútropolitických záležitostí štátov, teda popri politikoch ako konkrétnych persónach aj politické strany a ich rozhodnutia alebo pri- pravované plány do budúcnosti. Samostatnú kategóriu tvoria indus- triálne ešpionáže, ktorých objektívom je zisk detailných dát o výrobkoch alebo postupoch vývoja nových produktov. Niektorí štátni aktéri sa ta- kisto zameriavajú na získavanie poznatkov o disidentských hnutiach alebo jednotlivcoch, ktorých pôsobenie v zahraničí vidia ako hrozbu pre udržanie kontroly vo svojich štátoch (Cpni.gov.uk). Práve štátni alebo nimi podporovaní aktéri tvoria drvivú väčšinu pôvodcov ešpionáží (Prat- ley, Bez dátumu). V celkovom sumári tvoria útoky cieliace na zisk dát už viac ako polovicu zo všetkých uskutočnených, čo nepriamo indikuje aj zmenu paušálnej motivácie útočníkov pri kybernetických útokoch zo snahy o priamy financie zisk na interes o informácie a dáta, ktorých hod- nota môže prevyšovať okamžité získanie finančných prostredníkov. Čiastočne na to vplýva čoraz viac rozšírenejší čierny trh s detailmi o ukradnutých bankových kartách, ale primárny záujem spočíva v zís- kaní osobných dát a prihlasovacích údajov obetí rôzneho druhu, teda in- dividuálnych osôb aj ako aj súkromných spoločností (Securitybrief.co.nz 2020).

23 METODOLOGICKÉ UKOTVENIE PRÁCE

▪ Narušenie fungovania kritickej infraštruktúry Druhú mimoriadne závažnú hrozbu v rámci kybernetického priestoru pre štát prinášajú útoky alebo infiltrácie do systémov kritickej infra- štruktúry štátu s cieľom buď narušiť jej fungovanie alebo ju kompletne vyradiť z prevádzky. Vzhľadom na to, že často tieto systémy vlastnia súk- romné spoločnosti, hrozby pre národnú bezpečnosť predstavujú útoky rovnako na ne ako aj na tie, ktoré sú prevádzkované štátom. Príkladom týchto hrozieb býva umiestnenie malvéru alebo podobne orientovaného škodlivého softvéru do kontrolných zariadení v systémoch používaných v energetickom, vodnom, dopravnom alebo telekomunikačnom sektore. Narušenie fungovania týchto systémov sa môže vo výsledku prejaviť na priamych fyzických obetiach alebo na znefunkčnení mechanizmov zame- raných na zaistenie národnej bezpečnosti (Hare 2012, 127). Rovnako by sa následky takýchto útokov dotýkali hospodárskej a sociálnej funkcie štátu a tým by sa odrazili aj v znížení kvality života obyvateľov z hľadiska ochrany ich života, zdravia, bezpečnosti, majetku, ako aj životného pro- stredia (Economy.gov 2017).

Samotný autor tohto rámca však okrem definície druhov útokov nepri- náša detailnejšie spôsoby alebo prístupy, ktorými by ich bolo možné vy- špecifikovať alebo operacionalizovať do takej podoby, aby sa dalo jed- noznačne určiť, či a v akom rozsahu dané útoky ohrozujú bezpečnosti štátu. Absenciu chýbajúcich indikátorov však vyvažuje komplexnosť po- ňatia hrozieb pre národnú bezpečnosti v rámci kybernetického prie- storu, pretože iní autori zaoberajúci sa hrozbami v tomto priestore sa prioritne orientujú na analýzy škodlivých aktérov a nie na spôsoby úto- kov, ktorými môžu byť štáty ohrozené4. Spracovaná analýza sa teda ne- odvíja podľa vopred zadaných parametrov vychádzajúcich z teoretic- kého rámca, ale z otvorených zdrojov využíva dostupné informácie, ktoré sa týkajú doterajšieho pôsobenia skupiny APT28 a kybernetickej bezpečnosti na Slovensku, a to v súvislosti s hrozbami pre národnú bez- pečnosť podľa Forresta Hare.

4 Dominantne sa to týka zamerania na neštátnych aktérov ako sú kriminálne skupiny alebo organizácie podporované štátmi, viac napr.: Bussolati 2015; Nsiteam.com; Ablon 2018 alebo CFR.org.

24 METODOLOGICKÉ UKOTVENIE PRÁCE

1.5 Prehľad literatúry

Kybernetická bezpečnosť v súčasnosti figuruje ako vďačný objekt odbor- nej aj laickej pozornosti. Tomu odpovedá aj množstvo vedeckých, popu- lárno-náučných a mediálnych materiálov, ktoré sa ňou zaoberajú. Preto je aj k APT skupinám dostupných množstvo zdrojov, pričom z pohľadu kvantity a detailností v nich vynikajú reporty súkromných kybernetic- kých spoločností. Čo sa týka zahraničného prostredia, skupinu APT28 veľmi podrobne vo svojich reportoch z rokov 2014 a 2017 analyzuje najmä spoločnosť FireEye, ktorá je významným zdrojom informácií aj pre túto prácu. Veľkú mieru pozornosti venujú skupine aj CrowdStrike, Kaspersky alebo TrendMicro. Zo štátnych inštitúcií sa vzhľadom na realizované útoky voči svojim krajinám alebo ich spojencom vo viacerých analýzach APT28 za- oberajú americké agentúry CIA a FBI, a britské Národné centrum kyber- netickej bezpečnosti. V súvislosti s aktivitami alebo novým informáciami sa skupinou zaberajú aj publicistické portály vo svojich príspevkoch. Vo všeobecnosti sa vyššie spomenuté entity vyjadrujú ku skupine APT28 vo forme analytických reportov, varovaniach alebo mediálnych správach o už uskutočnených aktivitách skupiny, ňou používaných me- tódach a nástrojoch, jej cieľoch a objektívoch. V nich však absentujú prí- spevky, ktoré sa proaktívne zaoberajú potencionálnym cieľmi a prípad- nými aktivitami do budúcnosti. V slovenskom prostredí sú zmienky o APT skupinách veľmi ojedi- nelé. Výnimku tvoria výročné správy spravodajských služieb, ktoré sa však nimi zaoberajú vo všeobecnosti ako o potenciálnych nebezpečných aktéroch. Medzi súkromnými kybernetickými spoločnosťami sa aktívne zapája do analyzovania predovšetkým tá s najväčšími kapacitami a roz- sahom, teda ESET. V rámci výskumu hybridných hrozieb sa k hacker- ským skupinám vyjadruje vo svojich reportoch aj slovenský renomovaný think-tank Globsec. V publicistickom prostredí sa k APT skupinám alebo aj konkrétne k APT28 objavujú informácie len o aktuálne uskutočňova- ných alebo nedávnych útokoch. Asi najväčšiu relevantnosť spomedzi nich dosahujú webové portály CyberSec a Živé.sk. Doposiaľ však nie je v slovenskom prostredí k dispozícii žiadna analýza, ktorá by sa venovala APT28 ako potenciálnej hrozbe pre Slovenskú republiku. Doteraz sa tak v otvorených zdrojoch nenachádza komprehenzívna štúdia o hrozbách APT skupín alebo konkrétne APT28 pre nejaký kon- krétny štát alebo nebezpečenstiev sofistikovaných hackerských skupín

25 METODOLOGICKÉ UKOTVENIE PRÁCE z pohľadu Slovenska. Preto táto práca môže poslúžiť ako zhrnutie dote- raz získaných poznatkov o danej problematike a na ňu preniesť v súčas- nosti už nevyhnutný fokus, ktorý zatiaľ nanešťastie nie je uspokojivý vzhľadom na veľkosť hrozby a potenciálnych dôsledkov útokov takéhoto aktéra.

1.6 Limity práce

Predkladaný text sa síce zameriava len na dva konkrétne subjekty – sku- pinu APT28 a Slovenskú republiku – no vzhľadom na komplexnosť témy kybernetickej bezpečnosti pôsobí na jeho relevantnosť niekoľko limitov. Tým prvým a zároveň najkľúčovejším je potenciálna absencia po- trebných informácií, resp. nepresnosť tých použitých v práci. Aktéri pô- sobiaci v kybernetickom priestore sa bez vlastného proaktívneho roz- hodnutia otvorene nepriznávajú k svojim aktivitám a preto zistené infor- mácie o nich vychádzajú predovšetkým z chýb alebo nedokonalostí, ktoré ich strojcovia intencionálne alebo nevedomky vykonali. Vyšetrova- nia vykonaných kybernetických útokov preto musia brať do úvahy aj ak- cie pod falošnou vlajkou alebo iné pokusy aktérov o oklamanie svojich nepriateľov. Z pohľadu dôveryhodnosti informácií predstavuje rovnako podstatnú skutočnosť neochota štátov a ich spravodajských služieb pri- znať buď svoje vykonané akcie alebo tie uskutočnené voči nim samot- ným. Na obmedzenie účinku tohto limitu sa preto text vo svojom portfó- liu spolieha len seriózne informácie od vládnych inštitúcií a súkromných kybernetických spoločností a ako jednoznačné uvádza len také atribúcie, ktorých pravdivosť potvrdzuje vždy niekoľko prameňov. Druhá výzva pri analyzovaní danej problematiky má tiež súvis s kre- dibilitou zdrojov a týka sa spôsobu nazerania na organizáciu skupiny APT28. Napriek tomu, že v kybernetickej bezpečnostnej komunite exi- tuje všeobecná zhoda na atribúcii APT28 ruskej spravodajskej službe GRU, z otvorených zdrojov nie je jednoznačné, v akom vzťahu, resp. po- stavení sú tieto entity voči sebe. Najpravdepodobnejšie scenáre hovoria o členoch skupiny ako zamestnancoch pracujúcich na plný úväzok pre túto tajnú službu5. O niečo menej pravdepodobnou sa zdá byť príležitosť donútenia členov skupiny pracovať pre ruské záujmy, pretože inak by

5 To vyplýva hlavne z časového okna vytvárania zdrojových kódov programov, ktoré časovo zapadá do moskovského pracovného režimu.

26 METODOLOGICKÉ UKOTVENIE PRÁCE boli kvôli svojej nelegálnej hackerskej minulosti odsúdení a potrestaní. Obe alebo prípadne aj iné možnosti sú v práci brané do úvahy, avšak kľú- čovým predpokladom pre analýzu APT28 pôsobia jej reálne uskutočnené aktivity, ktoré sú v konečnom dôsledku v zhode s ruskými záujmami. Tretia výzva v texte sa vyznačuje absenciou špecifickejších technic- kých znalostí a zručností jej autora. Táto nedokonalosť je však vykom- penzovaná zameraním práce na zahranično-politickú analýzu z pohľadu sociálnych vied s použitím zdrojov citujúcich výsledky kompetentných odborníkov. A teda jej cieľom nie je detailná alebo nebodaj forenzná ana- lýza útokov skupiny. Ako záverečné memento v rámci relevantnosti tejto práce slúži rea- listické priznanie autora, že aj kvôli vyššie spomenutým limitom a prí- padne iným nepreskúmaným faktorom môže napríklad v realite skupina APT28 fungovať na úplných iných princípoch alebo dokonca ani neexis- tovať6. Napriek množstvu podobných hypotéz však táto práca vychádza len z dostupných informácií a dát, z ktorých sú utvorené aj jej závery, a preto sa v maximálne možnej miere opiera o svoju relevanciu.

6 Prípadne by tento záver mohol byt aplikovaný na prítomnosť spoľahlivej kybernetic- kej bezpečnosti na Slovensku, ktorá jednoducho nedokázala doteraz ani len dete- govať sofistikovanejší kybernetický útok.

27 TEORETICKÉ UKOTVENIE PRÁCE

2 Teoretické ukotvenie práce

2.1 Definovanie kľúčových pojmov

Pre správne uchopenie obsahu tejto práce je potrebné definovať nie- koľko hlavných odborných pojmov, ktoré sa v nej vyskytujú. Niektoré z nich, osobitne tie všeobecnejšie zamerané, sa v rôznych expertných textoch a prípadne iných kontextoch môžu vysvetľovať mierne odliš- nými prístupmi. Preto definície a vysvetlenia použitých termínov sú po- ňaté takým spôsobom, v akom význame boli vybrané do textu tejto práce, a zároveň vychádzajú z odborných alebo legislatívnych rámcov.

Problematika tejto práce sa koncentruje na udalosti uskutočňované v ky- bernetickom priestore. Slovenský zákon o kybernetickej bezpečnosti ho definuje ako „globálny dynamický otvorený systém sietí a informačných systémov, ktorý tvoria aktivované prvky kybernetického priestoru, osoby vykonávajúce aktivity v tomto systéme a vzťahy a interakcie medzi nimi“ (Slov-lex.sk). Podľa českého Výkladového slovníka kybernetickej bez- pečnosti zas predstavuje digitálne prostredie zložené z informačných systémov, služieb a sietí elektronických komunikácií, v ktorých dochá- dza k vzniku, spracovaniu a výmene informácií (Afcea.cz). Pojem sieť v oblasti informačných technológií odkazuje na skupinu počítačov a ďalších zariadení, ktoré sú prepojené komunikačnými pro- striedkami. Najčastejším dôvodom pripojenia k sieti je zdieľanie infor- mácií a technických zariadení (Unipo.sk). Súhrn výpočtových a komunikačných komponentov a iných zdro- jov, ktoré podporujú jeden alebo viac objektívov danej organizácie sa na- zýva systém. Zdroje systému zahŕňajú akýkoľvek technický komponent a s ním súvisiace postupy, a fyzické zariadenia, ktoré sa používajú na zís- kavanie, ukladanie, manipuláciu, zobrazovanie alebo prenos údajov alebo na riadenie alebo monitorovanie prevádzkových postupov. Systém môže pozostávať z jedného alebo viacerých počítačov a ich súvisiacich zdrojov akejkoľvek veľkosti. Zložky, ktoré tvoria systém, nemusia byť fy- zicky spojené (Nist.gov). Samotný pojem kybernetická bezpečnosť teda označuje „stav, v ktorom sú siete a informačné systémy schopné odolávať na určitom stupni spoľahlivosti akémukoľvek konaniu, ktoré ohrozuje dostupnosť, pravosť, integritu alebo dôvernosť uchovávaných, prenášaných alebo spracúvaných

28 TEORETICKÉ UKOTVENIE PRÁCE

údajov alebo súvisiacich služieb poskytovaných alebo prístupných pro- stredníctvom týchto sietí a informačných systémov“. Definíciu vychádza- júcu zo zákona o kybernetickej bezpečnosti ďalej vhodne dopĺňa vysvet- lenie tohto pojmu podľa slovníka NATO ako „uplatňovanie bezpečnost- ných opatrení na ochranu komunikačných, informačných a iných elektro- nických systémov, rovnako ako informácií, ktoré sa v nich ukladajú, spra- cúvajú alebo sa nimi prenášajú s ohľadom na dôvernosť, integritu, dostup- nosť, overovanie a nepopierateľnosť“ (Cybersec.sk).

Termín kybernetická bezpečnosť sa však v niektorých prípadoch nevhodne priraďuje ako synonymum k pojmu kybernetická obrana. Kým prvý z nich aj podľa použitých definícií predstavuje primárne udr- žanie stability sietí a nedotknuteľnosti informácií, v ktorej majú svoju úlohu štátny aj súkromný sektor, kybernetická obrana sa opiera o auto- ritu štátu chrániť suverenitu štátu voči činom nepriateľských krajín, ktorá môže eskalovať až na úroveň nevyhnutnosti použiť protireakciu v kybernetickom priestore alebo v krajnom prípade dokonca priamo fy- zicky. Z tohto dôvodu sa obrana podriaďuje vojenským zložkám štátu a naopak bezpečnosť tým civilným a súkromným (Ayers 2016, 15). V definícii kybernetickej bezpečnosti zastávajú signifikantnú úlohu tri faktory (CIA), ktorých zaistenie je potrebné k udržaniu nevyhnutnej úrovne bezpečnosti: • Confidentiality – dôvernosť – zamedzenie prístupu nepovo- laných osôb k informáciám, ktoré dané systémy alebo zaria- denia obsahujú. o príkladom narušenia dôvernosti sú ešpionáže • Integrity – celistvosť - znamená vylúčenie možnosti nepozo- rovanej modifikácie údajov neoprávnenými osobami o príkladom narušenia celistvosti je zmena obsahu we- bovej stránky • Availability – dostupnosť – zaistenie prístupu k údajom a príležitosti využívania služieb vždy, keď to oprávnená osoba vyžaduje o príklad narušenia dostupnosti sú DDOS útoky7 (Mirri.gov.sk).

7 Takýto útok spočíva v masovom zahltení určitého webového portálu alebo zariade- nia požiadavkami, pričom pri prekročení kritického množstva požiadavok ich daný

29 TEORETICKÉ UKOTVENIE PRÁCE

Nebezpečenstvo pre tri zmienené faktory predstavujú kyberne- tické hrozby. Tie sú chápané ako akákoľvek okolnosť alebo udalosť, ktorá môže nepriaznivo ovplyvniť fungovanie (vrátane poslania, funkcií, imidžu alebo reputácie) jednotlivcov, organizácií, alebo štátov využitím kybernetických prostriedkov a to napríklad neoprávneným prístupom, zničením, zverejnením alebo úpravou informácií alebo zabránením prí- stupu k nim (Nist.gov). Hocijaká udalosť, ktorá spôsobí alebo hypote- ticky môže mať negatívy dopad na bezpečnosť systému alebo organizá- cie, sa zvykne označovať ako bezpečnostný incident. Jeho následky sa však môžu prejaviť rôznymi spôsobmi. Činiteľ, ktorý je schopný takýto druh hrozby zrealizovať, sa nazýva nositeľ hrozby, teda potenciálna hrozba. Až pri cieľavedomom pokuse o naplnenie hrozby sa daný činiteľ mení na útočníka a jeho aktivita na útok (Mirri.gov.sk). Kybernetický útočník teda predstavuje aktéra, ktorý pri využití in- formačných technológií, svojich znalostí a potrebných kapacít dokáže aj bez fyzického prístupu k svojmu cieľu naplniť podstatu kybernetickej hrozby (nezávisle na jeho úspešnosti). Kybernetický aktér, ktorého mo- tivácia spočíva vo vykonaní negatívnych činov vplývajúcej z potenciál- nej hrozby pre svoju obeť, sa nazýva aj škodlivý aktér (Kačmár 2016). Najmä v publicistických textoch alebo v populárno-náučných zdrojoch sa zjednodušene pomenúva aj ako hacker (teda osoba, ktorá sa snaží nájsť nové či originálne využitie pre systém alebo jeho časť, ktorého pôvodné využitie bolo úplne odlišné) a jeho činnosť ako hackovanie (teda dlho- dobá a cieľavedomá aktivita, pri ktorej hľadá zraniteľnosti vo vybranom systéme a snaží sa ich využiť) (Eset.com). Zrealizovanie hrozby útočníkom predstavuje kybernetický útok, ktorý slovenský zákon chápe ako „konanie, ktoré ohrozuje dostupnosť, pravosť, integritu alebo dôvernosť uchovávaných, prenášaných alebo spra- cúvaných údajov alebo súvisiacich služieb poskytovaných alebo prístup- ných prostredníctvom sietí a informačných systémov“ (Cybersec.sk). Ako množina viacerých koordinovaných akcií voči určitej sieti alebo systému sa dá označiť aj kybernetická operácia. Tá sa môže zorganizovať vo forme jednorazových útokov alebo aj neprestajne rádovo počas niekoľ- kých mesiacov až rokov. Veľmi často, avšak významovo nevhodne, sa ako synonymum operácii označujú aj kybernetické kampane. V ich prípade však ide o sériu koordinovaných kybernetických operácií voči odlišným

portál ďalej nie je schopný prijímať, preto je vyradený z činnosti a stáva sa nedo- stupným (Cloudfare.com).

30 TEORETICKÉ UKOTVENIE PRÁCE cieľom a rôznymi metódami, ktoré však vedú ku jednému strategickému objektívu8 (Harknett, Smeets 2020). V konkrétnych prípadoch je však vzhľadom na často prítomný nedostatok komplexných informácií ná- ročné rozlíšiť vhodnosť použitia jedného z týchto pojmov. S vyššie spo- mínanými pojmami úzko súvisia aj objektívy – teda útočníkove hlavné zámery a žiadané strategické výstupy pri daných aktivitách, a ciele, resp. obete – teda zasiahnuté entity, či už chápané ako jednotlivci, organizácie alebo štáty. Dôležitým aspektom každého kybernetického útoku alebo navažu- júcich činností je priradenie zodpovednosti za jeho uskutočnenie kon- krétnemu aktérovi, teda atribúcia. Okrem morálneho, právneho a poli- tického dôvodu sa z atribúcie stala aj výrazná podpora pri mitigácii dô- sledkov kybernetického útoku, keďže pri už hlbších znalostiach na zá- klade skúseností so správaním určitých aktérov pomáha pri čo najrých- lejšom návrate zasiahnutých systémov do opätovného fungovania (Enisa.europa.eu). Atribúcie vychádzajú z detailných analýz útokov, pri- čom vo všeobecnosti sa sústreďujú predovšetkým na tzv. TTPs – teda techniky, nástroje a procedúry, ktoré útočník pri danej aktivite použil a vykonal. Z nich vytvorené rámce sa stávajú návody, ktoré pomáhajú pri rýchlej atribúcii a skracujú čas na potenciálny odvetný krok obete útoku (Dunham 2017).

Pri kybernetických útokov využívajú útočníci rôzne spôsoby, kto- rými sa snažia zneužiť zraniteľnosti (teda diery uľahčujúce škodlivú ak- tivitu) a kompromitovať cieľový systém, pričom súhrnne sa nazývajú ako vektory útokov. Tie fungujú na báze troch prístupov – využívajú

8 Napríklad: Ako kybernetický útok sa dá označiť odoslanie phishingového emailu za- mestnancovi ministerstva zahraničia, zatiaľ čo kybernetická operácia by predsta- vovala odoslanie rôznych phishingových emailov desiatkam zamestnancov toho istého ministerstva ako aj pracovníkom na ministerstve obrany. Úroveň kyberne- tickej kampane by bola dosiahnutá v prípade, ak by sa popri daných emailoch útoč- ník snažil aj o preniknutie do účtov predsedu vlády v danej krajine a získané citlivé dáta by nechal zverejniť. Pri kampani by teda preniknutím do systémov minister- stiev klesla dôvera občanov v schopnosť štátu si zabezpečiť svoje zariadenia, ve- rejným skompromitovaním premiéra by sa znížila podpora občanov v politické elity a tak strategický cieľ – oslabenie demokracie v krajine – by sa útočníkovi po- darilo naplniť.

31 TEORETICKÉ UKOTVENIE PRÁCE techniky sociálneho inžinierstva, škodlivé programy a zero-day zraniteľ- nosti. Sociálne inžinierstvo súhrne pokrýva všetky metódy, ktorými sa útočník snaží získať dôveru a presvedčiť obeť, aby odhalila konkrétne informácie, ktorými disponuje, alebo vykonala konkrétny úkon z nelegi- tímnych postojov (Cybersec.sk). Hlavná podstata týchto techník sa spo- lieha na psychologickú manipuláciu alebo presvedčenie. V kybernetic- kom priestore sa tieto postupy najčastejšie uplatňujú vo forme emailo- vých správ, ktoré majú ich adresátov doviesť k vyplneniu prihlasovacích formulárov vyžadujúc si ich osobné údaje a citlivé informácie, pričom prioritný záujem útočníkov sa koncentruje na zisk prihlasovacích údajov do emailových alebo pracovných účtov9. Jadrom celého postupu je navo- denie dojmu pre obete, že vypĺňajú legitímne formuláre, ktoré však v skutočnosti obdržali v emailoch ako prílohy alebo URL odkazy na fa- lošné webové stránky. Takéto aktivity sa nazývajú phishing. Pri špecific- kom a detailnom zameraní na konkrétny cieľ uplatňuje útočník osobitný prístup, v ktorom daná emailová správa oslovuje priamo konkrétneho človeka s jeho menom alebo predtým získanými osobnými údajmi a v tomto prípade ide o spearphishing, teda presne namierený útok. Tie sa zameriavajú špecificky na vysokopostavené ciele alebo kľúčové osoby v daných organizáciách (Nist.gov). Medzi druhú hlavnú kategóriu vektorov útokov patria škodlivé programy - malvéry10. Tie fungujú na báze využívania zraniteľností, teda chýb v programoch a fyzických zariadeniach alebo ľudských zly- haní, a pod označenie podlieha v podstate akýkoľvek druh aplikácie, ktorá vykonáva nevyžiadané aktivity (pre obeť) ako sú krádeže dát, zmena nastavení alebo iná kompromitácia systémov. Medzi hlavné typy malvérov patria trojany, ktoré sa maskujú za legitímny softvér, aby pre- svedčili užívateľa si daný program nainštalovať, a následne na pozadí procesov vykonávajú škodlivú aktivitu. Podobne ako aj vírusy, tiež vyža- dujú prvotnú akciu od obete, ktorá spočíva buď v nainštalovaní alebo

9 Medzi elementárne typy informácií, ktoré sa spracovávajú elektronicky a teda sú s nimi spojené riziká pri ich získaní škodlivými aktérmi, patria: utajované skutoč- nosti, osobné údaje (na základe ktorých je možné osoby priamo alebo nepriamo identifikovať), obchodné, daňové alebo telekomunikačné informácie tvoriace ta- jomstvo, citlivé informácie o kritickej infraštruktúre a jadrovej energii alebo citlivé informácie, ktorých prezradenie môže znamenať ujmu pre štát (Globsec.org 2019). 10 Z anglického Malware – MALicious softWARE, teda škodlivý program.

32 TEORETICKÉ UKOTVENIE PRÁCE v stiahnutí škodlivého programu do svojho zariadenia. Naproti tomu červy (worms) sa medzi zariadeniami v sieti šíria bez nutnosti prvotnej akcie obete. Účelom využívania daných malvérov je snaha útočníkov o vykonávanie neautorizovaných procesov, ktorých negatívne dopady sa dotýkajú dôvernosti, integrity alebo dostupnosti systémov (Enisa.eu- ropa.eu). Posledným široko rozšíreným vektorom útoku sa hovorí zero-day útoky. Tento výraz opisuje zneužitie a rozšírenie chyby alebo medzery v určitej časti systému, ktorá ešte nie je verejne známa. Pomocou získa- ných informácií o diere v systémoch útočník doňho vedia preniknúť a vykonávať škodlivé aktivity (Cybersec.sk). Ďalšie vektory útokov nepatria medzi vysoko používané vzhľadom na potrebu technologického vybavenia (na rozdiel od malvérov, ktorých dostupnosť v prípade absencie technologického know-how závisí len od finančných kapacít potenciálneho útočníka), ale predovšetkým pre APT skupiny začínajú predstavovať čoraz častejšiu činnosť v posledných dvoch rokoch, a to je brute force attack a password spray11. Tie spočí- vajú v technologických procesoch zisťovania hesla alebo otvorení zašif- rovaných dokumentov pomocou masívneho skúšania kombinácií slov, čí- siel a iných znakov. So zreteľom na obrovské množstvo týchto kombiná- cií preto útočníci potrebujú vhodné zariadenia, ktoré toto skúšanie do- kážu uskutočňovať. Zároveň však tento vektor útokov prináša vysokú automatizáciu, keďže bez manuálnej práce útočníka vykonáva majoritnú časť aktivity potrebnej pre prienik do systémov alebo zariadení obete (Kelley 2020).

2.2 Definovanie APT

Pojem Advanced Persistent Threat vo všeobecnosti označuje sofistiko- vane zrealizovaný kybernetický útok, v ktorom jednotlivec alebo sku- pina pomocou neautorizovaného prístupu prenikne do siete obete a bez detegovania v nej zostane prítomný dlhšie časové obdobie (Maloney 2018).

11 Vzhľadom na relatívne nižšie rozšírenie a doterajšie skôr krátkodobé využívanie nie je v slovenčine dostupný vhodný preklad a v slovenskej literatúre sa tieto pojmy zväčša neprekladajú.

33 TEORETICKÉ UKOTVENIE PRÁCE

Termín APT sa skladá z troch nasledujúcich súčastí: Advanced – pokročilosť takéhoto útoku vychádza zo schopností jeho pô- vodcu kombinovať rôzne metódy, nástroje a vektory útokov pri dosaho- vaní, kompromitácii a udržaní prístupu do siete obete. Princíp pokroči- losti nevyhnutne nepredstavuje náročnosť používaných nástrojov a tak- tík, podstatná je schopnosť ich využiť alebo vylepšiť. Okrem technickej rôznorodosti útokov sa pokročilosť odráža aj v skúsenostiach samotných útočníkov a v podpore, ktorá im je dodávaná vo forme financií, krytia a udržateľnosti pracovných okolností (Itgovernance.co.uk). Persistent – útoky vo výraznej väčšine prípadov spočívajú nenápadnom a postupnom slede, nejedná sa teda o nárazové DDOS útoky alebo útoky s okamžitým dopadom na obeť. Útoky prebiehajú v dlhodobej perspek- tíve, pričom je v nich prítomná vytrvalá snaha o získanie prístupu do sietí obete. Častý jav predstavujú aj niekoľkomesačné útočné kampane. Po získaní prístupu zostáva útočník v sieti prítomný dlhšie časové obdobie podľa svojich záujmov (Secureworks 2016). Threat – hrozba takýchto útokov spočíva v dosahoch, ktoré hrozia pri úspešnom naplnení záujmov útočníkov. Vysoké riziko z takýchto hrozieb plynie nie z okamžitých následkov, ale zo širších konsekvencií, ktoré pre obeť predstavujú potenciálne do budúcnosti. Motivácia útočníkov zväčša nesmeruje voči napríklad jednoduchému okradnutiu obete o jeho finan- cie, ale o získanie know-how, ako ich daný cieľ získava, alebo o konkrétny typ informácií, prípadne narušenia viacerých zložiek v rámci CIA (Seker 2020). Vyššie zmienená definícia a aj následný opis pojmu APT sa vychádza z naratívu, že APT predstavuje druh kybernetického útoku. Ahmad a kol. (2019) však argumentuje, že na APT sa je možné nazerať z troch per- spektív ako na: ▪ Celkový obraz - teda skupina, organizácia ▪ Plán na dosiahnutie cieľa - teda strategický/taktický koncept ▪ Konkrétne kroky na dosiahnutie cieľa – teda kybernetický útok, resp. metóda jeho prevedenia Nejasnosti o vymedzení pojmu APT ako buď konkrétnej skupiny, type útoku alebo spôsobe operácie sa prejavujú rovnako v odborných textoch venujúcim sa kybernetickým útokom, ako aj v analytických re- portoch kybernetických bezpečnostných spoločností. V oboch prípadoch

34 TEORETICKÉ UKOTVENIE PRÁCE sa daný pojem vníma v rôznych kontextoch, často sa ním dokonca v jed- nom texte označujú odlišné koncepty12. Zjednocujúci faktor pri odlišných chápaniach pojmu APT však tvorí práve vecný význam jeho jednotlivých súčastí. Definície slov Advanced, Persistent a Threat v kontexte kybernetických hrozieb sa totiž legitímne vzťahujú na typ aktéra ako aj na druh kybernetického útoku (Secure- works 2016). Problém teda spočíva skôr v nejasnostiach pri utváraní všeobecnej uznávanej zhode na význame slova APT než v jeho samotnom obsahu. V prípade odborných textov, v ktorých sa pojem APT často vy- skytuje bez konkrétnej nadväznosti, to záleží od individuálneho prístupu autora. Publicistické alebo reportážne texty sa takmer výlučne zameria- vajú na konkrétnu hrozbu a preto sa v nich takmer vždy uvádza pojem APT v súvislosti s aktérom. No vo všeobecnosti, majoritná väčšina textov sa s týmito nejasnosťami vyrovnáva vcelku jednoducho – ak sa zaoberajú konkrétnou APT vo význame ako kybernetický aktér, tak spolu s týmto pojmom uvedú práve slovo „aktér“ alebo „skupina“13. Nad absolútne platnou definíciou významu pojmu APT sa teda aj na- ďalej prebieha odborná debata, pri ktorej existuje len malá šanca, že by v blízkom časovom období došlo ku konkrétnemu záveru. Veľký vplyv v nej zohráva aj fragmentácia kybernetickej bezpečnosti medzi štátny a súkromný sektor. V konečnom dôsledku však pre závery analýz nie je takáto rozporuplnosť smerodajná, keďže ako už bolo spomenuté, väč- šina textov spolu s pojmom APT uvádza aj dodatok, či sa to týka konkrét- neho útoku alebo aktéra. V súvislosti s jasným vymedzením pojmov preto táto práca, ktorá sa zameriava na vnímanie APT ako aktéra, využíva rovnaký prístup a za da- ným pojmom vždy uvádza dodatok (či už vo forme konkrétneho názvu skupiny alebo všeobecne ako „skupina/aktér“)14.

12 Vhodný príklad predstavuje odborný text od Bahrami a kol. (2019), v ktorom sa po- jem APT vyskytuje v rôznych významoch buď ako druh kybernetickej hrozby alebo ako typ aktéra. 13 V anglických textoch sa teda uvádza slovné spojenie „APT actor“ alebo „APT group“. V slovenských textoch sa pojem APT doslova nezvykne prekladať a využíva sa teda podobný prístup ako v angličtine – „APT aktér“ alebo „APT skupina“. 14 S tým súvisí aj fokus práce na jednu konkrétnu APT skupinu, pre ktorý nie je po- trebné ďalej analyzovať pojem APT ako určitý druh útoku.

35 TEORETICKÉ UKOTVENIE PRÁCE

V tejto práci je teda termín APT skupina označovaný ako aktér, ktorý vďaka podpore zo strany štátu alebo v minoritných prípadoch z vlast- ných zdrojov, oplýva dostatočnými kapacitami a schopnosťami na usku- točnenie prienikov do systémov a sietí rôznych cieľov. Následky týchto útokov spočívajú v získaní citlivých informácií, narušení alebo zničení in- fraštruktúry obete alebo krádeži finančných prostriedkov (Lake 2020). Medzi štáty, ktoré sú primárnymi podporovateľmi APT skupín, sa zara- ďuje Ruská federácia, Čína, Irán a Severná Kórea. Kybernetický expert Dmitri Alperovitch zo spoločnosti CrowdStrike prišiel s označením APT skupín na základe ich štátneho sponzora, takže v postupnosti zmiene- ných štátov ich označuje ako Bears (Medvede), Pandas (Pandy), Kittens (Mačiatka) a Chollimas (mýtický okrídlený kôň) (Ward 2016). Samo- statné skupiny, ktorých motiváciou je výlučne finančný zisk, sa zvyknú označovať s predponou FIN. Iná kybernetická bezpečnostná spoločnosť FireEye zas APT skupinám pri ich identifikácii priraďuje jednoduché číslo (napr. APT28 alebo APT29) (Fireeye.com).

2.3 Zaradenie APT skupín medzi aktérov v kybernetickom priestore

V kybernetickom priestore sa vyskytuje hneď niekoľko typov aktérov, ktorých akcie a procesy sú charakterizované škodlivými alebo nepriateľ- skými skutkami, pri ktorých sú použité počítače, zariadenia alebo infor- mačné siete s motiváciu uškodiť obetiam útokov (Cisecurity.org). Títo aktéri môžu byť viac alebo menej organizovaní, čo znamená, že sú rôzne hierarchicky usporiadaní a taktiež závisí, či ich činnosť prebieha celkom koordinovane podľa strategicky naplánovaných postupov alebo skôr ad hoc. Medzi dané typy aktérov v kybernetickom prostredí patria:

▪ Script kiddies – tzv. skriptové deti reprezentujú jednotlivcov, ktorí nie sú natoľko zruční si vytvoriť vlastné útočné nástroje a využívajú tie od iných vývojárov. Orientujú sa predovšetkým na ľahko zraniteľné ciele s motiváciou vandalizmu. ▪ Kyberkriminálnici – jednotlivci alebo skupiny motivované pri- márne finančnými ziskami, ktoré tvoria na základe predaja ukrad- nutých dát alebo na zablokovania prístupu k nim.

36 TEORETICKÉ UKOTVENIE PRÁCE

▪ Insideri – súčasní alebo bývalí zamestnanci spoločností s pokra- čujúcim prístupom do ich vnútorných sietí a systémov, ktorý ve- dome zneužijú v narušení CIA informácií alebo zariadení svojho zamestnávateľa. Ich motívom je finančný zisk alebo pokus o po- škodenie danej spoločnosti. ▪ Hacktivisti – politicky, ideologicky alebo sociálne motivovaní jednotlivci alebo skupiny snažiaci sa o získanie verejnej pozor- nosti alebo premenu zaužívaných javov alebo postupov v spoloč- nosti. ▪ Teroristické organizácie – kybernetický priestor využívajú na ničivé akcie alebo vyhrážanie, prostredníctvom internetu šíria svoju propagandu a regrutujú nových členov. ▪ Aktéri s podporou štátov – agresívne mieria a získavajú prístup do verejných a súkromných sietí so snahou o kompromitáciu, ukradnutie, zmeny alebo zničenie získaných dát. Aktéri sú zväčša buď priamo súčasťou štátnych aparátov alebo dostávajú fi- nančnú, technickú a logistickú podporu zo strany štátov (Cisecu- rity.org; Redlegg 2020).

Takéto delenie typov nebezpečných aktérov v kybernetickom priestore je s malými odchýlkami všeobecne uznávané tak v súkromnej kyberne- tickej sfére ako aj v tej štátnej15. Pri snahe o zadefinovanie pozície APT skupín v danej typológii však mnohokrát dochádza k nezrovnalostiam. Častý jav totiž predstavuje zámena kybernetických aktérov s podporu štátov práve za APT skupiny, a to buď vytvorením synonymického spo- jenia medzi oboma pojmami alebo ich označením ako toho istého feno- ménu. Takéto prepojenie vychádza najmä zo zjednodušujúceho prístupu, ktorý APT skupiny vykresľuje len ako aktérov podporovaných štátov. Tento prístup je však veľmi obmedzený, pretože pojem APT sa vzťahuje na entitu s vyššie opísanými charakteristikami, teda na sofistikovanú a odolnú hrozbu, a nie výlučne na aktéra naviazaného na štát (Cisecu- rity.org). Drvivá väčšina APT skupín však naozaj pôsobí pod patronátom určitých štátov. Vychádza to totiž z ich takmer neobmedzených kapacít, ktoré sú im zo strany štátu dodávané, a preto majú vysoký potenciál na

15 Napríklad Kanadské národné centrum pre kybernetickú bezpečnosť k uvedeným ty- pom ešte pridáva tzv. hľadačov senzácii, ktorých motivácia spočíva v osobnom uspokojení zo svojich aktivít (Cyber.gc.ca).

37 TEORETICKÉ UKOTVENIE PRÁCE uskutočňovanie sofistikovaných a dlhodobých kampaní na rozdiel od na- príklad kriminálnych skupín alebo hacktivistov, ktorí si svoju činnosť musia financovať vlastnými prostrediami a silami. Čiastočnú výnimku tvorí úzky výber prvotriednych kyberkriminálnych skupín, ktoré si po- čas náklady na svoju činnosť dokážu pokryť vďaka úspešným už vyko- naným útokom (Cyber.gc.ca). Vo všeobecnosti tak nie je úplne vhodné postaviť na rovnakú úroveň kybernetických aktérov podporovaných štátmi a APT skupiny. Ďalší zá- važný problém totiž prináša zaradenie tej-ktorej entity do jednej z vyššie zmienených kategórií. Naráža to na nedostatok verejne dostupných zdrojov a problém napríklad predstavuje aj skutočnosť, že či aj bez pria- mej finančnej podpory zo strany štátu môže určitý aktér napĺňať charak- teristiky zoskupenia podporovaného štátom, ak sa jeho objektívy jednoz- načne prekrývajú so záujmami niektorej krajiny. Ako ideálna možnosť predísť zovšeobecňujúcim záverom sa preto javí byť podrobná analýza konkrétneho aktéra, ako je tomu aj v tejto práci o skupine APT28. Samotné rozdelenie aktérov na základe motivácie ich útokov, pod- pore a modusu operandi síce nebude nikdy absolútne jednoznačné a ne- menné, avšak prináša dôležitý aspekt v plánovaní kybernetickej bezpeč- nosti organizácií vo všetkých sektoroch, ktoré vzhľadom na svoju pôsob- nosť môžu identifikovať potenciálny typ aktéra predstavujúceho najväč- šiu a najrealistickejšiu hrozbu pre nich16. Zreteľné rozdiely vo fungovaní APT skupín, hacktivistov a kyberkriminálkov ukazuje aj nasledujúci dia- gram:

16 Z logiky vecí totiž vyplýva, že napríklad stredná umelecká škola sa nemusí oriento- vať na vybudovanie kybernetickej ochrany pred malvérovými útokmi v takej miere ako susediaca pobočka banky, keďže ak v prvom prípade predstavuje najre- alistickejšiu hrozbu tzv. skriptové dieťa, v druhom prípade je relevantné sa pripra- viť na útok pochádzajúci zo strany kyberkriminálnikov.

38 TEORETICKÉ UKOTVENIE PRÁCE

Obrázok 1: Vzorec fungovania kybernetických aktérov

Zdroj: Seker 2020

Proces fungovania APT skupiny (v diagrame označené fialovou farbou) sa pri útoku teda dotýka všetkých súčastí tohto cyklu. Naproti tomu, hacktivisti (žltá farba) sa pri svojich aktivitách zvyčajne nezaoberajú prieskumom svojho cieľa, nesnažia sa o udržanie dlhodobejšieho prí- stupu do jeho sietí a ani nepokladajú za nevyhnutné za sebou zakryť stopy, aby nedošlo k ich atribúcii. Fungovanie väčšiny kyberkriminál- nych skupín je založené na podobnom prístupe, avšak vo fáze pred úto- kom prikladajú väčšiu mieru dôležitosti získaniu podrobností o svojich cieľoch, ktorých selekcia však zároveň nespočíva vo vopred zadefinova- ných oblastiach. Cieľom tohto diagramu je teda zvýrazniť osobitné silnej- šie naviazanie APT skupín na úspešné uskutočnenie jasne definovaných a zamierených útokov v porovnaní s menej koordinovanými hacktivis- tami alebo kyberkriminálnikmi.

2.4 Atribúcia APT skupín

Priradenie zodpovednosti za kybernetický útok konkrétnemu aktérovi znamená významný krok nielen z morálneho hľadiska pre obeť jeho úto- kov, ale tak aj z preventívneho zreteľa ako súčasť prípravy na ďalšie po- tenciálne ofenzívy. Extrémna dôležitosť je nadovšetko prisúdená atribú- cii útokov pochádzajúcich od APT skupín, keďže u nich sa predpokladá kontinuita činností v budúcnosti. Svetovo uznávané autority v oblasti

39 TEORETICKÉ UKOTVENIE PRÁCE bezpečnosti Peter W.Singer a Allan Friedman sa tak spolu zhodujú na opise atribúcie ako najpálčivejšej otázke v kybernetickom priestore (Tran 2018, 387). V súvislosti s atribúciou APT skupín sa však objavujú viacero kom- plikácií. Tou prvou je technická štruktúra a dizajn internetu, ktoré umož- ňujú odosielať dáta bez priradenia k ich pôvodnému autorovi, resp. za- riadeniu, z ktorého boli odoslané. Úspešnému označeniu autora aktivity totiž bráni anonymita na internete a preto je celkom bežné, že pôvodca útoku zostáva neodhalený niekoľko mesiacov alebo rokov, a to bez ohľadu na to, či sa nachádza v blízkej fyzickej vzdialenosti od terča akti- vity alebo na úplne inom kontinente (Tran 2018, 388). V oboch prípa- doch totiž môže svoj postup zakryť pomocou využitia zariadení prepoje- ných so servermi a sieťami nachádzajúcimi sa v úplne rôznych lokali- tách. Vyšetrovatelia už naplneného útoku sa síce dostanú k metadátam, zdrojovým kódom malvérov, jazyku v ktorom sú napísané alebo časo- vých údajoch o ich vytvorení, avšak dôveryhodnosť týchto údajov je možné zneistiť napríklad napísaním škodlivého programu v inom ako materinskom jazyku útočníka (Davis a kol. 2017, 10) Druhá komplikácia pri atribúcii APT skupín sa špecificky týka defi- novania zodpovednosti toho-ktorého štátu ako podporovateľa určitej APT skupiny. Podľa medzinárodného práva sú štáty zodpovedné za činy, ktoré vykonávajú neštátni aktéri v ich mene. No zároveň je obrovský problém dokázať, že by sa aktivita konkrétneho aktéra zakladala na prí- kazoch od určitého štátu, hlavne ak sa to týka ilegálnych skutkov, pretože v tých prípadoch sa štáty zvyknú obhajovať tvrdením, že nad skutkami skupinami majú len minimálny dohľad a kontrolu. Práve miera kontroly štátu nad týmito aktérmi slúži ako hlavný argument pri zriekaní sa zod- povednosti štátu, pretože ani v medzinárodnom práve nie sú jasné defi- nované kontrolné mechanizmy (Tran 2020, 418). V prípade APT skupín sa však štáty ani len nepriznávajú k podporovaní niektorej z nich, pre- tože sú si vedomé náročnosti atribúcie, pri ktorej napríklad dokázať prí- tomnosť zariadenia použitého pri útoku na svojom suverénnom území a s tým spojiť aj zodpovednosť štátu je bez proaktívnej spolupráce všet- kých zapojených strán veľmi náročné. Pri určovaní zodpovednosti štátu ako podporovateľa určitej APT skupiny sa teda prihliada najmä na poli- tický kontext jej útokov, typ cieľov a čas uskutočnenia (Davis a kol. 2017, 12). Aj tento prístup však obsahuje určité limity, napríklad musí brať do úvahy možnosť útokov pod falošnou zástavou, pretože z prevedenia úto- kov voči niektorým cieľom môžu benefitovať viaceré štáty alebo v inom

40 TEORETICKÉ UKOTVENIE PRÁCE prípade štát využije kybernetický útok ako manéver na odpútanie pozor- nosti od nimi aktuálne uskutočňovanej spravodajskej operácie (Maloney 2017).

Proces atribúcie APT skupín teda obsahuje viacero problémových bodov. Z nich vychádzajúcimi pochybnosťami sa organizácie alebo štátne orgány pri atribúcii snažia vyrovnať predovšetkým dôveryhod- ným ustanovením relevantných dôkazov. Na jednotlivé útoky nazerajú skôr z perspektívy komplexných útočných kampaní a snažia sa o vzá- jomné prepojenie technických aj politických indikátorov, ktoré po inter- pretovaní všetkých dostupných informácií zasadzujú do kontextu (Bus- solati 2015).

Signifikantný bod pri atribúcii činí aj odkomunikovanie záverečných zistení. V tom zohráva podstatnú rolu aj forma vyhlásenia, ktorá sa usku- točňuje buď v podobe vyhlásení najvyšších politických činiteľov štátov, reportov štátnych orgánov alebo v prípade pochybností o jednoznač- nosti záverov sa zistené skutočnosti bežne prezentujú aj v podobe publi- cistických textov pochádzajúcich z anonymných zdrojov (za ktorými v skutočnosti stojí štátna moc). Osobitnú pozíciu zastávajú analýzy súk- romných kybernetických spoločností a investigatívnych novinárov, kto- rých proaktívna činnosť často vedie aj k zverejneniu doposiaľ nezná- mych atribúcií. Takáto rôznorodá zmes aktérov, ktorí zverejňujú svoje zistenia o aktivitách APT skupín má však za následok aj vytváranie nedo- rozumení a prekrúcaní, ktoré pre politikov a bežných občanov predsta- vuje obvyklý jav, a to už spomínané označenie toho istého aktéra viace- rými menami (Davis a kol. 2017, 16-21). Rôzne pomenovania sa tak pre- tavia aj do odlišnej interpretácie aktivít danej skupiny zistených na zá- klade nie identických indikátorov, napríklad ako je tomu v prípade v tejto práci analyzovanej skupiny APT28 (Obrázok 2):

41 TEORETICKÉ UKOTVENIE PRÁCE

Obrázok 2: Presah názvov toho istého aktéra pri skúmaní inými or- ganizáciami17

Zdroj: Davis a kol. 2017, 21

Napriek miernym odlišnostiam v zistených faktoch o aktivitách skupiny však prevláda všeobecná zhoda v kybernetickej bezpečnostnej komu- nite, že sa všetky zmienené názvy týkajú rovnakého kybernetického ak- téra (Thaicert 2019).

2.5 Teoretický rámec od Forresta Hare

Diplomová práca sa opiera o teoretický rámec od Forresta Hare, ktorý sa sústreďuje na hrozby pre národnú bezcennosť krajiny z pohľadu kyber- netického priestoru. Prívlastok národná však nepredstavuje konkrétny zoznam definícií alebo vlastností, ktorými by bolo absolútne detailne de- finovať vybranú časť bezpečnosti. Z povahy tohto slova je možné usudzo- vať, že pri jeho použití sa pozornosť obracia na jeden konkrétny štát. Ma- júc ale na pamäti frekventovaný problém v sociálnych vedách - a to, že nájsť všeobecne uznávanú zhodu na definícii pojmov nebýva veľmi čas- tou situáciou, práve naopak – práca z praktických dôvodov používa vý- znamy pojmov v tejto kapitole tak, ako ich vo svojich textoch uvádza Forrest Hare. Hare (2010, 213) pri vytváraní definície hrozby pre národnú bezpeč- nosť poukazuje na známy koncept sekuritizácie od Barryho Buzana a svojimi slovami ho opisuje ako proces, kedy sa určitá situácia alebo prob- lém stáva existenčnou hrozbou pre štát vtedy, keď na jej vyriešenie je nevyhnutné použiť mimoriadne opatrenia, ktoré presahujú bežné poli- tické zásahy. Z toho vyplýva, že v celom procese musia byť prítomné tri

17 Autori označení: APT28 – Mandiant; Fancy Bear – CrowdStrike; Strontium – Micro- soft; Sofacy – Kaspersky (Thaicert 2019).

42 TEORETICKÉ UKOTVENIE PRÁCE prvky – hrozba, obeť a samotné vnímanie hrozby obeťou ako svojho ohrozenia. Forrest Hare ďalej uvádza, že v kybernetickom priestore sa pod slo- vom hrozba dajú chápať rôzne kriminálne skupiny, teroristov alebo štát- nych aktérov. V prípade opisu obetí ale nastáva zložitejšia situácia. Na- priek tomu, že v ohrození sa môžu ocitnúť len jednotlivci (napr. kvôli zneužitiu osobných údajov) alebo obchodné spoločnosti (napr. indus- triálnou ešpionážou), procesom sekuritizácie sa závažná hrozba ich po- škodenia môže presunúť na národnú úroveň. V prípadoch, keď jednotliví občania alebo spoločnosti čelia existenčnému riziku pre svoje záujmy, je takto možné zdôvodniť verejné kroky, pretože bezpečnosť štátu sa po- važuje za verejný statok. Politici sú preto motivovaní sekuritizovať hrozby pre jednotlivých občanov, pretože sú zodpovední za zastupova- nie záujmov ich voličov, vrátane motivácie si zabezpečiť ich volebnú pod- poru do budúcnosti (Hare 2010, 213).

Narušenie bezpečnosti štátu pomocou aktivít nepriateľských štátov alebo škodlivých aktérov v kybernetickom priestore sa uskutočňuje pri- márne dvoma spôsobmi – preniknutím do strategických informač- ných systémov alebo narušením fungovania kritickej infraštruk- túry18.

Pri zohľadnení oboch spomínaných hrozieb pre štát, s dôrazom na oblasť kybernetického priestoru, Forrest Hare definuje národnú bezpečnosť ako

„verejný statok v stave, v ktorom populácia, vládne inštitúcie a kritická infraštruktúra nie sú ohrození: - útokmi alebo preniknutiami v rámci kyberne- tického priestoru zo strany iného štátu alebo organizovanej neštátnej skupiny proti vláde a vybraným informačným systémom s cieľom získať informácie dôležité pre udržanie národ- nej bezpečnosti - útokmi alebo preniknutiami v rámci kyberne- tického priestoru zo strany iného štátu alebo

18 Oba spôsoby útokov sú podrobnejšie analyzované v kapitole práce o konceptualizá- cii.

43 TEORETICKÉ UKOTVENIE PRÁCE

organizovanej neštátnej skupiny proti systé- mom kritickej infraštruktúry s cieľom ich na- rušenia alebo vyradenia a tak spôsobujúc vznik národnej bezpečnostnej krízy“ (Hare 2012, 127).

Hlavné zraniteľnosti na základe typov štátov Kybernetický priestor je vzhľadom na vysokú inovatívnosť a rýchly tech- nologický rozvoj v celom svete takmer neobmedzené medzinárodné pole, v ktorom nie je uskutočniteľné, zjednodušene povedané, klasifiko- vať krajiny na veľmoci, mocnosti alebo slabé štáty len na základe počtu a sily zbraní, tak ako je tomu napríklad v prípade konvenčných alebo jad- rových zbraňových systémov. Podobne zložitým sa javí aj úsilie o defino- vanie obranných schopností štátov pred externými aktérmi. V oboch prí- padoch je ťažké vôbec odhadnúť kapability štátov, pretože sila kyberne- tických prostriedkov sa nedá zmerať ani predpokladať na základe kon- krétnych parametrov akým je napríklad potenciálny rozsah škôd alebo veľkosti zbraní. Pre štáty je totiž veľmi jednoduché a dostupné utajiť svoj technologický hardvér a vojakov, resp. kybernetických expertov, aj spolu s ich vyvíjanými softvérmi bez možnosti kontroly inými štátmi napríklad zo vzdušného priestoru alebo inými prostriedkami bežnými pri kontrole zbrojenia konvenčnými zbraňami.19 Preto by sa mohlo zdať, že akákoľvek snaha o vytvorenie rámca na porovnanie síl a zraniteľností štátov by vo výsledku v podstate nemala žiadnu výpovednú hodnotu. S cieľom sa vyhnúť zmieneným problémom pri analýzach kybernetických schopností štátov, Forrest Hare sa vo svo- jich textoch upriamuje na odlišnú perspektívu, ktorou nazerá na hrozby plynúce pre štát v rámci kybernetického priestoru. Namiesto zamerania na útočné alebo obranné schopnosti štátov, Hare (2010, 215) sa inšpiruje Barrym Buzanom a jeho rámcom charakteristík štátov z pohľadu ich sily a sociálno-politickej kohézie (Tabuľka 1):

19 Limity pri určovaní kybernetických schopností štátov akými sú nedostatok dostup- ných dát, informácií o proxy aktéroch alebo zjednodušovania priznáva aj Belfer Centre pri Harvard Kennedy School, ktoré sa v reporte zameralo na identifikovanie štátov s najväčšími kybernetickými kapacitami (Voo a kol., 2020).

44 TEORETICKÉ UKOTVENIE PRÁCE

Tabuľka 1 – Zraniteľnosti podľa typov štátov podľa B. Buzan

Sociálno-politická súdržnosť Slabá Silná

Veľmi zraniteľný voči väčšine Osobitne zraniteľný voči vo- Slabý hrozieb jenským hrozbám

Sila štátu Silný Osobitne zraniteľný voči poli- Relatívne bez zraniteľností tickým hrozbám voči väčšine hrozieb

Zdroj: Buzan (1991), preložené a upravené autorom

Silu štátu odvodzuje Buzan (1991) na základe jeho relatívnych vojen- ských schopností v rámci rozpoloženia v medzinárodnom systéme, kon- krétne tiež k jeho susedom a významným štátnym aktérom. Slabé štáty sa s cieľom ekonomického rastu prioritne špecializujú na určitú oblasť, v ktorej ale väčšinou tiež nedokážu znížiť riziko vzniku zraniteľností. V rámci Sociálno-politickej súdržnosti sa medzi slabé štáty radia najmä také, v ktorých je národná jednota ohrozená, štátne inštitúcie sú cieľom spochybňovania a tiež môže byť ohrozená teritoriálna integrita. Sa- motný Buzan pri tvorbe svojho modelu priznáva náročnosť objektívne zhodnotiť oba faktory pri snahe zaradenia štát do jedného zo štyroch kvadrantu, čo môže predstavovať značné zníženie relevantnosti vý- skumu. V úsilí predísť zníženiu významu svojho výskumu, Forrest Hare prichádza so zmenou jeho zamerania. Zásadným rozdielom je použitie takéhoto rámca, pretože zatiaľ čo ten od Buzana sa špecificky sústreďuje na komparatívnu analýzu štátov medzi sebou vo všeobecnej rovine bez- pečnostných hrozieb, Hare sa orientuje predovšetkým na zanalyzovanie sledovaného štátu ako objektu záujmu z pohľadu kybernetických hro- zieb. Samotným výsledkom takejto analýzy však nie je len zaradenie štátu do určitej kategórie (kvadrantu) štátov s cieľom komparácie (ako je to v prípade rámca od Buzana), ale zhodnotenie hlavnej konkrétnej

45 TEORETICKÉ UKOTVENIE PRÁCE zraniteľnosti štátu voči určitej hrozbe z pohľadu kybernetickej bezpeč- nosti podľa jeho charakteristík (Tabuľka 2):

Tabuľka 2 – Kybernetické zraniteľnosti podľa typov štátov podľa F. Hare

Sociálno-politická súdržnosť Slabá Silná

Destabilizujúce politické akcie DDOS a iné rozsiahle útoky Slabý v kybernetickom priestore, na kritickú infraštruktúru útoky na internetovú infra- Sila štruktúru, kriminálne aktivity štátu

Silný Destabilizujúce politické akcie Kriminálne aktivity v kyber- v kybernetickom priestore netickom priestore

Zdroj: Hare (2010, 218), preložené a upravené autorom

Zhodnotenie a zaradenie štátov do jednotlivých kvadrantov by nemalo byť primárnym cieľom analýz s použitím tohto rámca, čo mimochodom vo svojom texte priznáva aj Hare (2010, 220). Vysvetľuje to aj rýchlymi zmenami v spoločnosti, kedy sa štát dokáže v krátkom čase transformo- vať do iného stavu (napríklad vplyvom vojny sa z málo súdržného štátu môže veľmi rýchlo stať krajina so silne súdržnou spoločnosť). Rovnako ani kybernetická hrozba zvýraznená v každom kvadrante nemusí byť v konečnom dôsledku tou hlavnou pre daný štát. Preto ani táto práca nemá v úmysle zadefinovať jednoznačnú a ne- mennú pozíciu Slovenska do určitého kvadrantu a len na základe toho odôvodňovať svoje postupy a výsledky. Naopak, daný rámec zraniteľ- ností má slúžiť len ako pomocný nástroj pri snahe o čo najpragmatickej- šie pochopenie závažností hrozieb pre Slovensko od kybernetických ak- térov na základe toho, v akom rozpoložení sa štát momentálne nachádza. V dôsledku aj to toho, že sa práca orientuje na jeden prípad (štát), nie je potrebné definovať súbor indikátorov, na základe ktorých by bola jed-

46 TEORETICKÉ UKOTVENIE PRÁCE noznačne začlenený do jedného kvadrantu. Keďže sa v oboch kategó- riách (Sila štátu aj Sociálno-politická súdržnosť) nachádzajú len alterna- tívy, ktoré predstavujú dva protipóly (Silný a Slabý), selekcia jednej z nich je vždy založená na analýze otvorených zdrojov, ktoré sa týkajú danej kategórie vo vzťahu k Slovensku, a čo najviac objektívne zhodno- cujú postavenie krajiny v danej kategórii.

47 KYBERNETICKÁ BEZPEČNOSŤ NA SLOVENSKU

3 Kybernetická bezpečnosť na Slovensku

3.1 Legislatívne a kompetenčné ukotvenie

Problematike kybernetickej bezpečnosti sa až do obdobia posledných piatich rokov nekládla na Slovensku väčšia dôležitosť. Čiastočne má na to vplyv aj obrovská zastaranosť strategických bezpečnostných doku- mentov, kedy napríklad aktuálne platná Bezpečnostná stratégia Sloven- skej republiky pochádza z roku 2005. V nej sa dokonca nenachádza je- diná veta obsahujúca slovo „kybernetický“ alebo jeho obmeny, čo vzhľa- dom na vtedajšie hrozby a kontext bezpečnostného prostredia dávalo zmysel. Kybernetickej bezpečnosti obsahovo najbližšie zmienky v doku- mente sa týkajú ohrozenia informačných a komunikačných systémov a zraniteľností prvkov kritickej infraštruktúry (Mod.gov.sk). O málo lep- šie je na tom Obranná stratégia (tá aktuálne platná je tiež z roku 2005), ktorá spomína eventualitu zneužitia kybernetického prostredia (bez uvedenia podrobností). Z povahy vecí sa však daná stratégia orientuje predovšetkým na obranu a nie bezpečnosť (Mosr.sk 2005)20. Až do roku 2014 sa v slovenskom vládnucom politickom prostredí nevyskytuje žiadna legislatívna snaha o zadefinovanie strategických po- trieb štátu na udržanie prislúchajúcej kybernetickej bezpečnosti v kra- jine21. V danom roku však dochádza k posunu, keď vláda prijala Koncep- ciu kybernetickej bezpečnosti Slovenskej republiky na roky 2015-2020. Exekutívna moc v nej uznáva kritickú dôležitosť udržiavania stability v kybernetickom prostredí a zaväzuje sa prijať zákon o kybernetickej bezpečnosti, ktorý rozdelí kompetencie a povinnosti štátnych aj súkrom- ných aktérov prítomných v kybernetickom priestore na základe vytvore- ných kritérií (NBÚ.gov1).

20 V prvej polovici roka 2021 plánuje slovenská vláda prijať nové znenie oboch straté- gií, v ktorých sa očakáva podčiarknutie dôrazu na problematiku kybernetickej bez- pečnosti. 21 Čiastočnú výnimku predstavujú národné stratégie pre informačná bezpečnosť z ro- kov 2008 a 2012, ktoré sa však dotýkajú predovšetkým kybernetického prostredia ako platforme na šírenie informácií a nie v širších súvislostiach.

48 KYBERNETICKÁ BEZPEČNOSŤ NA SLOVENSKU

Až v roku 2018 teda nastal doteraz najvýznamnejší prielom v tejto oblasti na Slovensku, keď bol prijatý dlho očakávaný Zákon o kyberne- tickej bezpečnosti (č.69/2018.Z.z.). Jeho prvý paragraf vymenováva tie oblasti, ktorými sa zákon zaoberá, a to: ▪ organizáciou, pôsobnosťou a povinnosťami orgánov verejnej moci v oblasti kybernetickej bezpečnosti ▪ národnou stratégiou kybernetickej bezpečnosti ▪ jednotným informačným systémom kybernetickej bezpeč- nosti ▪ organizáciou a pôsobnosťou jednotiek pre riešenie kyberne- tických bezpečnostných incidentov a ich akreditáciu ▪ postavením a povinnosťami prevádzkovateľa základnej služby a poskytovateľa digitálnej služby ▪ bezpečnostnými opatreniami ▪ systémom zabezpečenia kybernetickej bezpečnosti ▪ kontrolou nad dodržiavaním zákona a auditom (Slov-lex.sk, § 1)

Pre kontext tejto práce je relevantné popísať predovšetkým organizáciu a kompetencie orgánov verejnej moci vplývajúce z daného zákona22. Zá- kon ustanovuje ako hlavnú autoritu a činiteľa v oblasti kybernetickej bezpečnosti Národný bezpečnostný úrad (NBÚ). Ten zabezpečuje a ko- ordinuje výkon štátnej správy, určuje štandardy, predpisy, metodiky, pravidlá pri predchádzaní a riešení kybernetických bezpečnostných in- cidentov a plní úlohu koordinátora medzi rôznymi štátnymi alebo me- dzinárodnými inštitúciami. Jednou z najpodstatnejších povinností úradu je prijímanie a riešenie kybernetických incidentov na národnej úrovni (Slov-lex.sk, § 5). Široký rozsah kompetencií teda úrad predurčuje ako hlavného vládneho aktéra v oblasti kybernetickej bezpečnosti na Sloven- sku nielen po legislatívnej stránke, ale aj ohľadom dôvery a spoľahlivosti v zaručení bezpečnosti v krajine. Na základe ustanovenia NBÚ za ústredný orgán štátnej správy v ob- lasti kybernetickej bezpečnosti sa ešte v roku 2016 v rámci úrady vytvo- rila Národná jednotka SK-CERT, ktorá bola v septembri 2019 transfor- movaná na Národné centrum kybernetickej bezpečnosti SK-CERT. Zatiaľ

22 Bližší popis poskytovateľov základnej služby sa nachádza v časti práce zameranej na kritickú infraštruktúru.

49 KYBERNETICKÁ BEZPEČNOSŤ NA SLOVENSKU

čo teda iné oddelenia v rámci NBÚ majú na starosti legislatívne záleži- tosti a tvorbu strategických materiálov, SK-CERT funguje ako aktívny či- niteľ pri dozorovaní, predchádzaní a riešení kybernetických incidentov na Slovensku (Sk-cert.sk). Podstatný faktor pri vnímaní už spomínanej dôvery verejnosti v prácu NBÚ a následne aj SK-CERTu prezentuje ich aktivita smerom na- vonok. Vzhľadom na to, že NBÚ má svojej agende aj iné položky (napr. vykonávanie bezpečnostných previerok), práve druhá menovaná entita sa formuje ako hlavný vykonávateľ činností v rámci kybernetickej bez- pečnosti Slovenska. Na svojej stránke informuje o štatistikách detegova- ných udalostí, incidentov a varovaniach pred aktuálnymi zraniteľnos- ťami programov alebo systémov. SK-CERT sa tiež zúčastňuje na medzi- národných cvičeniach23 a rozvíjaní vzťahov s Európskou agentúrou pre kybernetickú bezpečnosť (Sk-cert.sk). Pre kontext tejto práce preto môžu predstavovať práve aktivity tohto útvaru potenciálny kľúčový zdroj dát o stave kybernetickej bezpečnosti na Slovensku.

3.2 Kybernetické útoky APT aktérov voči Slovensku

Konkrétnym zisteniam spravodajských služieb o aktivitách APT skupín na Slovensku sa zaoberá iná časť v tejto práci, avšak v tomto bode je vhodné zhrnúť históriu významných kybernetických útokov v krajine. Paradoxne však až na jednu výnimku nie sú v otvorených zdrojoch do- stupné žiadne informácie o konkrétnom kybernetickom útoku uskutoč- nenom voči štátnym orgánom alebo kritickej infraštruktúre24. Doposiaľ jediný detegovaný (resp. zverejnený) a sofistikovane pri- pravený kybernetický útok voči slovenskej štátnej entite prebehol v roku 2018, pričom jeho cieľom bolo ministerstvo zahraničných vecí a eu- ropskych záležitostí. Útok zaznamenalo Vojenské spravodajstvo ako ná-

23 V rámci medzinárodných kybernetických cvičení sa SK-CERT zaraďuje medzi naj- profesionálnejšie kybernetické inštitúcie, pričom sa v nich umiestňuje na najvyš- ších priečkach, napr. druhé miesto na CyberEx 2017 (Pravda.sk 2017). 24 Prítomnosť kybernetických (resp. bezpečnostných) incidentov na Slovensku síce potvrdzuje vo svojich štatistikách aj SK-CERT (vo výraznej miere v nich prevláda nežiadúci obsah, teda spam), avšak v konečnom dôsledku nenapĺňajú definíciu ky- bernetického útoku (Sk-cert.sk1).

50 KYBERNETICKÁ BEZPEČNOSŤ NA SLOVENSKU sledok neštandardného správania sa počítačov v danom rezorte. Spravo- dajská služba doposiaľ nezverejnila útočníka a ani krajinu, z ktorej útok smeroval, no za objektív aktivity označila pokus o filtrovanie citlivých dát a ich následný presun na zahraničné servery (Kosno 2018). Absencia informácií o iných závažných kybernetických útokov na Slovensku sa dá vysvetliť buď na základe skutočností, z ktorých vychá- dzajú aj limity tejto práce alebo jednoducho podceňovaním významu dô- ležitosti citlivých dát alebo prvkov kritickej infraštruktúry, ktoré sa v krajine nachádzajú, zo strany sofistikovaných kybernetických aktérov alebo iných štátov, pre ktorých tieto oblasti v slovenskom kontexte ne- predstavujú zaujímavý cieľ. Potencionálnym vysvetlením by sa mohla ja- viť aj absencia interesu iných krajín o Slovensko, čo je však v rozpore so zisteniami v nasledujúcom kapitole práce dedikovanej ruským národ- ným záujmom.

51 RUSKÉ NÁRODNÉ ZÁUJMY A SLOVENSKO

4 Ruské národné záujmy a Slovensko

4.1 Ruské národné záujmy

Fokus diplomovej práce leží na hrozbe od aktéra, ktorý aj na základe vý- skumu tohto textu pôsobí ako priamo súčasť alebo prinajmenšom ako proxy entita Ruskej federácie. Z tohto pohľadu sa prezentuje byť nevy- hnutou aj elementárna analýza toho, aké sú vlastne samotné záujmy tejto krajiny a či kolidujú so slovenskými reáliami, prípadne vôbec v akom vzájomnom postavení sa nachádzajú. Za cieľavedomými aktivitami štátu ohrozujúcimi bezpečnosť, suve- renitu alebo ekonomickú stabilitu inej krajiny zväčša stojí nielen vopred premyslená stratégia ich vykonávania, ale predovšetkým viac alebo me- nej vyjadrená vôľa nimi dosiahnuť určité objektívy. Tie vyplývajú z urči- tých záujmov, ktoré prináša buď aktuálna vládna moc štátu alebo dlho- dobo pretrvávajúce vyhranenie krajiny voči geograficky blízkym alebo politicky nepriateľsky orientovaným štátom25. V prípade Ruskej federácii je relevantné hovoriť o prítomnosti záuj- mov prameniacich z oboch postojov. Geografická poloha a minimum prí- rodných bariér prinášajú Rusku permanentné riziká vychádzajúce z prí- padných invázií na svoje územie, s ktorými má krajina viacnásobnú skú- senosť. Prioritný národný záujem krajiny teda predstavuje ustanovenie ruskej dominancie v tzv. nárazníkových zónach, ktoré poskytujú priestor na prvotnú líniu obrany počas potenciálnej invázie v budúcnosti (Cun- ningham 2020). Prijímanie nových členov do NATO a permanentná prí- tomnosť amerických vojakov práve v krajinách, ktoré by mali predstavo- vať túto nárazníkovú zónu, tak teda len prispievajú k navyšovaniu dôle- žitosti presadiť tento národný záujem (Gigitashvili 2016). Okrem začle- ňovania krajín do NATO sa pre Rusko stáva nevýhodným akékoľvek zni- žovanie závislosti na ňom, či už z hospodárskeho alebo politického, v krajinách, ktoré pokladá za oblasť svojho vplyvu (Obrázok 3). Vzďaľo- vanie sa z tejto oblasti pre dané krajiny často znamená protizásah zo strany Ruska, čoho príkladom je pokus o štátny prevrat v Čiernej hore

25 Tieto objektívy sa z pohľadu iných aktérov (štátov alebo medzinárodných organizá- cií) nemusia javiť ako oprávnené, avšak vládna moc alebo tradícia v danej krajine sa môžu snažiť prezentovať úplný opak.

52 RUSKÉ NÁRODNÉ ZÁUJMY A SLOVENSKO organizovaný s takmer úplnou istotou príslušníkmi ruských tajných slu- žieb (Pravda.sk 2018).

Obrázok 3: Krajiny v Ruskom zamýšľanej sfére vplyvu

Zdroj: Radin a kol. 2020

Politické revolúcie v Gruzínsku alebo na Ukrajine majú znamenať len ďalšie potvrdenie nebezpečenstva prichádzajúceho zo Západu26, ktorý má v podstate celé posledné storočie v úmysle ohroziť suverenitu ruského (alebo sovietskeho) režimu a potlačiť slobodu občanov v kra- jine. Z tohto naratívu vychádza druhý národný záujem Ruska, ktorý sa v realite pretavuje do snáh o podkopanie viery obyvateľov Západu vo svoje hodnoty alebo demokraciu, čo by malo mať za následok zníženie schopností Západu na presadenie svojich úmyslov v Rusku (Gurganus, Rumer 2019). Tretí národný záujem sa dotýka ruských snáh o ustanovenie opätov- nej dominancie krajiny na medzinárodnom poli ako politickej, vojenskej a ekonomickej superveľmoci. Keďže vzhľadom na stagnáciu ekonomiky a klesaní životnej úrovne obyvateľstva krajiny sa k tomuto vrcholu Rusko nedokáže dopracovať vlastnými silami, aktivita na dosiahnutie

26 V kontexte tejto práce sa pod pojmom „Západ“ chápu najmä členské krajiny EÚ a NATO, ktorých politický systém sa zakladá na liberálnych hodnotách a presadzo- vaní demokratických procesov.

53 RUSKÉ NÁRODNÉ ZÁUJMY A SLOVENSKO toto záujmu spočíva skôr v snahe o utlmenie hospodárskeho rastu kon- kurenčných krajín a spolu s predchádzajúcim záujmom aj vyvolanie nes- pokojnosti tamojšieho obyvateľstva (Saradzhyan 2015). Tieto tri hlavné národné záujmy vychádzajú z komplexných analýz ruského (zároveň aj minulého sovietskeho) postoja a konania voči iným krajinám. Oveľa diplomatickejšie znie oficiálna Ruská národná bezpeč- nostná stratégia z roku 2015, ktorá národné záujmy krajiny definuje len výsostne defenzívne ako úsilie ochrániť suverenitu krajiny a bezpečnosť a životnú úroveň jej občanov. Ako hrozbu pre suverenitu krajiny však Stratégia definuje práve rozmáhanie NATO (Iees.es). Aktuálne vyjadrenie ruskej ambasády v USA z decembra 2020 (mi- mochodom citované v úvode tejto práce) sa stotožňuje s predstavou rus- kej zahraničnej politiky ako nenásilnej a neofenzívnej, keďže opačné na- stavenie by šlo proti ruskému chápaniu o dôležitosti kooperácie medzi štátmi. Ďalej tiež spomína, že v kybernetickom priestore sa tak z tejto príčiny neodohrávajú žiadne ruské útočné aktivity (Facebook 2020). Takéto vyjadrenia sú však v príkrom rozpore s reálnymi dátami, ktoré potvrdzujú proaktívne presadzovanie ofenzívnych ruských národ- ných záujmov, a to vrátane v perspektíve kybernetického priestoru. Len v období od roku 2018 do prvej polovice 2020 sa stalo terčom kyberne- tických útokov atribuovaných Rusku minimálne 85 krajín na šiestich rôz- nych kontinentoch. Z tohto vysokého čísla je tiež možné usudzovať, že súčasná ruská vládna garnitúra má naozaj eminentný záujem o dosaho- vanie svojich záujmov aj mimo región Západu (Cunningham 2020). Do týchto aktivít sa vo významnej miere zapája ruská vojenská spra- vodajská služba GRU, ktorá formálne pôsobí pod názvom Hlavná správa rozviedky Generálneho štábu Ozbrojených síl Ruskej federácie. Oficiálna naplň jej práce spočíva v zhromažďovaní spravodajských materiálov v zahraničí27 (Meduza.io 2018). Súkromné kybernetické spoločnosti a aj vládne inštitúcie západných štátov jej však zároveň prisudzujú velenie nad hackerskými skupinami Sandworm, TeleBots alebo Voodoo Bear

27 Rovnakú agendu má oficiálne aj iná ruská spravodajská služba – SVR. Hlavný rozdiel spočíva v podriadenosti služieb iným vládnym štruktúram (GRU podlieha pod ozbrojené sily a SVR ruskej bezpečnostnej rade) (Meduza.io 2018).

54 RUSKÉ NÁRODNÉ ZÁUJMY A SLOVENSKO a tiež aj APT2828. Tie sa podieľajú na uskutočňovaní kybernetických úto- kov, vedení informačnej vojny a subverzívnych činnostiach v zahraničí (Tóda 2020). Všetky tri oblasti je však potrebné chápať ako súčasť šir- šieho strategického a geopolitického kontextu, pretože napĺňajú viac alebo menej definované záujmy svojich nadriadených, resp. štátu.

4.2 Ruské záujmy a bezpečnosť Slovenska

K stretu ruských národných záujmov s bezpečnosťou Slovenskej repub- liky dochádza primárne pri dvoch z nich – pri snahe o udržanie vplyvu vo svojich blízkych geografických oblastiach a podkopaní demokracie na Západe. Slovensko síce nepatrí k bezprostrednému susedovi Ruska v sú- časnosti, no viac ako polovicu minulého storočia sa v podstate nachá- dzalo pod jeho priamym vplyvom. Rusko sa ešte pred začlením Slovenska do NATO negatívne stavalo k tomuto kroku a varovalo pred „zmenou his- tórie, ktorá sa môže prejaviť v tvorbu etnoteritoriálnych problémov“29 (Ďurianová 2002). Z geopolitického hľadiska tak členstvo v NATO a tiež v EÚ stavia pozíciu Slovenska do kolízie so smerovaním ruských záujmov a z krajiny sa tak stáva skôr protivník ako spriaznená krajina. Avšak práve spomenutý viac ako polstoročný priamy vplyv na dianie (v tom čase) Československu zanechal za následok vysokú naklonenosť sloven- ských občanov k Rusku, z ktorých ho viac ako 60% vníma pozitívne30 (Yar 2020). Viaceré relevantné slovenské politicky strany tak využívajú túto náklonnosť vo svoj politický prospech a spochybňujú práve naopak členstvo v západných bezpečnostných štruktúrach (strany ĽSNS a SNS na tom stavajú veľkú časť svojej politickej agendy a príležitostne tak robí aj SMER-SD31).

28 Vcelku reálne tvoria tieto názvy v skutočnosti len centrálne riadenú skupinu jednot- livcov, ktorí sa individuálne špecifikujú na rôzne kybernetické oblasti a v závislosti na pracovnej náplni pracujú na spoločnej alebo rozdielnej agende. K potvrdeniu tohto dohadu alebo inej alternatívy však chýbajú dostupné zdroje. 29 Daný výrok hovorcu ruského ministerstva zahraničných vecí síce pochádza z roku 2002, ale dosť výstižne popisuje realitu na východ od Slovenska v ďalšom desať- ročí. 30 Paradoxne, podľa iného prieskumu z rovnakého roku vníma USA ako hrozbu 53% Slovákov, kým Rusko iba 26% (Dennikn.sk 2020). 31 Posledné dve zmienené strany spolu tvorili vládnu koalíciu v rokoch 2016-2020.

55 RUSKÉ NÁRODNÉ ZÁUJMY A SLOVENSKO

Vysoký sentiment Slovákov k Rusku však objektívne nemení prí- slušnosť krajiny k Západu z pohľadu medzinárodných zmlúv a členstva v západných štruktúrach, a tak medzi oboma štátmi občas dochádza aj k otvoreným nezhodám. Ruská ambasáda v Bratislave napríklad v marci 2019 vydala protestnú nótu voči štátnemu tajomníkovi slovenského mi- nisterstva obrany, ktorý Rusko označil ako agresora na Ukrajine. Nóta obsahovala aj varovanie o pôsobení tajomníka ako príčine, pre ktorý sa slovenská verejnosť skutočne nemôže cítiť bezpečne, čo sa dalo interpre- tovať aj ako vyhrážka Slovensku (Mikušovič 2019). Slovensko tiež na- priek otvorenej kritike troch vyššie zmienených pro-rusky naklonených politických strán naďalej oficiálne podporuje ekonomické sankcie uva- lené Európskou úniou na Rusko ako reakciu na jeho vojenskú kampaň na Ukrajine od roku 2014 (Pravda.sk 2019). Dovtedy bezprecedentný krok v slovenských reáliách však predstavovalo vyhostenie troch ruských dip- lomatov v auguste 2020. Tí mali v skutočnosti pracovať ako spravodajskí dôstojníci pod diplomatickým krytím (Tvnoviny.sk 2020). Udalosť na- stala už počas mandátu novej vládnej koalície, ktorá sa od začiatku svojho pôsobenia v marci 2020 jednoznačne vyhraňuje voči ruskej agre- sívnej rétorike a aktivitám (uskutočňovaným aj v kybernetickom pries- tore) voči iným štátom. Koncom roka 2020 tiež slovenské ministerstvá obrany a zahraničných vecí odovzdali do medzirezortného pripomienko- vého konania aktualizovanú Obrannú a Bezpečnostnú stratégiu, ktoré majú deklarovať negatívny postoj k ruskému presadzovaniu svojich ná- rodných záujmov (Finreport.sk 2020). Uvedené informácie teda potvrdzujú problematickosť vzťahov me- dzi oboma krajinami a síce priamo neindikujú, že Slovensko reprezentuje otvoreného nepriateľa pre Rusko, no zároveň pridávajú na relevantnosti skonštatovaniu, že z pohľadu ruských národných záujmov môže krajina predstavovať cieľ jeho aktivít. Tento záver sa korešponduje aj s konšta- tovaním Juraja Krúpu, predsedu slovenského parlamentného výboru pre obranu a bezpečnosť, podľa ktorého predstavuje Rusko výzvu pre slo- venskú národnú bezpečnosť z hľadiska hybridných hrozieb a využívania diplomatického krytia pri špionáži. Z podkopávania demokracie, šírenia pro-ruskej propagandy a spochybňovania slovenskej zahraničnej poli- tiky sa tak stávajú nebezpečné ruské postupy vrcholiace v narúšaní slo- venskej bezpečnosti, ktorých napĺňanie sa uskutočňuje aj pomocou ky- bernetických útokov (Príloha 1).

56 SKUPINA APT28

5 Skupina APT28

Štátom podporovaný aktér APT28 býva v závislosti od autora atribúcie označovanými rozličnými menami. Okrem zmieneného názvu APT28 priradeného kybernetickou bezpečnostnou firmou FireEye, ďalšími akronymami sú zväčša Fancy Bear, Sofacy, Strontium, Pawn Storm, Tsar Team, alebo menej obvykle aj Sednit, Threat Group-4127 alebo Swal- lowtail (Malpedia.de). Pri snahách o zjednodušenie chápania tematiky sa v niektorých textoch, predovšetkým určených pre laické publikum, bežne nahrádza názov tejto skupiny za jej štandardne atribuovaného prevádzkovateľa - GRU (Heffer, 2020). V tejto práci je z praktických dô- vodov analyzovaný aktér výhradne označovaný ako APT2832.

5.1 Vznik skupiny

Prvé aktivity tejto skupiny zachytila kybernetická bezpečnostná spoloč- nosť Trend Micro už v roku 2004, kedy sa zachytený malvér vzhľadom na spôsob jeho fungovania (dvoch alebo viac prepojených nástrojov/tak- tík vhodných na útok podobajúci sa šachovému ťahu) rozhodla označiť ako Pawn Storm (Trendmicro.com). Avšak až približne v roku 2008 sa v kybernetickej bezpečnostnej komunite jednoznačne ustálilo všeobecné povedomie o existencii tejto skupiny, pretože v tom čase sa začínajú ob- javovať znaky cieľavedomej a organizovanej aktivity určitého zoskupe- nia v kybernetickej sfére (Paganini 2019). Spoločnosť FireEye vo svojom reporte o aktivitách skupiny v roku 2014 podrobne popisuje rozsiahle portfólium jej činností, ktoré spočívalo v útokoch proti vládnym organi- záciám na Kaukaze (predovšetkým v Gruzínsku), východoeurópskym vládam a armádnym zložkám, a západným bezpečnostným štruktúram. Na základe fungovania skupiny vyvodzuje závery, že ide o systematicky zameranú a dlhotrvajúcu ešpionážnu snahu, v dôsledku vysokej kom- plexnosti takmer určite podporovanú štátom (Fireeye 2014). V nasledu- júcich rokoch sa po vykonaní ďalších prienikov, útokov a ich následných atribúciách tejto skupine stal z APT28 jeden zo symbolov štátom podpo- rovaných hackerských skupín, pričom primárnu zásluhu na tom ale malo

32 Prípadne zjednodušene - skupina alebo útočník. Používanie názvu „APT28“ v tejto práci vychádza z toho, že v použitých zdrojoch sa toto pomenovanie nachádza tak- mer vždy a je aj prijateľnejšie z pohľadu čitateľnosti textu.

57 SKUPINA APT28 zapojenie do úniku informácií z prostredia Demokratickej strany počas prezidentskej volebnej kampane v Spojeneckých štátoch amerických v roku 2016. Totižto až táto signifikantná akcia spustila rozsiahle navý- šenie snáh o analyzovanie pôvodcov už v minulosti vykonaných hacker- ských útokov, ktorá preukázateľne dokázala, že množstvo z týchto úto- kov nebolo ojedinelou aktivitou hackerov bez väčšej spojitosti, ale nao- pak, tvorili súčasť premyslenej a spletitej kampane aktérov podporova- ných štátmi (Intsights.com).

5.2 Atribúcia skupiny

Pri aktivitách APT skupín spočíva ich atribúcia v dvoch odlišných rovi- nách. Prvá rovina je kľúčová pri určovaní zodpovednosti za uskutočnenú hackerskú aktivitu, teda útok na systém alebo získanie verejne nedostup- ných informácií. Z pohľadu priradenia zodpovednosti skupine APT28 za konkrétne operácie je vhodnejšie sa sústrediť na ne samostatne, tak ako je to rozobraté v práci nižšie. Nemenej dôležitou súčasťou atribúcie je druhá rovina, ktorá sa za- meriava na zodpovedanie otázky, či pôsobenie aktéra vychádza z kon- krétnych motívov a pokynov alebo funguje skôr na ad hoc báze. V prí- pade APT skupín sú motívy v podstate automaticky prítomné, či už ide o ekonomické, politické alebo iné, keďže fungujú na dlhotrvajúcej báze. Zadefinovať, či a do akej miery aktér APT28 pôsobí ako individuálna entita alebo je súčasťou určitého systému si vo svojej analýze zaumienila organizácia FireEye v roku 2014. Táto firma vo svojom výskume prišla so záverom, že APT28 s vysokou pravdepodobnosťou funguje ako štá- tom podporovaný aktér, a to konkrétne pod patronátom Ruska. Vychá- dza pri tom z dvoch predpokladov:

▪ Napĺňanie ruských záujmov – vo všeobecnej rovine sa zámery aktivít tejto skupiny korešpondujú so záujmami rôznych štátov. Avšak, tri konkrétne ciele jasne reflektujú oblasti záujmov nejakej východoeurópskej vlády, konkrétne ruskej. Už vyššie zmienenými cieľmi sú krajiny na Kaukaze, východoeurópske vlády a vojenské organizácie v Európe. Preukázateľným dôkazom silného záujmu v týchto oblastiach je metóda využívania spearphishingových emailov, ktorých obsah je šitý na mieru s dôrazom na čo najväčšiu

58 SKUPINA APT28

hodnovernosť pre jeho príjemcu, a teda s tým spojená nevyhnut- nosť vyšších nákladov pri získavaní potrebných informácií na zre- alizovanie takýchto aktivít. Príjemcami emailov a teda cieľmi úto- kov sú zástupcovia širokého spektra vládnych a vojenských orga- nizácií, pričom objektívom je najmä získanie prístupu k ich účtom. Okrem troch zmienených záujmov sa APT28 orientuje aj na iné sféry, ktoré nie nevyhnutne priamo indikujú ruskú záujmy, ale zá- roveň ani nepôsobia proti nim. Útoky sa týkajú napríklad nórskej armády, mexickej vlády, pakistanského námorníctva, amerických bezpečnostných pracovníkov, vojenských atašé vo východnej Ázii alebo čečenskej organizácie. ▪ Vysoká pokročilosť nástrojov – svoje nástroje a techniky sku- pina APT28 od roku 2007 systematicky vylepšuje, z čoho je možné usudzovať, že na nich pracuje tím odborných pracovníkov, ktorí vyvíjajú nástroje na dlhodobejšie použitie a zároveň dbajú na vysokú úroveň zahaľovania svojej činnosti (tzv. obfuskácia). Pri takejto náročnosti figuruje ako dôležitý faktor stabilita pro- stredia a prísun finančnej podpory, čo zväčša zabezpečuje priamo štát. Toto sa odzrkadľuje aj v rozvinutých schopnostiach skupiny vyvíjať tzv. malvérové rodiny, teda skupiny malvérov, ktoré na- priek svojej odlišným vlastnostiam v určitom bode svojho fungo- vania spolupracujú a taktiež čiastočne zdieľajú podobný zdrojový kód. Práve majorita zdrojových kódov týchto malvérov je napí- saná v ruskom jazyku a počas bežných pracovných hodín mos- kovského alebo petrohradského časového pásma. Konkrétne, or- ganizácia FireEye zistila, že až 96% malvérových kódov skupiny vzniklo v pracovných dňoch týždňa a 89% kódov medzi 8. a 18. hodinou (Fireeye 2014).

Najvýznamnejší prelom v atribúcii skupiny APT28 nastal po medializácií prienikov dvoch hackerských skupín do systémov amerického DNC a úniku utajovanej správy NSA o vniknutiu hackerov do volebného sys- tému, pričom obe udalosti sa vzťahovali k americkým prezidentským voľbám v roku 2016. Na základe vyšetrovania únikov dokumentov z prostredia DNC totiž vyplynulo, že jeden z obvinených dôstojníkov ruskej GRU stojí s vysokou pravdepodobnosťou za dlhoročnou prácou na jednom z nástrojov použí- vaným APT28, X-Agent (Poulsen 20181). Tzv. Muellerova záverečná

59 SKUPINA APT28 práca tohto vyšetrovania priamo obviňuje GRU za koordináciu a usku- točnenie útoku voči DNC, dokonca konkrétne menuje aj útvary zaň zod- povedné – Jednotka 26165 a Jednotka 74455, pričom prvá menovaná en- tita mala byť uskutočňovateľom útoku a druhá mala stáť za zneužitím získaných dokumentov. Jednotka 26165 (alebo oficiálne aj 85. hlavné centrum špeciálnej služby) teda na základe dostupných informácií pred- stavuje skupinu APT28, prípadne časť hackerskej skupiny je zapojená do fungovania tejto Jednotky. V tejto otázke nie je ale úplne jasno ani medzi spravodajskou a bezpečnostnou komunitou. Aj napriek neúplným infor- máciám sa dá však s veľmi vysokou pravdepodobnosťou predpokladať, že tieto dve jednotky spolu veľmi úzko spolupracujú (Graff 2018; Po- ulsen 20182). Prepojenosť týchto dvoch entít sa potvrdzuje aj vo výsled- koch utajovanej správe od NSA z roku 2017, ktorá rieši phishingové útoky voči floridskej technologickej spoločnosti prevádzkujúcej volebné systémy v ôsmich amerických štátoch (podľa správy tieto aktivity neboli úspešné), pričom útočiacim aktérom mal byť práve GRU (Greenberg 2017). Skupinu APT28 okrem vyššie zmienených atribuujú GRU aj ďalšie organizácie, za zmienku určite stojí britské Národné centrum kyberne- tickej bezpečnosti (NCSC 2018; Corfield 2020), americká nevládna orga- nizácia RAND (Davis a kol. 2017, 20), globálne uznávaná databáza kyber- netických útočných taktík a techník MITRE ATT&CK (Attack.mitre.org) alebo renomované kybernetické bezpečnostné spoločnosti ako je napr. Crowdstrike (Crowdstrike 2019).

Nie práve bežným javom pri atribúcii kybernetických útokov býva aj priradenie zodpovednosti konkrétnemu útočníkovi ako fyzickej osobe. Preto vcelku výnimočnú situáciu prezentuje napríklad vznesenie obvi- není amerického ministerstva spravodlivosti v septembri 2020 voči pia- tim občanom Číny za útoky na viac ako stovku amerických alebo zahra- ničných spoločností (Lucas 2020). V prípade zapojenia ruskej služby GRU do prienikov vo DNC v roku 2016 sa obvinenia vzniesli dokonca voči takmer 20 jednotlivcom. Tých americké ministerstvo spravodlivosti v roku 2018 obvinilo ako páchateľov daného útoku z viacerých trestných činov (napr. krádež a zverejnenie súkromných dokumentov alebo neau- torizovaný prístup do počítača amerického občana), pričom rozsah týchto obvinení a priame priradenie viny konkrétnym ľudom spolupra- cujúcim na útokoch predstavuje zásadný posun v snahe odsúdiť konkrét-

60 SKUPINA APT28 nych ľudí za anonymné útoky v kybernetickej sfére (FBI.gov1). V rovna- kom roku obvinili americké úrady aj ďalších pracovníkov GRU ako zod- povedných za útok proti Svetovej antidopingovej agentúre, pričom nie náhodou sú až tri osoby obvinené v týchto oboch prípadoch (FBI.gov.2). V roku 2020 bolo v Nemecku po jednom z obvinených, Dmitriy Badinovi, vyhlásené pátranie na základe obvinenia za útok na nemecký parlament (Bennhodl 2020). Voči aktivitám GRU v kybernetickom priestore sa len nedávno jed- noznačne vymedzila aj Európska únia, ktorá v októbri 2020 prijala sank- cie voči už spomínanému Badinovi, riaditeľovi GRU Kostyukovi a 85. hlavnému centru špeciálnej služby (teda de facto skupine APT28). Obvi- nila ich z účasti na kybernetických útokoch proti nemeckému parla- mentu z roku 2015 a pokuse o kompromitovanie Wifi siete v organizácii OPCW33 (Eur-lex.europa.eu). Všetky tieto obvinenia voči konkrétnym jednotlivcom pracujúcim pre GRU vykazujú posun v nielen schopnostiach štátov odhaliť ľudí zod- povedných za jednotlivé útoky, ale najmä ochotu inštitúcií v krajinách za- siahnutých útokmi verejne atribuovať akcie voči zodpovedným zahra- ničným štátom, v týchto prípadoch Rusku. S vysokou pravdepodobnos- ťou nebudú obvinení útočníci vydaní na súdne konania do USA alebo Ne- mecka, avšak precedens v rozsiahlom obvinení kybernetických útoční- kov z iných krajín sa môže prejaviť na zníženej ochote riskovať odhale- nie u ďalších aktéroch.

Na základe takto rozsiahlej základne potvrdení od rôznych štátnych aj neštátnych celkov je teda možné vo výsledku skonštatovať, že s vyso- kou pravdepodobnosťou alebo až istotou je skupina APT28 prepojená s ruskou vojenskou spravodajskou službou GRU. Kľúčový poznatok z ta- kejto atribúcie sa odzrkadľuje do faktu, že obete a ciele aktivít APT28 sú v skutočnosťami cieľmi ruských vládnych záujmov. Je samozrejme nutné brať do úvahy autonómnosť pôsobenia GRU, teda zjednodušene, že nie všetky hackerské aktivity musia nevyhnutne vychádzať z príkazov od ve-

33 EÚ v máji 2019 vytvorila právny rámec, ktorý umožňuje ukladať cielené reštriktívne opatrenia (zákaz vstupu do členských krajín a zmrazenie aktív) voči osobám alebo subjektom zodpovedným za kybernetické útoky alebo pokusy o ne, pokiaľ predsta- vujú závažnú hrozbu pre členské štáty alebo medzinárodné organizácie vzhľadom na spoločnú zahraničnú a bezpečnostnú politiku EÚ (Consilium.europa.eu).

61 SKUPINA APT28 denia štátu. Zároveň ale pri analýze obetí a objektívov tejto skupiny v na- sledujúcej podkapitole je očividné, že tieto aktivity sú vo veľkom rozsahu so záujmami vlády totožné.

5.3 Obete a objektívy skupiny

Už zmienené tri oblasti útokov APT28 z reportu spoločnosti FireEye (Fi- reeye 2014) celkom explicitne pomenúvajú hlavné ciele, voči ktorým skupina zasahuje. V sumári, jedná sa o vládne, bezpečnostné, vojenské, letecké alebo mediálne sektory, pričom prvé tri z nich patria medzi tie úplne najčastejšie. Z geografického hľadiska sa výrazná väčšina obetí na- chádza v Európe, Severnej Amerike alebo regiónoch susediacich s Rus- kom. Počet zasiahnutých krajín od začiatku zaznamenávania aktivít sku- piny sa odhaduje okolo 50 a k tomu je potrebné prirátať rádovo niekoľko desiatok medzinárodných organizácií. Napríklad, kybernetická bezpeč- nostná spoločnosť Trend Micro vo svojom reporte z roku 2017 vyme- núva obete skupiny za roky 2013 až 2016. Len v tomto období APT28 zrealizovala phishingové operácie voči viac ako 60 rôznym aktérom z vyššie spomenutých sektorov (Trendmicro.com1). Príklady zasiahnutých krajín s vysokým stupňom kredibility atribú- cie: Gruzínsko, Francúzsko, USA, Maďarsko, Arménsko, Tadžikistan, Japon- sko, Belgicko, Turecko, Mongolsko, Čína, Kanada, Nemecko. V globály sa útoky skupiny zamerali voči krajinám na všetkých kontinen- toch sveta: Obrázok 4: Mapa krajín doteraz zasiahnutých útokmi APT28 (z roku 2020)

Zdroj: Cunningham 2020

62 SKUPINA APT28

Príklady zasiahnutých medzinárodných organizácií: NATO, Svetová anti- dopingová agentúra, APEC, IAAF, OSCE, OPCW (CFR.org1).

APT28 sa svojimi aktivitami snaží naplniť niekoľko objektívov. Jed- ným z najdôležitejších je získavanie utajovaných geopoliticky dôleži- tých informácií relevantných pre Rusko, čo sa odráža na vyššie zmie- nené sektory rôzneho druhu. Kritické riziko však tvorí nasledovná práca so získanými informáciami, ktoré nevyužíva s cieľom finančného zisku alebo predaja iným entitám. Naopak, tieto výhody si uchováva vo svojich zásobách a využíva ich pre monitorovanie aktivít nepriateľa v úsilí zos- tať nevyzradený. Pri dlhodobejšom sledovaní takto dokáže získať cenné informácie priamo z prostredia obete, ako sú zvyky, rutiny, ďalšie utajo- vané skutočnosti, a tie vie zužitkovať pri masívnom finálnom útoku. Na- príklad, ak sa po kvalitne uskutočnenej phishingovej operácii podarí sku- pine získať prístupové údaje zamestnanca v zbrojárskej spoločnosti, ne- využije ich okamžite alebo nepredá konkurenčnej zbrojárskej spoloč- nosti. Naopak, skupina cieľavedomou a dlhodobou činnosťou prostred- níctvom získaných údajov monitoruje prácu zamestnanca. Ďalšie získané informácie následne zneužije vo forme spearphishingu voči iným za- mestnancom a po obyčajne mesiace trvajúcich aktivitách získa kontrolu nad ovládacími zariadeniami už vyrobených zbraňových systémov, ktoré potom v prípade potreby vie vyradiť z fungovania. V iných prípadoch môžu byť získané informácie strategického významu využité pri ovplyv- ňovaní politických rozhodnutí, názorov verejnosti alebo geografických záležitostí (Azeria-labs.com). Skupina APT28 sa okrem získavania informácií s motiváciou ich ne- skoršieho použitia vo svojich kampaniach zameriava aj na prieniky do informačných systémov inštitúcií s cieľom získať neverejné infor- mácie, ktoré sa následne prostredníctvom rôznych platforiem objavia na verejnosti. Najznámejší príklad takejto aktivity predstavuje únik dát z DNC a emailov demokratickej prezidentskej kandidátky Hillary Clinto- novej. Ďalší útok, aj keď prezentovaný s menšou publicitou, sa odohral po útoku skupiny na Svetovú antidopingovú agentúru, kedy sa na verej- nosť dostali privátne informácie o výsledkoch testov na prítomnosť za- kázaných látok u športovcov (Symantec 2018). V oboch situáciách bola motivácia zhodná so záujmami Ruska, teda vniesť chaos do prezident- ských volieb alebo v druhom prípade odveta za konania organizácie proti ruským športovcom.

63 SKUPINA APT28

Časť zo spektra aktivít APT28 tvoria aj útoky cieliace na znefunk- čnenie infraštruktúry alebo systémov rôznych druhov. V takýchto prípadoch je cieľom aktivity úplne vyradiť daný systém z fungovania alebo znehodnotiť jeho funkcie. Príkladom je útok skupiny na vysielanie televíznej spoločnosti TV5 Monde z roku 2015. APT28 sa vo svojich akti- vitách čiastočne zapojila aj do vojny na východe v Ukrajiny. Okolo roku 2015 rozbehla veľmi sofistikovanú operáciu, kedy do Android aplikácie používanej ukrajinskými delostrelcami ako pomôcku pri bojových čin- nostiach vložila svoj malvér a takto upravenú legitímne vyzerajúcu apli- káciu následne zverejnila na vojenských internetových fórach. Po jej stiahnutí ukrajinskými vojakmi do svojich mobilov mohla potenciálne slúžiť ako nástroj na určenie lokácií ukrajinského delostrelectva, čo mohlo poskytnúť taktickú výhodu ich protivníkom a tak prispieť k ná- rastu ukrajinských strát vo vojne (Cobus 2017). Podľa iných zdrojov mal malvér tiež ovplyvňovať funkcie aplikácie a tak v konečnom dôsledku znižovať presnosť ukrajinských delostreleckých zásahov (Bicchierai 2016). Oba zmienené prípady aktivít APT28 potvrdzujú jej vysokú sofis- tikovanosť a zároveň kapacity aj na aktívne zásahy voči svojim cieľom, ktoré sa môžu prejaviť v konkrétnych materiálnych škodách alebo do- konca aj na ľudských stratách.

5.4 Vektory a nástroje útokov

Rozsah využívaných techník pri uskutočňovaní svojich útokov presahuje pri skupine APT28 počet 50. Spoločnosť MITRE vo svojej databáze úto- kov z dosial atribuovaných aktivít APT28 konkrétne definuje 57 z nich34 (Attack.mitre.org). Útoky voči väčšine entít a najmä tie s najväčším im- paktom na obeť však boli postavené len na malom počte z nich. Majoritný podiel z modus operandi skupiny spočíva v odosielaní spearphishingo- vých emailoch obsahujúcich buď malvérový program v ich prílohe alebo škodlivý URL odkaz s cieľom zozbierať osobné alebo prihlasovacie údaje zacielenej osoby napríklad k danému emailovému účtu. Ďalšie dva

34 Pokiaľ by sa pozornosť tejto práce upriamovala na technickú analýzu fungovania da- nej skupiny, tak by bolo určite vhodné detailnejšie rozobrať väčšinu z nich. V tomto prípade však nepredstavujú priority jednotlivé typy vektorov útokov, avšak najmä komplexné zhrnutie kapacít, ktoré by skupina mohla použiť proti Slovensku vo väč- šom rozsahu.

64 SKUPINA APT28 hlavné vektory útokov skupiny spočívajú vo vložení malvéru do legitím- nych webových stránok organizácií s cieľom preniknúť do systémov návštevníkov týchto portálov a získaní prístupu do systémov organizácií prostredníctvom kompromitácie ich webových serverov napojených na vnútorné systémy (Mwiki a kol. 2019, 223). Štyri vyššie zmienené vektory útokov predovšetkým ukazujú proak- tívne snahy skupiny o vniknutie do systémov svojich cieľov. Okrem nich sa však v portfóliu činnosti APT28 nachádza aj vyhľadávanie a následné využívanie chýb iných programátorov, teda využíva vo svoj prospech medzery vytvorené už v existujúcich programoch alebo aplikáciách a tiež tzv. zero-day útoky. Týka sa to najmä globálne rozšírených a široko používaných programov akými sú napr. Microsoft Office, Adobe Flash Player, Java alebo aj operačných systémov ako je Windows. Prostredníc- tvom vlastných navrhnutých malvérov alebo trojanov skupina následne využíva tieto chyby vo veľkom rozsahu. Pre potenciálne ciele aktivít sku- piny predstavujú takéto útoky veľký problém, pretože zamestnanci štát- nych alebo súkromných organizácií síce môžu mať zvládnuté bezpeč- nostné kybernetické zásady na vysokej úrovni a tým pádom byť schopní aj odhaliť phishingový útok namierený voči nim, avšak pri zanedbaní pravidelných aktualizácií programov a systémov alebo pri nedostatočnej kontrole bezpečnosti aplikácií môžu výraznou mierou aj skupine APT28 uľahčiť spôsob ako preniknúť do ich vnútorných systémov, čo potvr- dzuje aj analýza kybernetickej bezpečnostnej spoločnosti Kaspersky (Se- curelist 2015). Ofenzívne taktiky APT28 teda spočívajú na viacerých využívaných vektoroch útokov. Za podrobnejší opis však určite stoja phishingové a spearphishingové kampane skupiny, ktoré sú svojim rozsahom a ná- sledne aj mierou ich úspešnosti nosným činiteľom jej agendy. V nich spo- číva hlavný cieľ v získaní prihlasovacích údajov obetí, ktoré slúžia na dl- hodobé zhromažďovanie ich údajov a sú často ukončené ich publikova- ním na verejnosť, napr. ako tomu bolo v prípade DC Leaks. APT28 sa orientuje ako na bezplatných poskytovateľov emailových služieb ako sú Gmail, Yahoo, Yandex alebo Mail.ru, tak rovnako aj na korporátne emai- lové systémy. V nich sa spolieha na zraniteľný ľudský článok a prostred- níctvom sociálneho inžinierstva môže získať dáta využiteľné do ďalšej časti kampane. Jedným z najčastejších spôsobov na vylákanie prihlaso- vacích údajov obete je zaslaný phishingový email, ktorý na prvý dojem pôsobí ako žiadosť od poskytovateľa emailového serveru (teda napr.

65 SKUPINA APT28

Google alebo Yahoo) na zmenu hesla k účtu. Po otvorení priloženého we- bového odkazu sa obeti spustí webová stránka vydávajúca sa za posky- tovateľa emailovej služby a obeť je vyzvaná k vyplneniu svojich prihla- sovacích údajov, čoho príklad je aj nasledovný obrázok:

Obrázok 5: Spearphishingový email od APT28 použitý pri útoku na DNC v 2016

Zdroj: Lipton a kol. 2016

Keďže ide o webovú stránku pod kontrolou útočníka, údaje sú ná- sledné odoslané práve jemu. V prípade stránky s reálnou podobnosťou na tú originálnu verziu obeť nadobúda dojem, že sa jednalo o legitímnu akciu. Na rovnakej báze pracuje aj o trochu iné prevedenie útoku, v kto- rom obeť napríklad dostane pozvánku na medzinárodnú konferenciu s priloženým URL odkazom smerujúcim na webovú stránku s podobným názvom a vzhľadom ako tá originálna, avšak v skutočnosti spadajúcu pod kontrolu útočníka. Na tejto phishingovej stránke je obeť vyzvaná vyplniť svoje osobné údaje v prípade, že má záujem o účasť na danej konferencii. Získané údaje môžu byť následne skupinou využité pri ďalších útokoch. Obe vyššie vysvetlené spôsoby útokov boli v rozsiahlej miere zazname- nané kybernetickými spoločnosťami pri útokoch skupiny APT28 voči za- mestnancom ministerstiev obrany, zahraničia, médiám a politickým or- ganizáciám v rokoch 2013-2016, pričom s takmer určitosťou ich skupina aplikuje aj ďalších kampaniach (Trendmicro.com1).

66 SKUPINA APT28

5.5 Priebeh útoku

Podľa analýz výskumného tímu spoločnosti Microsoft sa strategická ak- tivita skupiny APT28 začína zvolením cieľu – inštitúcie – a následného vyhľadávania potenciálnych kontaktov, ktoré sú s touto inštitúciou neja- kým spôsobom prepojené. Pri identifikovaní kontaktov sa spolieha najmä na OSINT, a to predovšetkým na zoznamy emailových adries alebo kontaktných údajov dostupných na webových stránkach organizácií. Po identifikovaní obetí skupina pristupuje k spearphishingovým útokom na ne. Dôležitým faktorom úspešnosti týchto útokov má byť aj využitie dát z už uskutočnených phishingových útokov medzi predošlými obeťami skupine, čo je v prípade tak masívnej činnosti skupiny vcelku bežná zále- žitosť35. V prípade neúspechu dokáže skupina pokračovať v útokoch na zadaný cieľ aj v dlhšej časovej perióde, prípadne aj viac ako rok, pokým nebude aspoň jeden z pokusov úspešný (Microsoft 2015). V iných prípadoch, po zvolení cieľa skupina vykonáva skenovanie webových stránok obete s cieľom nájsť prípadné zraniteľnosti aplikácií v nich. Nasledujúci krok spočíva vo vytvorení malvéru na mieru zistenej zraniteľnosti alebo nástroja na jej využitie. Opätovne dochádza k spuste- niu spearphishingovej kampane, tentoraz je cieľom presvedčiť obeť klik- núť na webový odkaz alebo otvoriť prílohu emailu, pričom obe alterna- tívy spočívajú v snahe nainštalovať do systému obete daný malvér. Keďže APT28 reprezentuje dobre organizovanú a finančne zabezpečenú skupinu, medzi jej členmi sa nachádzajú odborne zdatní jednotlivci s dos- tatkom priestoru a času na zisťovanie a využitie zraniteľností alebo vy- víjanie malvérov (Mwiki a kol. 2019, 231-232). S nainštalovaním škodlivého malvéru do systému obete je následne späté použitie aj ďalších nástrojov, ktoré majú umožniť skupine udržia- vať dlhodobejší prístup do systému aj v prípade, ak obeť identifikuje na- rušenie integrity, dôveryhodnosti alebo prístupu v rámci svojho sys- tému. Bezpečnostní kybernetickí odborníci taktiež pri skupine APT28 zdôrazňujú jej schopnosti zašifrovať a skomprimovať obsah svojich ná- strojov a tak znižovať riziko, že by bol detegovaný antivírusovými pro- gramami obetí. Po ustanovení svojej pozície a komunikácie s riadiacim servermi systémov svojho cieľa skupina využije možnosť hlbšieho prie- niku do ďalších častí systémov, zozbierať a následne extrahovať získané

35 V roku 2015 mala skupina uskutočniť spearphishingové útoky voči niekoľkým tisíc- kam jednotlivcov.

67 SKUPINA APT28 dáta alebo kompletne znefunkčniť tieto systémy, pričom niekedy sa útoky skladajú zo všetkých týchto fáz36 (Mwiki a kol. 2019, 234; Shoor- bajee 2018).

5.6 Signifikantné operácie a kampane APT28

Informácie o aktivitách skupiny APT28 sa na verejnosť dostali okolo roku 2014, kedy okrem už spomínaného reportu od kybernetickej spo- ločnosti FireEye publikovala svoje zistenia aj spoločnosť Trend Micro. Napriek vcelku podrobným reportom o spôsoboch útokov a cieľoch sku- piny nebolo ešte v tom čase jasné, či aktivity skupiny znamenajú syste- matické úsilie o dosiahnutie objektívov zhodných s ruskými národnými záujmami alebo záujmy tejto krajiny sú v tomto období len dočasne zhodné s tými, ktoré má APT28. Aj keď počiatok fungovania skupiny da- tuje spoločnosť Trend Micro už do roku 2004, v tom čase sa stále len roz- máhajúce chápanie kybernetického priestoru ako nového priestoru pre napĺňanie národných záujmov nepredstavovalo oblasť, ktorej by štáty prikladali dostatočnú pozornosť s cieľom skúmať hrozby pre svoje vlastné záujmy. Preto k tomuto skúmaniu dochádzalo až retrospektívne a to práve až začiatkom druhej dekády tohto storočia, takže na už usku- točnené pôsobenie aktéra, v tomto prípade APT28, sa nazeralo prizmou dojmov z jeho všeobecného zamerania, teda v prospech ruských národ- ných záujmov a nie z pohľadu jednotlivých útokov skupiny v aktuálnom čase už od začiatku milénia. Medzi odborníkmi na APT skupiny sa ale nie zriedka objavuje pre- svedčenie, že časť štátom podporovaných skupín vznikla s motiváciou jednotlivcov sa finančne obohatiť kriminálnymi aktivitami a až následne sa či už dobrovoľne alebo pod nátlakom stali aktérmi fungujúcimi v pro- spech istých štátov (Anomali.com). Preto s absolútnou istotou označiť, či sa skupina APT28 už od zaznamenania jej prvých aktivít z roku 2004 orientovala výlučne na svoj vlastný prospech alebo na objektívy zhodné s tými ruskými, nie je úplne legitímne. Okrem toho, okrem čiastkových informácií o existencii APT28 vytvoreným malvérom Pawn Storm orien-

36 Predovšetkým ak sa to dotýka signifikantných cieľov, napr. už zmieneného útoku na nemecký parlament v roku 2015.

68 SKUPINA APT28 tovaného na kybernetickú špionáž, nie sú ani z tohto obdobia známe po- drobnejšie dáta o ďalších cieľoch alebo objektívoch skupiny. Z toho dô- vodu sa táto kapitola zaoberá útokmi APT28 prebiehajúcimi až v druhej dekáde 21.storočia, pretože v tomto čase už dochádza k detailnejšiemu skúmaniu útokov aktérov v kybernetickom priestore, k ich dôveryhod- nej atribúcii a spôsoboch ich fungovania. Všetky z nasledujúcich kam- paní atribuuje medzinárodná kybernetická bezpečnostná komunita práve APT28, pričom ide o zoznam útokov s najväčším priamym alebo potenciálnym impaktom na obeť alebo širšiu komunitu.

Phishingové útoky na NATO, Biely dom a ministerstvá zahraničných vecí - 2015 V roku 2015 prebiehali koordinované útoky na tieto entity s cieľom pre- niknúť do systémov obetí prostredníctvom využitia zero-day zraniteľ- nosti aplikácie Java. Na emailové adresy obetí útoky boli doručené emaily javiace sa ako informačná správa o aktuálnom dianí vo svete. Podrobnej- šie informácie mal prijímateľ získať po kliknutí na priložený URL odkaz, prostredníctvom ktorého sa však po jeho otvorení do jeho systému cez chybu aplikácie Java nainštaloval škodlivý malvér skupiny (Trendmicro.com2).

Útok na nemecký parlament – 2015 Nemecký parlament je už niekoľkonásobným cieľom útokov atribuova- ných APT28. Najväčšiu pozornosť vyvolala phishingová kampaň z roku 2015, v ktorej nezverejnený počet zamestnancov parlamentu obdržal email vydávajúci sa za informačný bulletin od OSN, pričom jeho obsah sa mal týkať zapojenia Ruska v ukrajinskom konflikte. V emaily sa nachá- dzal súbor s vloženým malvérom, ktorý po otvorení umožnil útočníkovi prístup k dátam počítača obete. Tento malvér bol tiež prednastavený na ďalšie rozširovanie v rámci informačnej siete celého parlamentu, takže potenciálne mohol zasiahnuť viac ako 5500 počítačov (Cimpanu 2020). Neskoršie vyšetrovanie ukázalo, že skupina mala do siete prístup viac ako tri týždne, pričom ale podľa iných zdrojov trvala celá kampaň viac ako polroka (Bennhold 2020). Po zistení narušenia siete v máji 2015 sa z preventívnych dôvodov odpojili kompletne všetky systémy od inter- netu a následne boli počítače úplne vypnuté. Správcom systémov sa ne- podarilo zistiť, že koľkým zamestnancom bola narušená dôvernosť počí-

69 SKUPINA APT28 tačov a aké množstvo dát sa útočníkovi do odpojenia siete podarilo zís- kať. Obavy vychádzali nielen z možného úniku utajovaných informácií pre vlastné účely útočníka (teda v konečnom dôsledku Ruska), ale tiež pred získaním informácií, ktoré by mohli byť použité v parlamentných voľbách na jeseň 2015 na diskreditáciu kandidátov alebo rozširovanie falošných správ. Za hlavný faktor zlyhania označili kybernetickí bezpeč- nostní experti neochotu členov parlamentu prijať akékoľvek bezpeč- nostné opatrenia vo vzťahu k svojim vlastným zariadeniam, pričom kon- krétne spomínajú absenciu antivírusových programov alebo používanie silných hesiel, a ani následnú kontrolu nad držiavaním bezpečnostných zásad svojimi podriadenými. Kritickou mala byť aj nízka úroveň bezpeč- nostných systémov zabezpečenia celej siete v parlamente (Delcker 2017). Záujem útočníkov o preniknutie do osobných účtov členov parla- mentu zvýraznili aj ďalšie útoky, a to v roku 2017 a 2018. V druhom prí- pade sa kampaň týkala aj kancelárky Angely Merkelovej, pričom útočník zverejnil jej niekoľko emailov, ktoré sa mu podarilo získať pri preniknutí do jej emailového účtu. Útoky boli pravdepodobné zosnované vďaka zra- niteľnosti softvéru na manažment emailových účtov. Podľa analytikov sa taktiež jednalo o sofistikovaného útočníka, ktorý útok vykonával rádovo niekoľko mesiacov, a odkazujú tým práve na skupinu APT28 (BBC 2019).

Znefunkčnenie vysielania TV5 Monde – 2015 Príkladom útoku, pri ktorom došlo k totálnemu vyradeniu systému z fun- govania je operácia APT28 voči francúzskej televízii TV5 Monde. V apríli 2015 pomocou siedmich rôznych vstupov dokázali útočníci vďaka škod- livému softvéru preniknúť do programového vysielania stanice a úplne vyradiť z fungovania 12 televíznych kanálov na viac ako tri hodiny. K sa- motnému vstupu do systémov použili televízny hardvér nachádzajúci sa na rôznych lokáciách po svete, ktorý bol medzi sebou prepojenými inter- netovým spojením. Okrem získania kontroly nad vysielaním sa skupine podarilo dostať do účtov TV5 Monde na Facebooku a Twitteri, na ktorých zverejnili osobné údaje niekoľkých francúzskych vojakov s odkazom, že za ich útokom stojí pomsta zo strany tzv. Islamského štátu, pričom sa útočník prezentoval ako hackerská odnož tejto teroristickej organizácie (Samuel 2015). Po získaní evidencie však odborníci atribuovali útok APT28, kedy použitie islamistických odkazov malo podľa nich slúžiť len

70 SKUPINA APT28 ako snaha o zamaskovanie skutočného útočníka. Po troch hodinách zís- kala TV spoločnosť opätovnú kontrolu nad svojimi systémami, avšak vy- sielanie bolo naplno obnovené až na nasledujúci deň. Priame škody po strate dôvery spoločnosti od sponzorov a nevyhnutné náklady na zaiste- nie bezpečnosti do budúcnosti stáli televíziu v ďalších dvoch rokoch do- kopy viac ako 8 miliónov eur. Vnútorné systémy spoločnosti sa z bezpeč- nostných príčin nemohli pripojiť na internet ešte niekoľko mesiacov po útoku. Samotný útok označujú odborníci ako bezprecedentný, a to v dô- sledku toho, že napriek dovtedajšiemu považovaniu skupiny APT28 ako aktéra najmä so záujmami o ešpionáž, v tomto prípade sa dlhomesačná kampaň skupiny zamerala výlučne na totálne vyradenie funkčnosti svojho cieľa spolu s jeho diskreditáciou (Corera 2016).

Útoky na medzinárodné športové organizácie – od 2016 Vcelku špecifickými cieľmi kampaní skupiny APT28 sú medzinárodné športové alebo antidopingové organizácie. Za pravdepodobný začiatok útokov sa dá označiť operácia voči Svetovej antidopingovej organizácii z roku 2016. Tie prebiehali klasickými phishingovými emailmi s cieľom získať prihlasovacie údaje od užívateľov databázy patriacej tejto agen- túre. Po preniknutí do systémov získal útočník kontrolu nad osobnými zložkami profesionálnych športovcov, z ktorých údaje o dopingových testoch niektorých z nich boli následne zverejnené na kvázi fanúšikov- skej stránke skupiny APT28 - fancybear.net. Odborná komunita sa zho- duje, že útok a zverejnenie dokumentov znamenalo odplatu Ruska za an- tidopingovou agentúrou zverejnené dokumenty o užívaní zakázaných dopingových látok ruskými športovcami (O'Donnell 2019). V roku 2017 došlo k narušeniu integrity a dostupnosti medicín- skych záznamov v Medzinárodnej atletickej organizácii, ako ukázalo ru- tinná kontrola systémov, skupinou APT28. Zdravotné údaje boli v sys- téme organizácie presunutú do iného súboru, takže existujú podozrenia, že ich útočník stiahol zo serverov alebo aj pozmenil ich obsah (Worldat- hletics.org 2017). Spoločnosť Microsoft vo svojom blogu z roku 2019 taktiež konšta- tovala, že skupina APT28 sa zacielila na viac ako 16 národných alebo me- dzinárodných antidopingových organizácii na troch kontinentoch, pri- čom veľká väčšina útokov skončila neúspešne (Burt 20191). Kyberne- tické bezpečnostné spoločnosti taktiež upozorňujú, že existuje vysoké ri-

71 SKUPINA APT28 ziko útokov aj na zatiaľ ešte neuskutočnené Olympijské hry 2020. Z rela- tívne širokého zapojenia do útokov na športové organizácie je teda možné usudzovať, že skupina naozaj naplňuje ruské národné záujmy, keďže v týchto prípadoch nejde o priamy finančný zisk alebo získanie iných výhod pre jednotlivých útočníkov (Greenberg, 2019).

Útoky na vyšetrovanie zostrelenia lietadla nad Ukrajinou – 2015 Skupina APT28 konala ako ruský proxy aktér aj v prípade vyšetrovania zostrelenia malajzijského lietadla nad Ukrajinou z roku 2014. Skupina spearphishingovými emailmi zaútočila na novinárov z investigatívneho portálu Bellingcat, ktorí sa venovali vyšetrovaniu leteckého incidentu. Aj v tomto prípade využili ako návnadu falošne vytvorené upozornenia od spoločnosti Gmail, ktoré obsahovali webové odkazy na škodlivú stránku (Nakashima 2016). APT28 sa zamerala aj na Holandskú bezpečnostnú radu, ktorá oficiálne viedla vyšetrovanie pádu lietadla, pričom ale útoky vykonané pomocou falošných VPN serverov neboli úspešné. Účelom tohto útoku malo byť preniknutie do vnútornej siete bezpečnostnej rady a získanie finálnej verzie vyšetrovania pádu lietadla (Msn.org).

Útok na vedenie americkej Demokratickej strany - 2016 Pravdepodobne najväčšiu publicitu skupine a impakt na medzinárodné reálie spôsobil útok APT28 na vedenie americkej Demokratickej strany v roku 2016, niekoľko mesiacov pre tamojšími prezidentskými voľbami. APT28 spolu so skupinou APT2937 prenikli do vnútorného informačného systému DNC a dostali sa k emailovým správam volebnej kampane de- mokratickej prezidentskej kandidátky Hillary Clintonovej, ktoré po- stupne uverejňovali. Obe skupiny uskutočňovali útoky pomocou phishin- govej kampane, v ktorej odoslali zamestnancom Clintonovej kampane a DNC stovky emailov vyžadujúcich zmenu hesla na ich Gmail emailo- vých účtoch. Aj v tomto prípade bol po kliknutí na priložený webový od- kaz užívateľ presmerovaný na phishingovú stránku, po ktorej vyplnení získal útočník prihlasovacie údaje do systému. Pravdepodobne najväčší

37 Podľa dostupných informácií a výsledkov vyšetrovania tohto útoku konali obe sku- piny nezávisle od seba, pravdepodobne bez vedomosti o vzájomných aktivitách. APT29 – známa aj pod názvom Cozy Bear, APT skupina atribuovaná ruskej spravo- dajskej službe FSB, prípadne SVR (teda civilným rozviedkam).

72 SKUPINA APT28 ohlas vzbudilo vniknutie do osobného emailového účtu predsedu Clinto- novej prezidentskej kampane Johna Podestu, v ktorom sa nachádzalo viac ako 50 tisíc súkromných a pracovných emailov. K úspechu tejto kampane asi dopomohol jeden z Podestových asistentov, ktorý mal prí- stup do jeho účtu a nevedomky uveril legitimite phishingového emailu. V nasledujúcom období niekoľkých mesiacov pred prezidentskými voľ- bami boli uniknuté emaily a citlivé informácie o Hillary Clintonovej a ce- lej kampani Demokratickej strany pravidelne zverejňované na internete, s takmer určitosťou za tieto úniky taktiež niesla zodpovednosť skupina APT28 a vysoko pravdepodobne tvorili súčasť tzv. DC Leaks (Lipton a kol. 2016). Zo všeobecného pohľadu neexistuje zhoda názorov na tom, či táto kybernetická kampaň a jej dôsledky mala výraznejší vplyv na prehre Clintonovej vo voľbách. V každom prípade však priradenie zodpoved- nosti za útok Rusku spôsobilo zvýšené medzinárodné napätie a taktiež odhalilo ďalší vektor ruského zasahovania do volieb v iných štátoch. Obavy z takého konania odvtedy razantne narástli a téma kybernetic- kých zásahov do volebných kampaní sa stala vysoko naliehavou.

Útoky na belgické a holandské orgány v rokoch 2017 a 2018 Podľa belgických tajných služieb uskutočnila APT28 spolu s ďalšou rus- kou skupinou APT29 viaceré pokusy o preniknutie do belgických minis- terstiev počas viac ako šiestich mesiacov so snahou získať klasifikované informácie, avšak bez úspechu. Následne, asi doposiaľ najriskantnejší útok skupina zrealizovala priamo v belgickom Haagu v roku 2018. Štyria agenti GRU patriaci do Jednotky 26155 pricestovali do tohto mesta, pri- čom ale už od ich príletu boli monitorovaní holandskými tajnými služ- bami. Ich cieľom bolo sídlo OPCW, teda organizácie určenej na presadzo- vanie a kontrolovanie dodržiavania dohovoru o chemických zbraniach. Jeho okolie si viacnásobne osobne preskúmali. Holandské orgány voči nim po pár dňoch zasiahli a keďže všetci štyria boli držiteľmi diploma- tických pasov, následne mohli bez zatknutia odletieť do Moskvy. Vyšet- rovanie ich zaisteného príslušenstva následne zistilo, že mali v pláne priamo pred sídlom organizácie vniknúť do Wifi siete v budove a pomo- cou nej kompromitovať a narušiť fungovanie počítačov v organizácii. Tá sa totiž v tom čase zaoberala otravou bývalého ruského agenta Skripala a chemickými útokmi v Sýrii, pričom zodpovednosť alebo spoluúčasť na

73 SKUPINA APT28 oboch udalosti bola prisudzovaná práve Rusku. Úspešné ukončenie vy- šetrovania by tak bolo kontraproduktívne s ruskými národnými záuj- mami (BBC 2018). Voči takémuto vysoko nepriateľskému a trúfalému konaniu priamo v cieľovom štáte sa vzniesla veľká medzinárodná kritika a kybernetic- kým operáciám GRU sa dostalo priveľa asi nie moc chcenej pozornosti, keďže na verejnosť taktiež prenikli fotky jej príslušníkov a ich vybavenia. Pokus o útok na svojho spojenca jednoznačne odsúdila Veľká Británia, ktorá ruské úsilia uskutočňované pomocou tajnej služby GRU razantne odmietla a verejne deklarovala záujem o čo najväčšie odtajnenie všet- kých skrytých kybernetických praktík skupiny APT28 (Gov.uk 2018). Spolu s americkými zatýkacími rozkazmi vydanými na ruských agentov GRU tak ide o najjasnejšie vymedzenie konkrétneho štátu voči skupine a vyjadrenie odhodlania prekaziť jej budúce aktivity, čoho výsledky sú však vzhľadom na úspešnú pokračujúcu činnosť skupiny skôr rozpačité.

Útoky na voľby v Európe – 2016 až 2019 Skupina APT28 sa vo vyššie zmienených rokoch orientovala na volebné kampane v rôznych európskych krajinách. V roku 2016 sa to týkalo poli- tických organizácií prepojených s nemeckou stranou CDU, na ktorej čele stojí Angela Merkelová, a s opozičnou SPD. Vektorom útoku boli phishin- gové emaily zamerané na zamestnancov týchto organizácií, pričom ale nie sú dostupné informácie o úspešnosti tejto kampane (Tost 2017). V nasledujúcom roku sa skupina pozornosť skupiny obrátila na prezi- dentské voľby vo Francúzsku, v ktorých bola cieľom volebná kampaň Emmanuela Macrona (Auchard 2017). Pred voľbami do európskeho par- lamentu v roku 2019 zas prebehla útočná kampaň APT28 proti noviná- rom, think tankom a nevládnym organizáciám pracujúcich na témach sú- visiacich s voľbami a podporou demokracie. Kybernetické bezpečnostné firmy pred vtedajšími májovými voľbami zaznamenali zvýšenú aktivitu skupiny, ktorá smerovala k ešpionážam svojich cieľov a následnej dezin- formačnej kampani založenej na získaných dátach (Seals 2019).

Útoky na americké politické organizácie – 2019 a 2020 V rokoch 2019 a 2020 si za cieľ svojich útokov skupina APT28 vybrala viacero amerických politických organizácií. Týkalo sa to buď think tan- kov ako sú The German Marshall Fund a Hudson Institute alebo organi- zácií priamo napojených na konkrétne politické strany Demokratov aj

74 SKUPINA APT28

Republikánov. Podľa spoločnosti Microsoft prebiehali útoky v niekoľko- mesačných periódach a podstatným faktorom je zmena vektoru útokov, ktoré v nich skupina použila. Na rozdiel od dovtedy primárne používa- ných phishingových alebo spearphishingových emailov sa APT28 v týchto kampaniach zamerala na aplikovanie tzv. brute force attack a password spray. To by malo znamenať posun skupiny k väčšej automa- tizácii svojich aktivít (Burt 2020). Podľa dostupných informácií stojí sku- pina APT28 s vysokou pravdepodobnosťou aj za snahami o špionáž ame- rického prezidentského kandidáta Demokratickej strany Joe Bidena a jeho volebnej kampane. Jej predstavitelia sa odmietajú vyjadriť k týmto útokom, avšak zároveň nepripúšťajú žiadne narušenie integrity svojich systémov (Reuters.com 2020).

Útoky na členské krajiny a partnerov NATO – 2020 So stredne vysokou istotou stojí skupina APT28 aj za kampaňou Zebrocy, ktorá odštartovala ešte v roku 2019. V nasledujúcom roku sa zamerala na vládne počítače členov a partnerov NATO. Logo Severoatlantickej or- ganizácie predstavuje návnadu v emaily, ktorý má obeť odkázať na po- drobnejšie informácie o cvičeniach uskutočnených pod taktovkou tejto organizácie. V prílohe emailu sa nachádzajú dva súbory, z ktorých je je- den nainfikovaný malvérom Zebrocy. Ten je schopný vykonávať prie- skum systému a navyše aj ohroziť integritu a dôvernosť súborov v počí- tači obete (Žaková 2020). Rovnaký malvér, avšak v mierne inom preve- dení, mal slúžiť aj v minulých kampaniach APT28 proti cieľom v Severnej Amerike alebo krajinám bývalého Sovietskeho zväzu (Shoorbajee 20181). V auguste 2020 sa terčom ešpionážnych útokov skupiny stali aj desiatky členov nórskeho parlamentu a ich asistenti, pričom útočníkovi sa podarilo získať prístup k nedefinovanému množstvu dát (Braw 2020).

Analyzované útoky sa skladajú z takých aktivít skupiny, ktoré sú v zhode s ruskými záujmami. Paradoxne, k tomuto je však vhodné dodať aj kľú- čovú poznámku, že z pohľadu zaznamenaných útokov, ku ktorým sú do- stupné informácie vo verejne prístupných zdrojoch, tento faktor nevylú- čil zo zoznamu žiadne ďalšie útoky APT28. Analýzy aktivít skupiny tak smerujú k záveru, že jej všetky útoky spočívajú v napĺňaní ruských ná- rodných záujmov, prípadne sú s nimi v zhode, teda navzájom si nekon- tradiktujú.

75 SKUPINA APT28

Negujúcim argumentom tohto záveru môže byť skutočnosť, že ky- bernetická bezpečnostná komunita sa čoraz častejšie stáva terčom kri- tiky koncentrovania svojej pozornosti len na mediálne príťažlivé a pre nich do budúcnosti potenciálne výnosné fenomény v kybernetickom priestore38, takže o útokoch voči krajinám tretieho sveta alebo na indivi- duálne osoby informuje v minimálnej miere (Maschmeyer 2020). V prí- pade sledovania aktivít skupiny APT28 to však vysoko pravdepodobne nebude relevantný prístup, keďže tá je posledných približne päť rokov pod drobnohľadom kybernetickej bezpečnostnej komunity, takže sú k dispozícii podrobné analýzy jej všetkých zistených aktivít z pohľadu analýz štátnych alebo súkromných organizácií. Vyššie analyzované útoky taktiež ukazujú súhrn najpodstatnejších z nich, ku ktorým sú dostupné informácie a existuje medzinárodne uzná- vaná zhoda na ich atribúcii skupine APT28 Nie vo všetkých prípadoch ale boli publikované informácie o rozsahoch a úspešnosti útokov, a to z rôz- nych dôvodov, pričom najpravdepodobnejšie sa javia byť strategická kal- kulácia, neochota obetí sa priznať k prieniku do ich systémov alebo ne- dostatočné vyšetrenie útokov. V každom prípade, ak by kampane APT28 prebiehali v oveľa väčšom merítku ako o čom svedčia verejné zdroje, pri- náša to aj nevýhodu pre iných aktérov, ktorí tak strácajú možnosť sa lep- šie pripraviť voči potenciálnym budúcim útokom. Pri komplexnom zhrnutí analyzovaných útokov je možné nájsť ur- čitý vzorec správania skupiny, ktorý už bol v práci viacnásobne zmie- nený. Ako kľúčový faktor pôsobí orientácia skupiny na vybranú skupinu cieľov, ktoré v konečnom dôsledku predstavujú rivalov alebo nepriate- ľov Ruska – teda široké spektrum vládnych orgánov viacerých štátov, medzinárodných organizácií a súkromných entít prepojených s politic- kou sférou. Nie vždy sa jedná o priamo Rusku nepriateľsky zasadeného aktéra s pákami voči tejto krajine, keďže mnohé obete nepatria medzi decision makerov, avšak v určitom zmysle majú na rozhodnutia alebo smerovania štátov vplyv. Kľúčovým prvkom aktivít APT28 sa ukazuje byť najmä ešpionáž, ktorá po dosiahnutí kritickej hodnoty vytvára skupine príležitosti ak- tívne zasiahnuť do procesov v štáte alebo v organizácií a tak ju ovplyv- ňovať – či už zverejňovaním získaných citlivých údajov alebo vôbec na- rušením jej informačných systémov. To do určitej miery činí ešte vyššiu

38 Napríklad útoky štátom sponzorovaných skupín alebo zraniteľnosti v masovo pou- žívaných programoch.

76 SKUPINA APT28 hrozbu pre potenciálne obete v budúcnosti, keďže na rozdiel od ad hoc priamočiarych a okamžitých útokov na systémy sa APT28 zameriava na hĺbkové a dlho mesačné kampane, ktorých finálne fázy môžu byť aktivo- vané na základe požiadavke a potrieb ruských záujmov, o čom svedčia aj prípady útokov na nemecký parlament, francúzsku televíziu alebo bel- gické vládne orgány.

77 DEFINOVANIE POZÍCIE SLOVENSKA V RÁMCI ZRANITEĽNOSTÍ OD F.HARE

6 Definovanie pozície Slovenska v rámci zraniteľností od F.Hare

V teoretickej časti práce je predstavený rámec kybernetických zraniteľ- ností od Forresta Hare, ktorý na základe charakteristík štátov uvádza štyri hlavné oblasti ohrozenia pre národnú bezpečnosť štátu z pohľadu kybernetických hrozieb. Charakteristiku štátov Hare (2010, 218) uvádza z pohľadu dvoch faktorov – Sila štátu a Sociálno-politická súdržnosť. Zá- roveň však neprichádza s ich jasnou definíciou, pretože cieľové využitie tohto rámca nie je absolútne platné umiestnenie štátu do jedného kvad- rantu, avšak najmä orientačné predstavenie potenciálne najväčšej kyber- netickej hrozby pre štát, ktorá je neskôr v práci ďalej analyzovaná.

6.1 Sila štátu

Asi najjednoduchším spôsobom zadefinovania pozície Slovenska v rámci tejto oblasti by sa mohlo javiť rozdelenie všetkých štátov sveta na zá- klade ich relatívnej vojenskej sily a v prípade, že by Slovensko dosaho- valo vysoko nadpriemerné skóre, tak by bolo prijateľné ho označiť ako silný štát. Takýto simplistický postup by však nepriniesol relevantné vy- jadrenie pozície Slovenska, keďže vojenské kapacity a schopnosti vychá- dzajúce z tzv. hard security vôbec nemusia v dostatočnej miere odzrkad- ľovať kapacity štátu v rámci kybernetickej bezpečnosti (ako klasický prí- klad býva označované Estónsko). Nemenej podstatnou je aj skutočnosť už zmienená v teoretickej časti práce, že z pohľadu štátov je vcelku bežné neprezentovať svoje kybernetické kapacity na verejnosť, čo súvisí aj s dostupnejšími príležitosťami utajiť svoje schopnosti pred pozorova- teľmi z medzinárodného prostredia, pričom dôležitým faktorom je aj možnosť tzv. duálneho použitia kybernetických kapacít, t.j. zároveň na civilné aj vojenské účely bez zreteľného vymedzenia. Konkrétne by bolo možné definovať silu štátu v kybernetickom priestore ako schopnosť krajiny použiť toto prostredie na získanie vý- hod a ovplyvňovania udalostí v medzinárodnej sfére. Táto schopnosť je zároveň jednou zo súčastí celkovej sily štátu (Schreier 2015, 14). Klasifi- kácia Slovenska na základe takéhoto prístupu by však nebola pre túto

78 DEFINOVANIE POZÍCIE SLOVENSKA V RÁMCI ZRANITEĽNOSTÍ OD F.HARE prácu vhodná, a to hneď z dvoch dôvodov. Ten prvý vychádza z doteraj- šieho verejne známeho diskurzu, akým je kybernetický priestor opísaný v strategických dokumentoch Slovenska a rovnako aj prezentovaný poli- tickými predstaviteľmi štátu. V oboch prípadoch je totiž predstavený predovšetkým ako priestor na šírenie informácií a komunikácií a nepri- kladajú mu potrebnú dôležitosť, o čom svedčí aj len dvojročná prítom- nosť zákona o kybernetickej bezpečnosti a takmer úplná absencia prob- lematiky v strategických dokumentoch štátu. Takisto aj útočné kyberne- tické operácie krajiny spadajú pod Vojenské spravodajstvo, ktoré je však v krajine skôr vnímané za politický nástroj vlád a viac než svojimi pra- covnými aktivitami je známe škandálmi39 (Bednár 2020). Druhý dôvod vyplýva zo zamerania rámca zraniteľností na obranné schopnosti štátu, pretože ani prípadné vysoko kvalitné ofenzívne kyber- netické schopnosti slovenskej armády by totiž nemuseli vypovedať o sile štátu pri obrane pred škodlivými kybernetickými akciami zo zahraničia. Oba dôvody preto podčiarkujú skutočnosť, že pre tento výskum je pod- statné sa orientovať len na defenzívne schopnosti Slovenska, keďže sa orientuje na problematiku bezpečnosti tohto štátu. Z globálneho pohľadu na schopnosti štátu na zaistenie svojej kyber- netickej bezpečnosti predstavujú dva medzinárodne uznávané indexy – Global Cybersecurity Index40 a National Cyber Security Index41, dostatočne relevantné a metodologicky ukotvené zdroje, ktoré je možné použiť na zhodnotenie stavu kybernetickej bezpečnosti na Slovensku.

39 Kritika sa týka najmä únikov utajovaných spravodajských informácií, zasahovaniu politikov do riadenia alebo majetkovým nezrovnalostiam služby. Podľa Bednára (2020) takisto služba ani len v prvotnej fáze nezachytila kybernetický útok voči ministerstvu zahraničných vecí v roku 2018. 40 Vydávaný agentúrou ITU (Medzinárodná telekomunikačná únia), ktorá podlieha pod OSN. V roku 2018 vydala už štvrté vydanie svojho indexu, v ktorom meria zá- väzky štátov k udržiavaniu kybernetickej bezpečnosti. Celkové hodnotenie každej krajiny je výsledkom analýz v piatich oblastiach – legislatívne, technické a organi- začné opatrenia, budovanie kapacít, spolupráca – na základe odpovedí štátov na dotazníky a analytických aktivít agentúry (GCI 2018, 6) 41 Vydávaný estónskou mimovládnou akadémiou s podporou Európskej komisie a ďalších organizácií, zhodnocuje pripravenosť krajín pri prevencii voči kyberne- tickým hrozbám a reagovania na kybernetické incidenty. Analyzovanie štátov spo- číva v identifikácii hlavných kybernetických hrozieb pre ne, legislatívnych opatrení a kapacít a tiež fungovania bezpečnostných jednotiek (NCSI 2018, 7).

79 DEFINOVANIE POZÍCIE SLOVENSKA V RÁMCI ZRANITEĽNOSTÍ OD F.HARE

Global Cybersecurity Index – pozícia Slovenska sa v tomto me- raní nachádza v prvej tretine rebríčka, konkrétne na 28. mieste v rámci európskeho regiónu (z celkovo 46 sledovaných štátov) a na 45. v globál- nom merítku (zo 175 štátov). Analýza pozitívne hodnotí prijatie Zákona o kybernetickej bezpečnosti z roku 2018, ktorý má jasne implementovať regulácie, kategorizácie incidentov, pravidlá akreditácií CSIRT jednotiek alebo bezpečnostné kritériá pre poskytovateľov základnej služby. Cel- kové skóre krajiny je 0.729, pričom celosvetovo prvá krajina (Veľká Bri- tánia, dosahuje najvyššie skóre 0.931. Index tiež zaraďuje Slovensko me- dzi krajiny s vysokým stupňom zaviazanosti k navyšovaniu kybernetic- kej bezpečnosti v piatich oblastiach40 (GCI 2018, 61). Okrem umiestenia Slovenska v Indexe je však veľmi dôležitá skutočnosť, že len rok pred tým, teda v 2017, sa krajina nachádzala na celkovo 81. mieste so skóre 0.362, a teda sa v rebríčku posunula o 36 miest. NBÚ (2019) vysvetľuje takýto skok predovšetkým už zmienenými legislatívnymi zmenami. S vy- sokou pravdepodobnosťou sa v nasledujúcom Indexe (za rok 2020) po- zícia Slovenska nebude výrazne meniť, keďže v krajine nedošlo k výraz- nejším zmenám v kybernetickej oblasti. Pri celkovom zhodnotení však zostáva podstatným relatívne vysoké skóre krajiny, z ktorého teda možno posúdiť celkový stav kybernetickej bezpečnosti v krajine.

National Cyber Security Index – v pravidelnejšie aktualizovanom Indexe sa Slovensko hneď po zaradení do neho nachádza na popredných miestach. V období marec-september 2018 bolo Slovensku priradené prvé miesto, pričom z 12 oblastí v tom čase dosahovalo prvenstvo v 6 z nich. Od leta 2020 sa krajina nachádza na 7. mieste spomedzi 161 me- raných, so skóre 0.83 (prvý štát, Grécko, dosahuje skóre 0.96). Ako naj- väčšie slabiny kybernetickej bezpečnosti na Slovensku Index vystihuje vojenské kybernetické operácie, prispievanie ku globálnej bezpečnosti a rozvoj v oblasti expertíz a vzdelávania (NCSI 2020). V súvislosti s vý- sledkami v tomto Indexe sa k nedostatočným schopnostiam Slovenska pri vojenských kybernetických operáciách kriticky vyjadruje aj NBÚ. Po- ukazuje aj na nevyhnutnosť ďalšieho rozvíjania vojenských a civilných spôsobilostí v obrane a ochrane kybernetického priestoru krajiny a tiež na pripravenosť na krízové situácie. Preto odporúča pravidelne rozvíjať a organizovať spoločné cvičenia vojenských a civilných síl zamerané na útoky a hrozby v kybernetickom priestore (NBÚ 2020).

80 DEFINOVANIE POZÍCIE SLOVENSKA V RÁMCI ZRANITEĽNOSTÍ OD F.HARE

Ak by primárnym cieľom tejto práce bolo zhodnotiť Silu Slovenska a ná- sledne štát definovať ako Silný alebo Slabý, tak by výsledky z vyššie pou- žitých Indexov určite nepostačovali, a bolo by nutné analyzovať ďalšie oblasti. Avšak vzhľadom na rozmanitosť a odlišnosť použitej metodoló- gie, ich relevantnosť a kredibilitu na medzinárodnom poli, pre tento vý- skum postačujú výsledky oboch Indexov ako dostatočný argument na to, aby bolo prijateľné Slovensko vo faktore Sila štátu klasifikovať ako Silný. Tento výsledok vychádza z celkového nadpriemerného postavenia Slo- venska v rámci oboch Indexov, mimo toho aj faktu, že pozícia krajiny si udržiava v oboch hodnoteniach v posledných rokoch stabilnú, prípadne stúpajúcu tendenciu.

6.2 Sociálno-politická súdržnosť

Skúmanie sociálnej súdržnosti sa zameriava na charakteristiku sociál- nych pút a vzájomných väzieb členov spoločenskej skupiny alebo obča- nov štátu. Pri vzniku Slovenskej republiky v roku 1993 sa občania no- vého štátu nemali možnosť jednoznačne stotožniť so spoločným kultúr- nym, historickým alebo náboženským spojivom (napríklad v prípade Poľska to bola katolícka viera alebo v Česku odkazy na historické České kráľovstvo). Navyše, ako vážny problém sa ukázala nespokojnosť s po- stavením v maďarskej menšine a segregácia Rómov. Ani po takmer 30 rokoch existencie Slovenskej republiky nie je maďarská menšina plne in- tegrovaná do spoločnosti na Slovensku, o čom svedčí aj memorandum z júna 2020, v ktorom mimoparlamentná politická strana SMK42 ne- priamo žiada o vytvorenie maďarského autonómneho územia na Sloven- sku, zmenu ústavy a slobodné používanie maďarských národných sym- bolov. Ďalším problémom v sociálnej súdržnosti je nízky level integrácie rómskej komunity do spoločnosti na Slovensku, pretože podľa prie- skumu z roku 2019 by 60% ľudom vo veku 15-19 rokov prekážalo, ak by sa ich susedmi stali Rómovia43 (Sme.sk1). Okrem toho, postupné rozširovanie rozdielov v oblasti vlastníctva majetku a výšky príjmov sa podľa Hetteša (2013, 12) odzrkadľuje na ne- ustálom narúšaní sociálnej kohézie. V prípade výšky platov dosahoval

42 Strana s dvojnásobnou účasťou vo vládnej koalícii na Slovensku. 43 Pre porovnanie, nasťahovanie nových susedov – moslimov – by predstavovalo problém pre 58% respondentov.

81 DEFINOVANIE POZÍCIE SLOVENSKA V RÁMCI ZRANITEĽNOSTÍ OD F.HARE v roku 2019 najväčší rozdiel medzi slovenskými regiónmi až 90%44. Ani najlepšie zarábajúci pracovníci v okrese Snina nedosahovali bratislavskú priemernú mzdu (Trend 2019). Pre slabý štát v sociálno-politickej súdržnosti je podľa Buzana (1991) typické aj spochybňovanie štátnych orgánov. V prípade Sloven- ska to značí signifikantný problém. Podľa údajov z európskeho prie- skumu Eurobarometer až 72% Slovákov neverí právnemu štátu, pričom z tohto pohľadu je to druhé najhoršie číslo spomedzi krajín v EÚ. Nedô- vera v políciu dosahuje 55%, v justíciu až 72% a jedinou inštitúciou, v ktorej dôvera prevažuje nad nedôverou, sú ozbrojené sily (Sme.sk2). Na základe vyššie zmienených faktorov sa dá oprávnene usudzo- vať, že aj napriek absencii otvorených konfliktov o územnú integritu alebo sociálnych rozbrojov, Sociálno-politická súdržnosť v oblasti integ- rácie menšín do spoločnosti a dôvera v orgány verenej moci na Sloven- sku je značne fragmentovaná, a preto je legitímne ju charakterizovať ako Slabú.

Umiestnenie Slovenska V analytickom rámci zraniteľností od Forresta Hare by sa vzhľadom na výsledky tejto analýzy pozícia Slovenska mohla začleniť do kvadrantu s charakteristikami štátu so silnými vojenskými kybernetickými kapaci- tami a nízkou sociálno-politickou súdržnosťou. Napriek tomu však des- kripcia štátu v takomto kvadrante podľa Hare (2012, 219) nie tak úplne spĺňa vlastnosti, ktorými by bolo možné opísať súčasné Slovensko. V cha- rakterizácií takéhoto štátu totiž Hare zvýrazňuje rozsiahlosť vojenských kybernetických kapacít, ktorými by mala krajina disponovať. Nimi však Slovensko v súčasnosti takmer určite nedisponuje, odvolávajúc sa na vý- sledky oboch renomovaných Indexov a aj zhrnutie stavu kybernetickej bezpečnosti od NBÚ z predchádzajúci analýzy. Táto práca označenie Slo- venska ako Silného štátu preto argumentuje nielen nadpriemerným umiestnením v oboch Indexoch, ale aj tým, že kybernetické kapacity väč- šiny štátov sa v konečnom dôsledku aj tak orientujú najmä na ochranu svojich sietí a do budovania ofenzívnych kybernetických schopností sa

44 Priemerný plat v okrese Snina bol 789 eur, zatiaľ čo v bratislavskom to bolo 1500 eur.

82 DEFINOVANIE POZÍCIE SLOVENSKA V RÁMCI ZRANITEĽNOSTÍ OD F.HARE púšťajú predovšetkým tie štáty, pri ktorých je vysoká šanca aj ich reál- neho využitia, pričom pri Slovensku neboli doteraz takéto záujmy dekla- rované (Inkster 2018). Celkovo zhrnuté, zaradenie Slovenska do tohto kvadrantu nezna- mená, že by tento štát mal spĺňať všetky atribúty, ako ich vo svojom texte charakterizuje Hare (2012, 218). Ako vysvetľuje kapitola v teoretickej časti tejto práce, primárnou cieľom ani nie je snaha jednoznačne zadefi- novať pozíciu Slovenska v rámci rámca zraniteľností, ale na základe vše- obecných znakov naznačiť jeho predpokladané zaradenie do konkrét- neho kvadrantu a to následne použiť ako nosné body analýzy, ktorými je možné sa riadiť pri nasledujúcej analýze najväčších hrozieb, ktoré by mohla skupina APT28 pre Slovensko predstavovať.

6.3 Kritická slabosť Slovenska a aktivity APT28

Na základe aplikovania teoretického rámca najväčších hrozieb v oblasti kybernetického priestoru podľa Forresta Hare na prípad Slovenskej re- publiky teda vyplýva, že pre krajinu sú vysoko nebezpečné destabilizu- júce politické akcie v kybernetickej sfére. Nasledujúca kapitola sa teda venuje podrobnejšej analýze tejto hrozby a či v prípade skupiny APT28 už existuje skúsenosť s takýmito akciami.

Populizmus Pri destabilizujúcich akciách aktérov sa prikladá dôležitá miera pro- strediu, na ktoré smerujú. Nízka úroveň dôvery obyvateľstva krajiny v etablované politické strany sa totiž prejavuje vo vstupe nových politic- kých strán bez koherentnej ideológie, ktorých hlavnou doménou a ťaž- nou silou sú jej vedúci predstavitelia. Takáto polarizácia politického pro- stredia úzko súvisí s nástupom populizmu v krajinách. Teda takého pre- svedčenia, že predovšetkým masy obyvateľstva majú kreovať politické konanie strán a nie naopak, takže politici následne konajú len na základe tendencie sa zapáčiť voličom a nie presadzovať vymedzený druh politík v rámci širokého spektra vládnutia (Tomšič 2017, 160). Takýto prístup v politike nemá samo o sebe majoritný vplyv pri urýchlení destabilizácie krajiny, avšak významne prispieva k uľahčeniu destabilizačných snáh za- hraničných aktérov v krajine, pretože tu absentuje pevné ukotvenie po- litických strán v určité hodnotové a ideologické zásady, o ktoré by sa mohla spoločnosť oprieť v prípade krízy alebo narušenia prítomného

83 DEFINOVANIE POZÍCIE SLOVENSKA V RÁMCI ZRANITEĽNOSTÍ OD F.HARE stavu krajiny. Z prostredia strednej Európy boli takýmito javmi imigrant- ská kríza v 2015 alebo konflikt na Ukrajine. Pri týchto udalostiach sa vy- jadrenia politikov primárne odrážali od nálad obyvateľstva a nie naopak (Angeli 2019). Samotné označenie politickej strany za populistickú v súčasnosti skôr evokuje nepríjemnú nálepku, a preto žiadna strana na slovenskej politickej scéne nemá vyslovene záujem byť takto označovaná, a to aj na- priek tomu, že samotný pojem populizmus len vychádza z ideológie, ktorá delí občanov krajiny na zlé elity a dobrý bežný ľud, a teda priamo toto slovo nemá negatívny podtón (Slosiarik 2019). Viaceré súčasné po- litické strany na Slovensku si ale na delení populácie na dve strany v pod- state vybudovali svoju volebnú kampaň – napr. OĽaNO, Sme Rodina, alebo sa v priebehu svojej existencie k tomuto presvedčeniu dostali – SMER-SD alebo SNS (Mesežnikov 2016). Je preto na mieste deklarovať, že v slovenskom politickom spektre sa v rámci koalície aj opozície už dl- hodobo nachádzajú viaceré populistické strany. Dané skutočnosti predstavujú dôležitý faktor pri snahách nepriateľ- ských aktérov o destabilizáciu krajiny, pretože populistickí politici môžu predstavovať riziko práve z pohľadu ich nestability v rámci ideového a hodnotového nastavenia. Pokiaľ svoju pozornosť totiž v jednom oka- mihu zacielia napríklad na získanie voličov s náklonnosťou k Rusku, pri úsilí o vytvorenie prepojenia s voličmi sa s pravdepodobnosťou ocitnú v role takzvaných užitočných idiotov, teda ľudí, ktorí nevedomky pracujú na presadzovaní napríklad ruských záujmov a dokonca môžu byť v kon- takte priamo s príslušníkmi ruských spravodajských služieb, ktorí sa ofi- ciálne prezentujú len ako diplomati alebo spriatelení jedinci (Juurvee 2018). Týmito javmi sa podrobnejšie zaoberajú predovšetkým odborníci na hybridné hrozby, avšak aj v rámci hrozieb v kybernetickom priestore takéto konanie politikov tvorí dôležitý element. Priamo sa to dotýka ešpi- onážnych aktivít hackerských skupín, vrátane APT28, ktoré získavajú utajované informácie z politického prostredia v zasiahnutej krajine a ná- sledne ich publikovaním ovplyvňujú verejné mienky a nálady v nej, čo sa konzekventne odráža na destabilizácii tohto štátu. Takéto využívanie po- pulistických nálad alebo priamo politických strán a získaných informácií vo svoj prospech priamo súvisí s realizovaním vplyvových operácií.

84 DEFINOVANIE POZÍCIE SLOVENSKA V RÁMCI ZRANITEĽNOSTÍ OD F.HARE

Vplyvové operácie Ovplyvňovanie určitej skupiny obyvateľstva v tomto chápaní prebieha ako cieľavedomá aktivita nepriateľského aktéra. Americký prestížny think tank RAND Corporation ju označuje ako operácie s motívom ovplyvniť cieľové publikum (či už je to politický líder, decision-makeri, iné špecifické skupiny obyvateľstva alebo naopak najčastejšie verejnosť vo všeobecnosti, ako je to vnímané aj v kontexte tejto práce), ktoré pred- stavujú koordinované a plánované použitie štátnych diplomatických, vo- jenských alebo ekonomických kapacít nepriateľským štátom. Úspešné formovanie mienky publika určitým spôsobom v takom smerovaní, ako si žiada uskutočňovateľ týchto operácií, je teda jeho primárnym záme- rom (Larson a kol. 2009, 2). Podstatným nástrojom ovplyvňovania je zís- kavanie taktických informácií o danom cieli a ich následné rozširovanie vo forme propagandy, čo môže vyvrcholiť v získaní výhod útočníka nad týmto cieľom, teda obeťou. Takéto ovplyvňovanie sa orientuje najmä na využitie širšieho rámca odhadovaných zraniteľností, ktoré danú obeť charakterizujú. Tie v prípade štátu spočívajú v sociálnom, demografic- kom, ekonomickom alebo etnickom naštrbení spoločnosti. Kampane za- merané na celkové oslabenie dôvery vo vládnuce inštitúcie, nastoľovanie spravodlivosti alebo zabezpečenie ochrany pred nepriateľmi využívajú práve tieto nezhody v spoločnosti (Schneier 2019). So zmienenými činnosťami má skupina APT28 už viacnásobnú skú- senosť, o čom svedčí aj zoznam jej kampaní v tejto práci. Tento druh ak- tivít hackerskej skupiny jednoznačne vypovedá o tom, že jej pôsobenie súvisí so záujmami inej entity, keďže z tejto činnosti zoskupenie jednot- livcov nemôže mať priamy finančný osoh, takže nevyhnutne jej existen- ciu sponzoruje niekto iný, čomu prislúcha v tomto texte viackrát opako- vaná atribúcia skupiny ruskej spravodajskej službe GRU. Z pohľadu skúseností APT28 s operáciami na ovplyvňovanie pub- lika, ako najsignifikantnejšia vychádza kampaň proti americkej Demo- kratickej strany pred prezidentskými voľbami v 2016. Aj keď pravdepo- dobne s rovnakým zámerom útočili na túto stranu až dve ruské APT – APT28 a APT29, prvej zmienenej stačilo podľa dostupných informácií na prienik do systému len niekoľko dní, zatiaľ čo kampaň druhej skupiny trvala niekoľko mesiacov. Americká komunita spravodajských služieb (FBI, CIA a NSA) v deklasifikovanej verzii reportu o vyšetrovaní útokov na Demokratickú stranu uvádza, že ruský prezident Putin vydal v roku 2016 príkaz na zrealizovanie operácie s cieľom ovplyvniť americké pre-

85 DEFINOVANIE POZÍCIE SLOVENSKA V RÁMCI ZRANITEĽNOSTÍ OD F.HARE zidentské voľby, v ktorých by po konsolidovanom podkopaní dôvery ob- čanov v demokratickú kandidátku H. Clintonovú zvíťazil zástupca Re- publikánov D. Trump. Aktivity proti jej zvoleniu mali spočívať vo vytvo- rení obrazu o kandidátke, ktorý by vyvolal jej vysokú neobľúbenosť me- dzi Američanmi. Ruský prezident sa podľa reportu staval ku kandidátke negatívne z dôvodu jej opakovanej kritiky voči jeho osobe kvôli potláča- niu občianskych protestov v Rusku. Okrem diplomatických praktík vyhlasovania neplatnosti volieb a príprave kampaní na sociálnych sieťach v prípade výhry Clintonovej sa v pokuse zabrániť jej víťazstvu pozornosť ruských orgánov tiež venovala aktivitám v kybernetickom priestore. Po kompromitácii účtov členov De- mokratickej strany sa GRU dostala k množstvu dát, ktoré následne po- mocou internetových figúr Guccifer 2.0, DCLeaks.com a WikiLeaks pub- likovala s cieľom diskreditovať Demokratickú stranu a jej kandidátku. Report ďalej konštatuje, že takáto kampaň s úmyslom ovplyvniť volebné hlasovanie bude vysoko pravdepodobne Ruskom v budúcnosti opätovne využívaná, pretože z pohľadu pomeru náročnosť-výsledok ju ruské spra- vodajské služby ako jej uskutočňovatelia hodnotia úspešne, keďže vo voľbách zvíťazil Ruskom preferovaný kandidát. Špionážne kybernetické aktivity mali totiž priniesť vysoký profit v rámci dosahovania ruských zá- ujmov pri zároveň nízkej finančnej náročnosti ich uskutočnenia (Dni.gov 2017). Tento prípad teda jednoznačne deklaruje, že skupina APT28 op- lýva kapacitami a schopnosťami vzniesť aj do štátu so silnými vojen- skými zdrojmi destabilizujúce konanie45. Samozrejme, ruské zasahova- nie do prezidentských volieb spočívalo v oveľa širšej forme, avšak publi- kovanie dát Demokratov získaných práve vďaka činnosti APT28 predsta- vuje jeden z kľúčových aspektov tohto konania.

Destabilizovanie politického prostredia v krajine Skúsenosti s využívaním kybernetických zásahov do volebnej kampane so snahou destabilizáciu krajiny nadobudlo v rokoch 2016 a 2017 aj Ne- mecko a Francúzsko. V prvom prípade riaditeľ nemeckej federálnej spra-

45 Analýza sociálno-politickej súdržnosti by v prípade USA vyžadovala podrobnú ana- lýzu, avšak vzhľadom na polarizáciu občanov krajiny medzi dve politické strany a rasovú a etnickú rôznorodosť je na mieste predpokladať, že v tejto oblasti by bola krajina považovaná za slabú.

86 DEFINOVANIE POZÍCIE SLOVENSKA V RÁMCI ZRANITEĽNOSTÍ OD F.HARE vodajskej služby označil APT28 za pôvodcu agresívnych a silnejúcich špi- onážnych a kybernetických operácií, ktoré by potenciálne mohli ohroziť nemeckých vládnych predstaviteľov, členov parlamentu a príslušníkov politických strán. Navyše, s cieľom zmiasť nemecké orgány, skupina sa v kampani prezentovala aj operáciami pod falošnou vlajkou, teda takými, ktoré mali navodiť dojem, že za všetkými útokmi stoja nemecké aktivis- tické organizácie. Objektívom činnosti APT28 malo byť oslabenie dôvery občanov v nemecké inštitúcie, volebný systém krajiny a navýšenie pod- pory nesystémových extrémistických strán (Tarantola 2016). Situácia s podobným scenárom nastala aj v roku 2017 vo Francúz- sku, kde sa prezidentský kandidát Macron stal terčom hackerských úto- kov len niekoľko hodín pred začatím prezidentských volieb. Viac ako 9GB dát sa následne objavilo na portály so zdieľanými súbormi bez uvedenia zodpovednosti za tento čin (Irishtimes.com 2017). V oboch prípadoch sa pravdepodobný objektív aktivít (prehra v prezidentských voľbách alebo zlegitimizovanie extrémistických strán) útočníkovi nepodaril naplniť. APT28, ktorá podľa viacerých relevant- ných zdrojov stála za týmito útokmi, však do určitej miery preukázala, že svojimi aktivitami dokáže výrazne zasiahnuť do diania ďalších krajín Zá- padu. Očakávať výsledok, že by jedným útokom dokázala výrazne desta- bilizovať krajinu, by pravdepodobne nedokázala naplniť. Avšak akciami, ktoré napríklad v Nemecku vykonáva v rozsiahle miere, môže postupne podkopávať dôveru občanov vo vládnuce orgány, čo sa mimochodom prejavuje aj v uskutočňovaní masových protestov proti vládnym opatre- niam v boji proti COVID-19. V doteraz uniknutých dáta o politických predstaviteľoch sa okrem informácií ohľadne fungovania volebných kampaní nenachádzali informácie, ktoré by ich dokázali natoľko zdiskre- ditovať, aby museli z politického života odísť. Je však pravdepodobné, že s pribúdajúcimi útokmi na rôzne politické persóny k takémuto prece- densu v blízkej budúcnosti dôjde.

Destabilizácia v zhode s ruskými národnými záujmami Kybernetická bezpečnostná spoločnosť FireEye zaraďuje medzi ďalšie operácie skupiny APT28 na ovplyvňovanie verejnosti aj už spomínané kybernetické útoky voči v Svetovej antidopingovej agentúre z roku 2016. Vo svojej štúdii kybernetická spoločnosť zdôrazňuje rozšírenie pôsob- nosti skupiny APT28 od prienikov do zahraničných politických inštitúcií smerom k útokom na organizáciu, ktorá verejne zdôrazňuje a odsudzuje

87 DEFINOVANIE POZÍCIE SLOVENSKA V RÁMCI ZRANITEĽNOSTÍ OD F.HARE koordinované dopingové správanie ruského tímu v prípravách na blí- žiace sa olympijské hry. Rusko totiž patrí medzi krajiny, ktoré úspechy na pôde olympijských hier pokladajú za národnú prestíž a možnosť po- silnenia svojej tzv. soft power na medzinárodnej úrovni. Obvinenia anti- dopingovej organizácie znamenali pre Rusku útok na národnú hrdosť, a tak sa pravdepodobne premenili na motiváciu o aktívne zasiahnutie proti nej, ktoré malo pomocou zverejnenia získaných dokumentov v ko- nečnom dôsledku spôsobiť diskreditáciu tejto entity. Postup APT28 sa tiež opätovne prejavoval v odpútaní pozornosti akciami pod falošnou vlajkou, avšak aj samotná Svetová antidopingová organizácia po vyšet- rení prienikov do svojich systémov uviedla, že strojcami útokov sú ruské orgány (FireEye 2017). Vniknutie do systémov, získanie súkromných dát, a ich následné strategické rozšírenie na rôzne platformy pomocou vopred naplánova- ného postupu smerujúceho k ich určitému vnímaniu verejnosti jasne deklaruje snahy ruských vládnych orgánov (v týchto prípadoch APT28) o dosiahnutie partikulárnych objektívov totožných s ruskými národnými záujmami. Kampane fungujúce na týchto postupoch siahajú ešte do ob- dobia existencie Sovietskeho zväzu, avšak s príchodom internetu sa ra- zantne rozšírila možnosť na strategické, pokročilejšie a masívnejšie vyu- žitie takýchto operácií na ovplyvňovanie populácie (Fireeye 2017). Útoky na americké a európske volebné kampane spôsobili, že pre krajiny Západu sa z Ruskej federácie stala najväčšia hrozba z pohľadu štátom podporovaných kybernetických útokov. Aktivity čínskych štátom podporovaných hackerských skupín sa totiž sústreďujú primárne na korporátnu ešpionáž, ktorá z pohľadu stability demokratických systé- mov pre európske vlády nespôsobujú výrazne závažnejšie riziko ako skupiny plniace ruské národné záujmy. Signifikantnou skutočnosťou skupín pôsobiacich v zhode s ruskými záujmami je ich väzba na uskutoč- ňovanie ruskej doktríny stelesnenej v osobe prezidenta Vladimíra Pu- tina, ktorý sa osobne zastáva za destabilizovanie západných demokracií (Imeson 2017). Tento prístup sa v kybernetickej problematike odráža v uskutočňovaní útočných kampaní, ktorých jediným princípom je spô- sobovanie politickej nestability a delegitimizovanie demokratických pro- cesov v Európe (Lang 2016). Ako nástroj v dosiahnutí týchto objektívov využíva ruská vládna moc aj skupinu APT28, ktorá svojimi doterajšími útokmi predstavuje jedným zo základných činiteľov tohto prístupu.

88 DEFINOVANIE POZÍCIE SLOVENSKA V RÁMCI ZRANITEĽNOSTÍ OD F.HARE

Hrozby pre Slovensko Na prvý pohľad sa teda táto kapitola zaoberala eventuálne nie až tak spolu súvisiacimi fenoménmi – populizmom, operáciami na ovplyvňo- vaní verejnej mienky vo všeobecnosti a potom aj ich konkrétnych prí- kladmi nariadenými ruskými vládnymi inštitúciami, v ktorých zohrávala výraznú úlohu skupina APT28. V kontexte tejto práce netvoria tieto sku- točnosti lineárnu súvislosť, avšak isté prepojenie týchto javov môže vý- razne napomôcť pri zodpovedaní otázky, či skupina APT28 znamená hrozbu pre slovenskú národnú bezpečnosť. Každý z týchto fenoménov sa totiž do istej miery dotýka kritickej zraniteľnosti Slovenska v kyberne- tickom priestore na základe rámca od F. Hare – a teda zraniteľnosť voči destabilizujúcim politickým akciám. Prítomnosť populistických lídrov na politickom poli na Slovensku sa totiž odráža v oslabení odolnosti štátu voči operáciám na ovplyvňovanie verejnej mienky. Samozrejme, populiz- mus je len jeden z viacerých faktorov, ktoré majú svoj podiel na tomto oslabení. Avšak výrazným spôsobom prispieva ku znižovaniu dôvery obyvateľstva voči politickým elitám, ktorej pokles je potenciálnymi kam- paňami zahraničných aktérov na ovplyvňovanie verejnej mienky ešte vý- raznejší. V tomto okamihu sa teda operácie stávajú úspešnými, keďže už existujúcu polarizáciu v krajine môžu naďalej rozširovať a tak destabili- zovať súdržnosť jej obyvateľstva. Práve aktivity ruských orgánov sa kon- centrujú na tieto dve skutočnosti a v prevedení činnosti skupiny APT28 to aplikujú do reality. Aj na základe analyzovaných aktivít tejto skupiny, ktorá má viacnásobné skúsenosti s operáciami z rôznych štátoch v ky- bernetickom priestore sa preto je možné dôvodne obávať, že v prípade zamerania svojej pozornosti na Slovensko by aktivity APT28 znamenali vysoké riziko pre bezpečnosť krajiny. Pokiaľ by v prípade útoku na Slovensko skupina použila už etablo- vaný modus operandi získania dát od politicky aktívnych osôb a ich ná- sledného publikovania s cieľom zdiskreditovať dané osoby, s vysokou pravdepodobnosťou by tým prispela k určitej destabilizácii spoločnosti z pozície znižovania dôvery obyvateľstva voči politikom. Je však nutné dodať, že táto dôvera sa aj mimo prípadných snáh externých aktérov na- chádza dlhodobo na nízkej úrovni, podľa prieskumu zo septembra 2020 iba 30% občanov dôveruje politickým stranám na Slovensku (Teraz.sk 2020). Z pohľadu ruských národných záujmov by však aj ďalšie znižova- nie dôvery obyvateľstva v politické autority prinieslo výhody, keďže spolu s touto dôverou (predovšetkým voči mainstreamovým stranám) je

89 DEFINOVANIE POZÍCIE SLOVENSKA V RÁMCI ZRANITEĽNOSTÍ OD F.HARE

úzko spojený aj postoj občanov k Západu a k ním presadzovaním hodno- tám liberalizmu a demokracie.

Sledovaniu činností zahraničných aktérov v kybernetickom pries- tore sa zaoberali aj slovenské spravodajské služby. V správe o činnosti SIS za rok 2018 sa uvádza, že jedna z Ruskom podporovaných APT sku- pín (Snake/Turla) sa snažila o komunikáciu so serverom slovenského štátneho orgánu. Ruská federácia sa taktiež spomína ako pôvodca vply- vových kampaní zacielených na oslabenie politickej kohézie vo vzťahu občanov k EÚ a NATO. Nositeľom týchto kampaní ale mali byť prevažne pro-rusky orientované médiá (SIS 2019). Správa o činnosti SIS za rok 2019 zas spomína pretrvávajúce incidenty infiltračných kampaní elektronickej špionáže, z ktorých sú podozrivé zahraničné spravodajské služby (SIS 2020). Armádna spravodajská služba Vojenské spravodaj- stvo vo svojej správe za činnosť v roku 2018 vyjadruje o phishingových útokoch APT skupín, pričom správa naznačuje, že sa jednalo o širšie spektrum útočníkov, ktorých cieľom boli na internet pripojené civilné a vojenské komunikačné informačné systémy Ministerstva obrany (Vs.mosr 2019). V správe o činnosti v nasledujúcom roku služba opä- tovne deklaruje záujem APT skupín o ciele na Slovensku, pričom hlavný vektor útoku spočíval vo phishingových emailoch a zároveň potvrdzuje trend zvyšujúceho sa počtu aktivít štátnych a neštátnych aktérov v ky- bernetickom priestore, ktoré majú potenciál negatívne ovplyvniť bez- pečnostné záujmy SR (Vs.mosr 2020). V najaktuálnejších správach o činnosti dvoch slovenských spravo- dajských služieb sa teda skupina APT28 explicitne nespomína, čo však samo o sebe nemá výpovednú hodnotu o tom, či skupina podnikla v ro- koch 2018 a 2019 útoky voči Slovensku, keďže dané správy slúžia skôr ako všeobecné zhrnutie najväčších hrozieb pre krajinu a zo strategických aj politických príčin takmer vôbec nepomenovávajú konkrétne hrozby v zmysle názvov organizácií alebo skupín. Na základe týchto informácií preto zhodnotiť, že do akej miery a či vôbec prezentuje APT28 v súčasnosti hrozbu pre Slovensko z pohľadu destabilizácie politickými akciami v kybernetickom priestore je len na základe informácií z otvorených zdrojov vhodné len do miery odhadov. Keď sa zoberú do úvahy znalosti o doterajších aktivitách APT28 a nepria- teľskému vzťahu Ruska voči členským krajinám EÚ a NATO je však legi- tímne zhodnotiť, že v prípade využitia danej zraniteľnosti skupina

90 DEFINOVANIE POZÍCIE SLOVENSKA V RÁMCI ZRANITEĽNOSTÍ OD F.HARE

APT28 pôsobí ako druh ohrozenia pre Slovenska, keďže rovnako kapa- city ako aj motivácia sú v tomto prípade prítomné. Takéto hodnotenie je prijateľné uskutočniť aj pri použití teoretických východísk od F. Hare, pretože sú tu prítomné všetky tri prvky potrebné pri zadefinovaní hrozby: ▪ obeť – vzhľadom na ruské národné záujmy sa medzi nimi nachá- dza aj Slovenská republika ▪ hrozba - APT28 – jej závažnosť potvrdzujú analyzované útoky ▪ vnímanie hrozby – zmienky v správach o činnostiach slovenských spravodajských služieb, takisto aj zástupcovia slovenských inšti- túcií (Príloha 1)

Posledný menovaný prvok však nadovšetko spôsobuje určitú po- chybnosť, keďže špecificky skupina APT28 sa v súčasnosti neobjavuje vo verejnom diskurze ako vnímaná hrozba pre Slovenskú republiku alebo jej občanov. Avšak na základe čiastkových informácií v správach o čin- nosti slovenských spravodajských služieb je možné konštatovať, že ruské vládne orgány aj prostredníctvom APT skupín na Slovensku určitú činnosť vyvíjajú, takže tým pádom hrozbu pre krajinu aj naozaj predsta- vujú, pretože je nepriamo sekuritizovaná vo forme vyhlásení štátnych in- štitúcií, resp. ku sekuritizácii dochádza na úrovni bezpečnostných zložiek štátu a nie v klasickom chápaní podľa Buzana z pozície politikov smerom k obyvateľstvu. Faktom však je, že v tomto prípade absentujú mimo- riadne opatrenia vlády na obmedzenie rizika vyplývajúceho z tejto hrozby. Túto výhradu by bolo možné argumentovať opatreniami sloven- skej vlády pri prijatí kybernetického zákona v roku 2018, posilnením kompetencií NBÚ, vytvorením kybernetických tímov v rámci SIS a Vojen- ského spravodajstva a prijatím koncepcie na boj voči hybridným hroz- bám. Nejde teda o opatrenia namierené priamo proti pôsobeniu APT28, avšak zo všeobecného hľadiska sa týkajú aj prevencie voči tejto skupiny.

91 OHROZENIE BEZPEČNOSTI SLOVENSKA DVOMA SPÔSOBMI ÚTOKOV

7 Ohrozenie bezpečnosti Slovenska dvoma spôsobmi útokov

Prechádzajúca časť práce vychádzala z analýzy skupiny APT28 ako po- tenciálnej hrozby pre Slovenskú republiku z pohľadu najväčšej zraniteľ- nosti pre štát na základe pozície v štruktúre kritických hrozieb podľa F. Hare. Nasledujúca kapitola sa zameriava na analýzu APT28 ako hrozby pre slovenskú národnú bezpečnosť v rámci využitia dvoch spôsobov úto- kov – preniknutie do strategických informačných systémov krajiny a na- rušenie fungovania kritickej infraštruktúry.

7.1 Preniknutie do strategických informačných systémov

Ako vysvetľuje kapitola v teoretickej časti tejto práce, útoky na strate- gické informačné systémy štátu mieria na zisk utajovaných informácií ta- kého rozsahu a významu, ktoré by pri ich zneužití mohli mať vážny do- sah na riadne zabezpečenie fungovania štátu alebo priamo ohroziť jeho existenciu v takom zmysle, že ich potenciálny útočník zneužije pre osla- benie daného štátu, čo sa v dlhodobejšom hľadisku môže tak prejaviť. V tradičnom ponímaní kybernetických hrozieb sa tieto útoky uskutoč- ňujú vo forme ešpionáží. Z útokov, resp. komplexných kampaní, v podobe ešpionáží sa skladá majoritná časť modusu operandi APT28, z čoho by teda možné v podstate automaticky usudzovať, že skupina znamená veľkú hrozbu pre slovenskú národnú bezpečnosť. O samotnej efektívnosti zrealizova- ných ešpionážnych kampaní svedčia aj najsignifikantnejšie útoky sku- piny analyzované v tejto práci, pričom viaceré z nich preukazujú vysokú nasadenosť APT28, kedy po prvotnom prieniku do systémov obete a udr- žaní svojej prítomnosti v nich, došlo k publikovaniu získaných dát v sú- lade so záujmami Ruska. Dosiaľ uskutočnené (a samozrejme, vôbec zverejnené) ešpionážne kampane skupiny APT28 sa však skladajú z útokov na rôzne entity. Preto je na mieste sa v tomto prípade sústrediť predovšetkým na tie útoky, ktoré smerovali voči vládnym inštitúciám rôznych štátov. Je tomu tak preto, lebo kampane voči štátnym aktérom sa vyznačujú inými objek-

92 OHROZENIE BEZPEČNOSTI SLOVENSKA DVOMA SPÔSOBMI ÚTOKOV tívmi a priebehom, keď už spomenuté získavanie utajovaných geopoli- ticky dôležitých informácií relevantných pre Rusko slúži pre v podstate interné účely ruských orgánov a vo finálnej fáze nie sú zverejnené na in- ternete. Vhodným príkladom sú napríklad útoky na nemecký parlament v 2015 a na nemecké politické strany v nasledujúcom roku. Kým v prí- pade útoku na parlament mierila skupina na zisk informácií, ktoré by mohli byť využité v budúcnosti v súlade s ruskými záujmami, v druhom prípade smerovali získané dáta na verejnosť s cieľom zdiskreditovať po- litický establišment a podkopať dôveru v demokraciu. V kontexte dvoch druhov hrozieb pre národnú bezpečnosť podľa F. Hare je podstatný práve prvý prípad.

Skúsenosti s útokmi APT28 Už v niekoľkokrát zmienenom reporte z roku 2014 uvádza kybernetická bezpečnostná firma FireEye ako ciele aktivít APT28 krajiny kaukazského regiónu (napr. Gruzínsko), východnej Európy a bezpečnostné organizá- cie NATO a OSCE. Pri týchto entitách bezpečnostná firma zaznamenala špecifickú činnosť skupiny, ktorá smerovala k získaniu insiderských in- formácií (napr. spravodajské produkty alebo organizačné postupy) s ta- kými zisteniami, z ktorých by mohla v budúcnosti benefitovať ruská vládna moc (Fireeye 2014). Po roku 2014 sa ciele APT28 rozšírili na vládne orgány ďalších štátov, pričom významný terč naďalej predstavujú ministerstvá zahraničia a obrany (Malpedia.de). Vysoký stupeň aktivity skupiny je možné badať v rokoch 2017 a 2018, v ktorých mimo spomí- nané útoky na ciele v Nemecku a Belgicku sa APT28 zamerala aj na dosiaľ nešpecifikované vojenské ciele v Európe, ambasády a vládu jedného ju- hoamerického štátu. Skupina svoju ešpionážnu aktivitu vykonávala po- mocou odosielaním spearphishingových emailov a vlastných vyvinutých malvérov (Symantec 2018).

Ešpionážne útoky voči susedom Slovenska Okrem Slovenska majú skúsenosť s ešpionážnymi útokmi skupiny APT28 všetky ostatné štáty Vyšehradskej štvorky. Poľská a maďarská vláda sa stali terčom dlhotrvajúcej phishingovej operácie už v roku 2014, čo predstavuje zásadnú skutočnosť, ak sa do úvahy vezme fakt, že na Slo- vensko ešte do roku 2020 takáto kampaň zo strany APT28 nesmerovala vôbec. Objektívom kampaní bolo úsilie o získanie utajovaných spravo- dajských informácií, pričom ale nie sú dostupné informácie o tom, či boli

93 OHROZENIE BEZPEČNOSTI SLOVENSKA DVOMA SPÔSOBMI ÚTOKOV kampane voči obom krajinám úspešné (Jones 2014). Voči Poľsku smero- vala aj ďalšia spearphishingová operácia skupiny APT28 na konci roka 2016, v ktorej zamestnanci ministerstva zahraničia obdržali email, ktorý sa javil ako odoslaný z kancelárie generálneho tajomníka NATO. Po otvo- rení emailu sa však mal do počítača obete nainštalovať trojan, bezpeč- nostným pracovníkom ministerstva sa však hneď na začiatku podarilo túto kampaň zmariť (Radiopoland 2017).

Česká spravodajská služba BIS vo svojich štyroch posledných výroč- ných správach reportuje o operáciách skupiny APT28 voči vládnym cie- ľom v republike. Za rok 2016 služba informuje o vysoko aktívnom sprá- vaní skupiny APT28 vo vedení operácií voči súkromných emailovým úč- tom patriacim osobám spojených s českým vojenským prostredím, če- skej vojenskej výskumnej spoločnosti a rezortom obrany a zahraničia (BIS 2017). V správe za rok 2017 služba zverejnila detaily o kybernetic- kom útoku skupiny na české ministerstvo zahraničných vecí, pri ktorom sa mala APT28 usilovať o kompromitáciu niekoľkých stoviek emailových účtov pomocou uhádnutia prístupových údajov formou útoku brute force. Pri tejto operácii došlo ku kompromitácii viac ako 150 účtov, z kto- rých bol útočník už od roku 2016 schopný kopírovať emaily aj s ich prí- lohami a získavať citlivé informácie aj od najvyššie postavených zamest- nancov na ministerstve. Pomedzi to bola skupina aktívna aj voči českým vojenským cieľom, pričom sa jej podarilo preniknúť do niekoľkých súk- romných emailových účtov patriacim osobám pracujúcim pre minister- stvo obrany a českú armádu, a taktiež malvérom nainfikovať IP adresu patriacu rezortu obrany. Skupine sa pri tomto útoku pravdepodobne ne- podarilo získať žiadne utajované informácie, avšak takmer určite sa do- stala k množstvu citlivých dát využiteľných pre budúce kampane (BIS 2018). Za rok 2018 zas BIS informuje o kybernetickej špionáži súkrom- ných emailových účtov príslušníkov českej armády, z ktorých sa podarilo APT28 získať rozsiahle množstvo osobných údajov vojakov (BIS 2019). V správe o bezpečnosti v krajine za rok 2019 služba nespomína žiadny konkrétny útok skupiny, avšak zdôrazňuje jej pretrvávajúce ešpionážne aktivity, ktoré boli zaznamenané v niekoľkých bezpečnostných inciden- toch (BIS 2020). Vedúci vládny orgán kybernetickej bezpečnosti v Česku NÚKIB zas vo svojej správe za rok 2019 informuje o ešpionážnej aktivite určitej APT skupiny (vysoko pravdepodobne APT28), ktorá stála za úto- kom voči štátnej inštitúcii pomocou spearphishingového útoku, avšak bez uvedenia ďalších podrobností (NUKIB.cz).

94 OHROZENIE BEZPEČNOSTI SLOVENSKA DVOMA SPÔSOBMI ÚTOKOV

Slovensko ako cieľ ešpionáže APT28 Z uvedených skutočností teda vyplýva eminentný interes skupiny APT28 o citlivé dáta pochádzajúce z najbližšieho geografického a politického re- giónu pre Slovensko, pričom (vzhľadom na dostupné informácie) najväč- šiu aktivitu vyvíja skupina v Českej republike, teda v krajine s najhlbšími a najmä najviac komplexnými väzbami na Slovensko. Avšak tvrdenie, že by sa aktivity APT28 odvodzovali na základe blízkosti vzťahov medzi štátmi a teda by sa musela skupina v podstate logicky zaujímať aj o zís- kanie citlivých údajov na Slovensku, keďže jeho partneri z V4 sa už stali cieľmi jej útokov, by bolo založené skôr na dohadoch. Pravdepodobnejšia však bude asi tá skutočnosť, že ostatné štáty tohto zoskupenia doposiaľ pôsobia ako signifikantnejšie ciele z pohľadu ruských národných záuj- mov. To však samo o sebe nevylučuje možnosť, že Slovenská republika nie je alebo sa nestane v blízkom časovom období cieľom útokov APT2846. Okrem už spomínaného všeobecného varovania o ešpionážnych ak- tivitách APT skupín Vojenským spravodajstvom vo svojich správach za roky 2018 a 2019 sa touto hrozbou zaoberá aj NBÚ v Správe o kyberne- tickej bezpečnosti za rok 201947. Aj v tomto prípade sa to však týka pre- dovšetkým snahy o vytvorenie verejného povedomia o pôsobení APT skupín (medzi ktorými tiež explicitne spomína APT28), kedy zdôrazňuje vysokú prepracovanosť nimi používaných nástrojov pri získavaní citli- vých informácií o svojich obetiach, náročnosť atribúcie ich útokov a vy- konávanie aktivít aj v prospech záujmov štátov (NBÚ 20201). Podobne všeobecnú povahu majú aj vyjadrenia riaditeľa SIS z novembra 2020, ktorý v rozhovore na otázku o aktivitách ruských spravodajských služieb na Slovensku uznáva aj hackerské útoky, za ktoré mali byť zodpovedné práve ruskí aktéri, avšak tí sa podľa neho nemali dostať k žiadnym uta- jovaným skutočnostiam. Riaditeľ slovenskej civilnej rozviedky však kon- krétne nešpecifikuje povahu týchto útokov a ani útočníkov, ktorí mali za nimi stáť (Kern 2020).

46 Určite adekvátnou alternatívou je aj taká možnosť, že Slovensko sa už stalo obeťou útokov APT28, avšak tieto aktivity neboli žiadnym aktérmi zaznamenané, prí- padne o nich spravodajské služby doposiaľ neinformovali. S týmito alternatívami sa zaoberajú limity tejto práce. 47 Zatiaľ čo český NÚKIB vydáva výročné správy už siedmy rok, v prípade NBÚ sa jedná o prvé vydanie tohto reportu.

95 OHROZENIE BEZPEČNOSTI SLOVENSKA DVOMA SPÔSOBMI ÚTOKOV

Označenie skupiny APT28 ako legitímnej hrozby pre Slovenskú re- publiku z pohľadu útokov na strategické informačné systémy sa teda skladá z niekoľkých faktorov. Tým prvým a hlavným (na čo kladie dôraz táto práca) sú dosiaľ uskutočnené útoky skupiny voči iným štátnym ak- térom. V tomto bode je nutné zdôrazniť skutočnosť, že drvivá väčšina útokov APT28 sa spoliehala na sociálne inžinierstvo, keďže využívala phishingové a spearphishingové útoky a teda primárnym zlyhaním bol ľudský faktor a nie technické nedokonalosti na strane obete. Preto na zá- klade minulých útokov skupiny je vhodné konštatovať, že skupina oplýva potrebným know-how a kapacitami, aby vytvárala dostatočne uveriteľné spearphishingové emaily a zároveň v nasledujúcom kroku proti svojmu cieľu nasadila efektívny malvér alebo iný škodlivý program. Široká škála v tejto práci analyzovaných štátov a ich orgánov, ktoré boli zasiahnuté útokmi APT28, poskytuje relevantnú vzorku prípadov aj napriek rozdie- lom vo svojom personálnom a technickom vybavení na legitímne zhod- notenie, že skupina APT28 má schopnosti preniknúť do systémov krajiny a získať množstvo citlivých, prípadne utajovaných, dát. Prieniky sa tý- kajú najmä ministerstiev obrany a zahraničia z pohľadu ich zamestnan- cov, ktorých citlivé alebo prihlasovacie údaje môžu následne v ďalších kampaniach poskytovať vstupný vektor pri útoku skupiny na konkrétne informačné systémy v rámci týchto rezortov. Útok na české ministerstvo zahraničných vecí figuruje pre Slovensko ako najpriamejší dôkaz o schopnostiach skupiny, keďže ide o štát s najbližšími väzbami naň a zá- roveň taký, s ktorým zdieľa podobné rozdelenie štruktúr a nastavenie procesov v rámci svojich inštitúcií. Druhý faktor určenia vážnosti hrozby pochádzajúcej od APT28 predstavuje vnímanie skupiny navonok. Slovenské spravodajské služby doposiaľ nevydali žiadne oficiálne varovanie pred aktivitami skupiny APT28, avšak vo svojich výročných správach zdôrazňujú riziká pochá- dzajúce z ešpionážnych aktivít APT skupín. Nie je pritom úplne zrejmé, či sa tieto varovania vzťahujú na konkrétne sektory v štáte a potenciálnych útočníkov, alebo skôr smerujú k všeobecnej osvete verejnosti. No vzhľa- dom na rozsiahlosť a dôsledky už zrealizovaných kampaní APT28 je vy- soko pravdepodobné, že slovenské orgány takto nepriamo varujú aj pred aktivitami tejto konkrétnej skupiny. Varovania o hrozbe ruských hackerských skupín smerujú aj zo strany predstaviteľov slovenskej štátnej moci. Juraj Krúpa sa z pozície predsedu slovenského parlamentného výboru pre obranu a bezpečnosť vyjadruje, že Slovensko figuruje ako zaujímavý cieľ pre ruské aktivity

96 OHROZENIE BEZPEČNOSTI SLOVENSKA DVOMA SPÔSOBMI ÚTOKOV z dôvodu členstva krajiny v západných bezpečnostných štruktúrach. Síce priznáva, že nie všetky akcie ruských skupín koordinuje priamo vládna moc, no sofistikovaní aktéri znamenajú veľkú hrozbu pre bezpečnosť Slovenska. To sa podľa neho už v minulosti mohlo stať cieľom aktivít APT28 a v každom prípade je nevyhnutné sa sústrediť na efektívne za- bezpečenie krajiny voči ruským ešpionážnym útokom, ktorých dôsledky sa môžu prejaviť aj v oslabení práve západných inštitúcií ako takých (Prí- loha 1). Podobný názor zdieľa aj hlavný odborník na škodlivých kybernetic- kých aktérov pre SK-CERT Tomáš Handžarik. Slovensko podľa neho slúži ako prívetivá pôda pre sprostredkovávanie bilaterálnych a medzinárod- ných zmlúv a to môže prilákať pozornosť APT skupín z Ruska, ktorých agresia by sa mohla pretaviť do podoby diplomatických škandálov alebo ohrození slovenských susedov a partnerov (Príloha 1).

7.2 Narušenie fungovania kritickej infraštruktúry

Druhým spôsobom, ktorým je možné závažne narušiť národnú bezpeč- nosť krajiny, sú útoky smerujúce k narušeniu kritickej infraštruktúry. V tomto prípade sa to teda týka nielen systémov patriacich pod správu štátu, ale aj tých, ktoré vlastnia a prevádzkujú súkromné entity. Pri analýze aktivít rozdielne orientovaných APT skupín alebo iných hackerských aktérov by do úvahy pripadali aj odlišné záujmy, ktoré by ich viedli k takýmto útokom48, avšak pôsobenie APT28 sa zameriava vý- lučne na konanie v súlade s ruskými národnými záujmami, ktoré sa teda primárne orientujú na oslabovanie konkurenčných štátov, čo by sa v tomto prípade malo pretaviť do narušenia dodávok základných potrieb a služieb pre občanov daných štátov. Z analýzy pôsobenia APT28 sa však javí predpoklad, že táto skupina neslúži ako ruskou vládou určený aktér na znefunkčňovanie kritickej in- fraštruktúry konkurenčných štátov. V protiklade s tým, pri iných APT skupín atribuovaných Rusku sa za vykonávateľov kampaní s týmto ob- jektívom označujú najmä Energetic Bear (skupina stojaca za útokmi

48 Napríklad v prípade APT skupiny Lazarus, ktorá pracuje pod patronátom Severnej Kórey, sa jedná o kriminálne aktivity sledujúce finančný zisk.

97 OHROZENIE BEZPEČNOSTI SLOVENSKA DVOMA SPÔSOBMI ÚTOKOV ukrajinské a turecké elektrárne), Dragonfly 2.0 (útok na americké nuk- leárne zariadenia), alebo Sandworm Team (útoky na ukrajinskú elek- trickú prenosovú sústavu) (Thaicert 2019). Spomedzi najsignifikantnejších kampaní skupiny APT28, vrátane tých analyzovaných v tejto práci, sa nezaraďuje žiadny z jej cieľov do konceptu kritickej infraštruktúry z pohľadu dodávok služieb alebo hos- podárskeho zabezpečenia chodu štátu. Detailnejšie záznamy útokov tejto skupiny, ako napríklad ten od thajského vládneho CERTu, databázy ky- bernetických hrozieb MITRE ATT&CK alebo kybernetických bezpečnost- ných spoločností venujúcich sa analýzam APT skupín ako sú CrowdStrike alebo FireEye takisto nezaznamenávajú aktivity APT28 smerujúce k úto- kom na kritickú infraštruktúru (Thaicert 2019; Attack.mitre.org; Crowd- strike 2019; Fireeye.com).

Nepotvrdené zameranie APT28 na kritickú infraštruktúru Napriek týmto skutočnostiam sa však od polovice roka 2020 objavujú nateraz nepotvrdené náznaky, že sa činnosť skupiny APT28 čiastočne preorientovala aj na útoky voči sektorom spadajúcim pod kritickú infra- štruktúru. Americké ministerstvo energetiky totiž koncom prechádzajú- ceho roka vydalo varovanie o kybernetických útokoch, ktoré mierili na získanie prístupu k webovému portálu jednej z amerických energetic- kých spoločností. Následne, v máji 2020 zverejnila FBI zoznam IP adries, ktoré boli použité pri jednej z aktuálnych kampaní APT28. Tieto dve na- vonok rozdielne udalosti spája tá skutočnosť, že jedna zo zverejnených IP adries sa objavila pri oboch incidentoch, takže skôr s nižšou pravde- podobnosťou stála APT28 aj za útokmi voči energetickému priemyslu v roku 2019. Žiadny z amerických vládnych orgánov však doposiaľ túto atribúciu nepotvrdil a faktom tiež zostáva, že iná APT skupina tiež pripi- sovaná GRU (Sandworm Team) sa dlhodobo orientuje na útoky voči energetickým cieľom, takže hypoteticky mohla pri tejto kampani len vy- užiť infraštruktúry skupiny APT28. Pochybnosti okolo tohto prípadu teda zamedzujú legitímnemu klasifikovaniu APT28 ako pôvodcu útoku na kritickú infraštruktúru (Greenberg 2020). O čosi menej pochybností o iniciátorovi útokov vyvolávajú informá- cie o útokoch na medicínske zariadenia a laboratória zapojené do vývoja

98 OHROZENIE BEZPEČNOSTI SLOVENSKA DVOMA SPÔSOBMI ÚTOKOV vakcíny proti vírusu COVID-1949. Kybernetická spoločnosť Microsoft v novembri 2020 zverejnila informácie o troch štátom podporovaných APT skupinách (medzi nimi aj APT28), ktoré v posledných týždňoch pod- nikli rozsiahle útoky proti minimálne siedmim cieľom lokalizovaným v Kanade, USA, Francúzsku, Indii a Južnej Kórey, pričom však kampane skupín mali byť uskutočňované nezávisle od seba. Útoky APT28 sa skla- dali z tzv. brute force attack a password spray voči emailovým účtom za- mestnancov zacielenej inštitúcie. Microsoft skonštatoval, že časť z úto- kov bola úspešne zavŕšená (Seals 2020). Z pohľadu atribúcie pripisujú APT28 zodpovednosť za útoky aj západné tajné služby. Avšak problema- tickejším sa javí definovanie objektívu týchto útokov, pretože zatiaľ čo podľa niektorých predstavuje ich motív snaha zdravotnou a ekonomic- kou krízou zmietaného Ruska získať prístup k účinnej ochrane pred ďalším pokračovaním šírenia choroby, iné názory hovoria o záujmoch Ruska prekaziť západným krajinám vývoj vakcíny, čo by naopak prehĺ- bilo mimo iného aj krízu v spoločnosti v týchto štátoch. Nejednoznačnosť reality pohybujúcej sa medzi týmito dvoma názorovými prúdmi sa mimo iného odráža aj do kontextu tejto práce, pretože kým v prvom prípade by teda bolo na mieste definovať útoky APT28 ako ešpionáž, ten nasledujúci by naopak mal výrazne hlbšiu spojitosť so sabotážnymi cieľmi voči kri- tickej infraštruktúre (Tóda 20201). Preto v tomto prípade je na mieste hovoriť nie o pochybnostiach o pôvodcovi útokov, ale o ich motívoch. Každopádne, na verejnosť doteraz neprenikli žiadne náznaky toho, že by zmienené útoky akokoľvek ovplyvnili vývoj a výrobu vakcín proti CO- VID-19, takže pravdepodobnejšia bude alternatíva o ešpionáží, čo však neuberá na vážnosti ani druhej možnosti50. Dva vyššie zmienené prípady teda sprevádzajú seriózne pochyb- nosti o tom, aby v nich bolo akceptovateľné hodnoverne skonštatovať

49 Medzi inými, obeťami útokov sa mala stať aj Oxfordská univerzita spolu so spolup- racujúcou farmaceutickou firmou AstraZeneca, teda organizácie v tom čase s naj- pokročilejším štádiom vývoja vakcíny proti novému vírusu (Tóda 20201). 50 Voľba prvej alternatívy nie je absolútne presvedčivá, keďže vcelku opodstatnene sa objavuje jej kritika v zmysle toho, že z akého dôvodu by malo Rusko záujem získať informácie o výskume vakcíny západných spoločností, ak v tom čase už pracovalo na výrobe tej vlastnej. Preto z dôvodu, že informácie o útokoch voči medicínskym zariadeniach sa objavili na verejnosti len rádovo pár týždňov pred napísaním tejto práce a v blízkom čase sa môžu objaviť ďalšie podrobnosti, je tomuto prípadu pri- kladaná len menšia miera relevantnosti.

99 OHROZENIE BEZPEČNOSTI SLOVENSKA DVOMA SPÔSOBMI ÚTOKOV zapojenie skupiny APT28 do útokov proti kritickej infraštruktúre. Z komplexného pohľadu na pôsobenie APT28 sa teda naozaj javí ako le- gitímne vysloviť stanovisko, že - na základe doterajších skúseností a zna- lostí o nej - skupina neznamená hrozbu z pohľadu ohrozenia kritickej in- fraštruktúry štátu.

Kapacity APT28 pri útokoch na kritickú infraštruktúru Faktom však naďalej zostáva vysoká sofistikovanosť, schopnosti a kapa- city skupiny. Svojimi útokmi dokázala doteraz preniknúť do desiatok rôznych systémov, či už pomocou úspešne prevedených metód sociál- neho inžinierstva alebo v posledných mesiacoch čoraz aktívnejšie využí- vaním vektorom získania hesla pomocou jeho rozsiahleho zisťovania systémovými nástrojmi. S takmer určitosti aj naďalej pracuje na vylep- šovaní svojich vektorov útokov a používaných nástrojov. Dôležitú sku- točnosť ukazuje neustála aktivita skupiny (viď aktuálne útoky na medi- cínske zariadenia) a tiež aj nasadzovanie nových druhov škodlivých pro- gramov ako sú trojan Zebrocy alebo malvér Drovorub (Arghire 2020; Crast 2020). Navyše, ruská vládnuca moc pod kontrolou Putina naďalej pokračuje vo svojich pokusoch o destabilizáciu Západu, voči ktorému má neprestajný nepriateľsky postoj, ktorý sa ani napriek očakávaniam počas mandátu amerického prezidenta Trumpa nezlepšil, skôr práve naopak, a takmer určite sa ani v najbližšom období vzťahy medzi týmito kraji- nami pozitívnym smerom neupravia (Dettmer 2019). Podobným sme- rom sa uberajú aj vzťahy medzi Ruskom a Európou, v ktorých ani glo- bálna pandémia COVID-19 nepriniesla pozitívnu zmenu dovtedajších po- litík (Weiss 2020). Postupné zhoršovanie vzťahov medzi Ruskom a Zá- padom samozrejme automaticky neznamená, že dôjde k rozšíreniu spek- tra terčov skupiny APT28 aj na ciele v rámci kritickej infraštruktúry, av- šak spolu s neprestajnou aktivitou a vývojom nových útočných nástrojov prináša legitímny argument k označeniu skupiny ako potenciálnej hrozby aj v tejto oblasti. V tomto bode však ako adekvátne tvrdenie do úvahy prichádza aj také, že v rámci strategických záujmov spravodajskej služby GRU sa APT28 bude aj naďalej špecificky upriamovať na ešpionáž a útoky na kritickú infraštruktúru ďalej zostanú v agende jej iných hac- kerských zoskupení, čo by vcelku prakticky dávalo logiku aj v úsilí GRU netrieštiť svoje sily.

100 OHROZENIE BEZPEČNOSTI SLOVENSKA DVOMA SPÔSOBMI ÚTOKOV

Vykonaná analýza teda skôr nepredpokladá, že by sa APT28 mala v blízkom časovom období preorientovať aj na útoky voči kritickej infra- štruktúre. Určitá šanca, že by nastal opačný scenár, však napriek tomu existuje a preto je vhodné aspoň načrtnúť súbor možností, v ktorých by skupina predstavovala hrozbu pre bezpečnosť na Slovensku.

Hrozba pre slovenskú infraštruktúru V slovenskej legislatíve sa kritická infraštruktúra skladá zo siedmich sek- torov – doprava, elektronické komunikácie, energetika, informačné a ko- munikačné technológie, pošta, priemysel, voda a atmosféra, zdravotníc- tvo (Economy.gov 2011). V rámci týchto sektorov však nie je dostupný centrálny zoznam všetkých entít, ktoré sú v nich zapojené. Preto praktic- kejšie informácie podáva zoznam poskytovateľov základnej služby51, ktorých zaradenie do neho spadá pod kompetencie NBÚ. Už z podstaty zákona o kybernetickej bezpečnosti vplýva, že všetci poskytovatelia zá- kladnej služby sú takisto aj prvkami kritickej infraštruktúry, preto kyber- netický útok vedený proti nim je možné legitímne definovať ako útok na kritickú infraštruktúru Slovenska (Slov-lex.sk, § 3). Pozíciu najväčšej podobnosti s cieľmi už uskutočnených útokov APT28 so subjektmi uvedenými v zozname základných služieb zastávajú informačné systémy verejnej správy. Týka sa to správcov a prevádzko- vateľov sietí a informačných systémov verejnej správy. Najväčšie zastú- penie spomedzi subjektov základnej služby zastávajú informačné sys- témy jednotlivých miest a obcí na Slovensku, avšak z pohľadu ruských záujmov sú určite zaujímavejšie systémy štátnych orgánov ako sú súdy, prokuratúry, vládne úrady alebo ministerstvá. Pri posledných dvoch me- novaných sa ako ich súčasť chápe aj ich webové sídlo. Táto skupina sub- jektov sa svojou štruktúrou a pôsobením podobá na orgány štátu, ktoré sa vo viacerých európskych štátoch už stali terčom aktivít APT28 (aj keď v ich prípadoch šlo o ešpionáž). Ďalšou významnou skupinou v zozname poskytovateľov základnej služby sú elektrárne a spoločnosti pracujúce v oblasti medicínskeho a

51 Poskytovatelia verejných služieb spadajú do základnej služby v takom prípade, ak by narušenie nimi prevádzkovaných služieb spĺňalo dopadové kritériá. To zna- mená, že toto narušenie by napríklad zasiahlo určitý počet obyvateľov alebo určité geografické územie republiky a malo by tak vplyv na hospodárske a spoločenské činnosti, záujmy štátu alebo jeho bezpečnosť (Slov-lex.sk, § 18).

101 OHROZENIE BEZPEČNOSTI SLOVENSKA DVOMA SPÔSOBMI ÚTOKOV farmaceutického priemyslu. Dotýka sa to preto dvoch oblastí, ku ktorým už čiastočne existujú dôkazy o namierení činnosti APT28 voči nim. Avšak vzhľadom na nejednoznačné dôkazy o atribúcii a motíve vyššie analyzo- vaných útokov existujú legitímne pochybnosti o takomto presvedčení a preto im v prípade analýzy pôsobenia APT28 nie je prikladaná po- trebná relevancia (NBÚ.gov). Z pozície APT28 ako potenciálnej hrozby pre slovenskú kritickú in- fraštruktúru by sa Slovenská republika mala podľa skôr všeobecne po- daného vyjadrenia Juraja Krúpu zamerať na posilnenie a efektívne za- bezpečenie prvkov kritickej infraštruktúry. Tomáš Handžarik označuje Rusko ako pôvodcu útokov voči týmto prvkom v iných štátoch a v prí- pade Slovenska sa ako rizikom javí najmä kybernetická aktivita voči Gab- číkovskej priehrade a dvom jadrovým elektrárňam prítomným v krajine (Príloha 1). V každom prípade, vyhodnotiť úroveň hrozby vyplývajúcej z aktivít APT28 len na základe jej doterajších útokov by znamenalo označiť sku- pinu ako nie nebezpečného aktéra vo vzťahu ku kritickej infraštruktúre na Slovensku, keďže jej doterajšie kampane sa zamierovali výlučne na ešpionáže. Predchádzajúca analýza sa teda sústreďuje aspoň na najviac pravdepodobné oblasti, na ktoré by v prípade presunutia svojej pozor- nosti mohla APT28 v útokoch na slovenskú kritickú infraštruktúru zame- rať. Doteraz zverejnené informácie však nenasvedčujú tomu, že by v rámci skupiny nastala takáto premena jej agendy.

102 APT28 A PREDIKCIE DO BEZPROSTREDNEJ BUDÚCNOSTI

8 APT28 a predikcie do bezprostrednej budúcnosti

Z doteraz získaných informácií teda takmer určite vyplýva skutočnosť, že skupina APT28 je vo svojom pôsobení naďalej aktívna aj v roku 2020. Spoľahlivé atribúcie potvrdzujú doposiaľ pokračujúce aktivity skupiny voči americkým politickým organizáciám, štátnym orgánom členských krajín NATO alebo vývojárom vakcíny proti COVID-19. Na verejnosti sa okrem toho do konca novembra 2020 zatiaľ neobjavili žiadne informá- cie, ktoré by indikovali zmenu vo fungovaní skupiny, nebodaj vyhlásenia ruských vládnych predstaviteľov o ukončení podpory štátu pre hacker- ské skupiny. Podobná situácia sa odohráva aj na úrovni vzťahov medzi Ruskom a Západom, ktorých zlepšovanie sa momentálne nejaví ako pravdepodobné. A napokon, ruský prezident Putin si v národnom refe- rende otvoril cestu k zotrvaniu vo svojej funkcii až do roku 2036 (Hodge, Ilyushina 2020). Preto vplyv externých faktorov na ukončenie pôsobenia APT28 sa nezdá byť príliš pravdepodobný. V súčasnosti totiž nie sú do- stupné žiadne informácie alebo prinajmenšom náznaky, ktoré by mali in- dikovať vzostup tlaku či už z prostredia ruskej vlády alebo medzinárod- ných aktérov smerujúci k ukončeniu činnosti skupiny. Neočakáva sa takisto ani radikálna zmena v oblasti ruských národ- ných záujmov, čo sa dá usudzovať aj zo skutočnosti, že ani počas pande- mickej situácie nedošlo k rapídnemu poklesu hackerských aktivít kra- jiny. Okrem útokov na zdravotnícke zariadenia sa činnosť ruských hac- kerov zamerala na pravdepodobne doteraz bezprecedentnú ešpionážnu kampaň vedenú pomocou využitia zraniteľnosti softvéru Orion od spo- ločnosti SolarWinds52. Za pravdepodobného útočníka označujú viaceré zdroje ruskú skupinu APT29. V tomto prípade sa aktivita sústredila na získanie prístupu k utajovaným skutočnostiam najvyššej úrovne, keďže daný softvér využíva okrem stoviek iných entít aj americká NSA, ame- rické ministerstvo obrany alebo ministerstvo energetiky, ktoré mimo iných spravuje aj zásoby jadrových zbraní (Sanger a kol. 2020). Pokiaľ by výsledky vyšetrovania naozaj preukázali zodpovednosť skupiny APT29 za túto dlho mesačnú kampaň, okrem dôkazu o pokračovaní ruských

52 K zverejneniu informácií o tejto kybernetickej kampani došlo len približne dva týž- dne pred dopísaním tejto práce, preto z dôvodu stále prebiehajúceho vyšetrovania nie je legitímne komplexne analyzovať danú záležitosť.

103 APT28 A PREDIKCIE DO BEZPROSTREDNEJ BUDÚCNOSTI

útočných aktivít v kybernetickom priestore to umožňuje naďalej pred- pokladať, že kým agenda APT29 spočíva v uskutočňovaní ešpionážnych útokov mieriacich na zisk strategicky dôležitých informácií so snahou o čo najmenšie vzbudenie pozornosti počas celého procesu, pre Rusko sa ako vhodný nástroj aj do budúcnosti môže zdať využiť skúsenosti sku- piny APT28 pri napĺňaní národných záujmov inými spôsobmi, predo- všetkým teda politickou destabilizáciou krajín. Očakávať zaniknutie jej činnosti sa tak nejaví byť ako pragmatický krok. V zhode s týmto tvrdením, reálnejšou sa ukazuje alternatíva práce skupiny APT28 na ďalších kampaniach (ktoré sú už možno aktuálne aj v procese vykonávania). Napriek doteraz nezisteným náznakom, že by sa APT28 zapojila do ovplyvňovania amerických prezidentských volieb v novembri 2020, v blízkych mesiacoch sa uskutočňujú voľby v kraji- nách, v ktorých už skupina opakovane zasiahla. Parlamentné voľby v Ne- mecku sa odohrajú v septembri 2021, v rovnakom mesiaci si volia svo- jich zástupcov do parlamentu aj občania Nórska. V apríli 2022 sa usku- točnia francúzske prezidentské voľby a v novembri toho istého roku sa volí majoritná časť členov amerického Kongresu (Wikipedia1; Wikipe- dia2). Skutočnosti, že vo všetkých spomenutých krajinách už skupina APT28 zasiahla do volebnej kampane alebo proti členom danej inštitúcie automaticky neindikujú očakávanie, že sa podobný scenár zopakuje aj v budúcich voľbách. Na základe doterajších skúseností však zostáva prí- tomné relatívne veľké riziko, že minimálne do časti z nich APT28 za- siahne, keďže skupina oplýva dostatočnými skúsenosťami a kapacitami a toto zasahovanie by bolo naďalej vykonávané v zhode s ruskými ná- rodnými záujmami. Pri nich, aj vzhľadom na rovnaké smerovanie ruskej garnitúry, zatiaľ nič nenaznačuje výraznejšiu zmenu, ktorá by sa mohla pretaviť do výberu iných cieľov a objektívov APT28. Pokračujúcu aktivitu skupiny APT28 pre rok 2021 predikujú aj ky- bernetické bezpečnostné spoločnosti. FireEye pre ňu ďalej očakáva sponzoring zo strany Ruska. Takisto predpokladá nárast používania spe- arphishingových útokov ako hlavného vektoru útoku skupiny, spolu s čoraz využívanejšou metódou password spraying. Fundamentálnym pilierom skupiny zostanú aj v tomto roku ešpionážne aktivity (Linea- edp.it). Spoločnosť Kaspersky očakáva nové vektory útokov pri využí- vaní zraniteľností 5G sietí, ďalšie zneužívanie pandemickej situácie na vedenie aktivít a možné zásahy proti kritickej infraštruktúre (Securelist 2020).

104 APT28 A PREDIKCIE DO BEZPROSTREDNEJ BUDÚCNOSTI

Ako doteraz jediná reštriktívna a proaktívna metóda na obmedzenie činnosti APT28 sa však zatiaľ javí byť len verejné atribuovanie útokov skupine a vznesenie obžalôb voči jej konkrétnym členom, pretože všetky ďalšie možnosti (napr. zvyšovanie bezpečnostných štandardov, školenia o kybernetickej bezpečnosti alebo pravidelné aktualizácie systémov a programov) znamenajú len preventívne a mitigačné kroky voči prípad- ným útokom skupiny. Po už vykonaných útokov APT28 síce kybernetické spoločnosti alebo štátne kybernetické organizácie zvyčajne zverejnia in- dikátory kompromitácie, avšak to funguje ako len reagovanie na už us- kutočnenú udalosť a nie aktívne zasiahnutie proti infraštruktúre skupiny alebo jej členom.

Očakávanie útokov APT28 voči Slovensku Vo vzťahu ku Slovensku je reálne očakávať realizáciu ešpionážnych úto- kov voči štátnym inštitúciám, najmä ministerstvám obrany a zahraničia. Prevzatie moci v marci 2020 novými koaličnými stranami, ktoré sa kri- ticky stavajú voči zasahovaniu Ruska na Ukrajine, jeho podpore dezin- formačných správ a destabilizujúcim aktivitám v kybernetickom pro- stredí tak zvyšuje riziko, že sa Slovensko stane terčom útokov skupiny APT28. Jednak by sa tak mohlo udiať pomocou zverejnenia citlivých dát o vládnucich politikoch alebo skrze ešpionážne kampane voči štátnym orgánom, z ktorých získané informácie môžu byť využité rôznymi spô- sobmi. Keďže sa však v krajine len nedávnom období uskutočnili parla- mentné voľby (prezidentské voľby zas v 2019), ako pravdepodobnejšia sa ukazuje druhá možnosť. Takýto záver vychádza zo skúseností s akti- vitami APT28, keď skupina zverejňovala citlivé informácie o politikoch predovšetkým pred usporiadaním volieb v daných krajinách a nie v prie- behu trvania ich mandátu. Ako potenciálna budúca hrozba pre Slovensko sa skupina javí byť aj prípade využitia svojich kapacít na získavanie citlivých materiálov, ktoré pri vhodných metódach zverejnenia môžu sledovať vyvolávanie nená- visti a posilňovanie už existujúcich rozporov v spoločnosti, keďže na zá- klade prechádzajúcich skúseností funguje prepojenie kybernetických a informačných operácií spravodajskej služby GRU v rámci jej Jednotiek 26165 a 74455 vysoko efektívne. Ako opačný argument pre vyššie spomenuté hrozby však môže stáť nízky záujem Ruska o ovplyvňovanie spoločnosti na Slovensku, a to pre-

105 APT28 A PREDIKCIE DO BEZPROSTREDNEJ BUDÚCNOSTI dovšetkým už kvôli prítomnosti a aktivitám mnohopočetných pro- ruských skupín, o ktorých vo svojich výročných správach opakovane va- ruje aj SIS. Už zmienený sentiment občanov Slovenska voči minulému storočiu totiž predstavuje dostatočnú podporu v presadzovaní ruských národných záujmov. Podľa takéhoto prístupu by sa teda dalo tvrdiť, že ruské vplyvové operácie vedené v kybernetickom prostredí jednoducho ani nie sú potrebné. To by však bolo v rozpore s tvrdeniami na začiatku tejto podkapitoly, keďže v roku 2020 nastala v slovenskom politickom prostredí zmena v neprospech ruských záujmov a to sa postupne môže odraziť aj v znižovaní úrovne tohto sentimentu. Z kombinácie zmienených faktorov sa teda nedá jednoznačne určiť, či by sa skupina APT28 v roku 2021 alebo v ďalších nasledujúcich mala fokusovať na slovenské ciele. Ako dostatočne výpovedný argument však svedčí skutočnosť, že ďalšie štáty V4 a tiež členské krajiny EÚ alebo NATO sa v období posledných málo rokov stali terčmi útokov skupiny APT28 a nie je prítomná žiadna zásadná odlišnosť, vďaka ktorej by Slo- vensko nemalo byť rovnako prítomné v zozname ďalších cieľov tohto Ruskom sponzorovaného aktéra.

106 ZÁVER

Záver

V čase napísania tejto práce nepredstavovala téma hackerských skupín podporovaných štátov zásadnú oblasť, ktorej by bola venovaná akákoľ- vek výraznejšia pozornosť v slovenskom prostredí. Doteraz uverejňo- vané informácie sa týkali najmä aktivít daných skupín v zahraničí a ani len slovenské spravodajské služby ešte neprišli so zásadným varovaním, ktoré by sa malo týkať konkrétnych aktérov ako hrozieb pre krajinu. Preto by na jednej strane mohol obsah tejto práce vyvolať zbytočné obavy z rizika, ktoré je pre Slovensko skôr mizivé. Zároveň však syntéza čiastkových informácií dostupných vo verejných zdrojoch vytvára obraz, ktorý hovorí skôr o opaku. Slovenská republika sa totiž nenachádza v žiadnom vákuu. Už 16 rokov je členom bezpečnostných a politických organizácií NATO a EÚ, a svojou geografiou a históriou leží v dosahu a v merítku ruských národ- ných záujmov. Podľa nich znamená členstvo krajiny v daných organizá- ciách a aj samotné smerovanie štátu mimo ruský vplyv hrozbu, ktorá aj napriek menšej dôležitosti Slovenska v globálnom ponímaní má nega- tívny dopad na ruské záujmy v iných oblastiach. Z tohto dôvodu je viac než vhodné permanentne vyhodnocovať, či sa Ruská federácia nesnaží o zvrátenie tejto hrozby alebo v blízkej budúcnosti nehrozí Slovensku, že sa na to podujme. Aktuálnosť oboch týchto obáv podčiarkujú správy slo- venských spravodajských služieb, ktoré vo svojich oficiálnych správach uvádzajú aktivity ruských náprotivkov na Slovensku. Jednu z kritických oblastí, v ktorých tieto aktivity prebiehajú, pred- stavuje kybernetický priestor. V tomto prostredí sa spomedzi iných ako jedna z najväčších hrozieb spomína skupina APT28, ktorej úspešné kam- pane za posledných päť rokov to preukázateľne potvrdzujú. Skupina at- ribuovaná spravodajskej službe GRU sa Rusku opakovane osvedčila ako vysoko efektívny aktér schopný dosiahnuť aj na prezidentskú kampaň v USA, radu volieb v europskych krajinách a predovšetkým na kľúčové politické orgány ako sú parlamenty alebo ministerstvá zahraničia a ob- rany vo viacerých štátoch po celom svete. Svojimi sofistikovanými spe- arphishingovými operáciami a následným využitím vlastných malvérov alebo trojanov dokázala preniknúť do systémov daných inštitúcií a zís- kať množstvo citlivých a utajovaných dát, ktoré využila buď na podkopa-

107 ZÁVER nie dôvery a demokracie v krajinách cez strategické publikovanie kom- promitujúcich informácií alebo extrahovala pre využitie inými spôsobmi v budúcnosti. Cieľom tejto práce bolo teda vyhodnotiť, či daná skupina predsta- vuje hrozbu aj pre národnú bezpečnosť Slovenska. Ako prislúchajúci rá- mec na analýzu tejto problematiky využíva teoretické ukotvenie od Forresta Hare, podľa ktorého prinášajú primárnu hrozbu pre národnú bezpečnosť krajiny dva druhy útokov – ešpionáž a znefunkčnenie kritic- kej infraštruktúry. Gro práce spočíva v analyzovaní už zrealizovaných útokov APT28 a následného posúdenia, či skupina svojimi kapacitami a schopnosťami dokáže ohroziť bezpečnosť štátu na základe spomenu- tých dvoch druhov útokov. Skupina APT28 sa preukázateľne od začiatku svojho pôsobenia okolo roku 2004 primárne venuje útokom, ktoré spočívajú v prenikaní do informačných systémov a získavaní prístupu k v nich uloženým dá- tam. Kybernetická bezpečnostná komunita a vládne orgány štátov Zá- padu starajúce sa o kybernetickú bezpečnosť označujú na základe dote- rajších aktivít skupinu ako jedného z najnebezpečnejších aktérov v tejto oblasti. Takéto závery predstavuje aj uskutočnená analýza v tejto práci, ktorá definuje APT28 ako rozhodne vysokú hrozbu pre Slovensko v ob- lasti ešpionáže. Verejne dostupné informácie nenaznačujú doterajšie aktivity sku- piny smerujúce k útokom na kritickú infraštruktúru, a preto z tohto po- hľadu APT28 nepôsobí ako relevantná hrozba. Avšak vzhľadom na sofis- tikovanosť a vysokú úroveň schopností skupiny sa je na mieste domnie- vať, že APT28 vlastní potenciál a kapacity aj na deštrukčné útoky voči kritickej infraštruktúre, no zatiaľ sa na danú oblasť prioritne orientujú ďalšie APT skupiny spadajúce pod činnosť GRU. Teoretický rámec od F. Hare okrem toho prináša aj dôležitý aspekt určenia najväčšej zraniteľnosti pre konkrétny štát na základe jeho cha- rakteristických znakov. Z vykonanej analýzy vyplýva, že pre Slovensko predstavujú hlavnú hrozbu destabilizujúce politické akcie v kybernetic- kom priestore. Následné prepojenie konceptu danej zraniteľnosti so zna- losťami o útokoch APT28 preukazuje, že v prípade zacielenia svojich ak- tivít na Slovensko vo forme vplyvových operácií by skupina dokázala v širokej miere ohroziť národnú bezpečnosť krajiny tým, ako by naďalej narúšala už aj tak nízku mieru súdržnosti spoločnosti v nej, rovnako aj dôveru občanov v právny štát a v politické strany.

108 ZÁVER

Záverom je teda legitímne zhodnotiť APT28 ako vysokú hrozbu pre bezpečnosť Slovenska. Napriek absencii konkrétnych informácií o akti- vitách skupiny proti cieľom na Slovensku vychádza aj zo stanovísk zá- stupcov slovenských vládnych inštitúcií venujúcich sa bezpečnosti ako pravdepodobná skutočnosť, že Rusko svojimi činnosťami využíva kyber- netický priestor na Slovensku vo svoj prospech. Viac ako pravdepodobný predpoklad sa zdá byť aj to, že v blízkej budúcnosti sa medzi obeťami útokov ruských hackerských skupín, medzi ktorými zastáva elitnú pozí- ciu práve APT28, ocitnú aj ciele na Slovensku, pričom vcelku reálne sa táto činnosť uskutočňuje už aj v roku 2020.

109 PRÍLOHA 1

Príloha 1

Vyjadrenia zástupcov slovenských orgánov verejnej moci

Juraj Krúpa poslanec Národnej rady Slovenskej republiky predseda Výboru NR SR pre obranu a bezpečnosť

Ruská federácia nepochybne predstavuje hrozbu pre slovenskú ná- rodnú bezpečnosť najmä z hľadiska hybridných hrozieb, ale aj využíva- ním diplomatického krytia pri špionáži, čo dokázalo aj nedávne vyhos- tenie troch ruských diplomatov. Slovensko, no aj ostatné krajiny sku- piny V4, sú pre Ruskú federáciu zaujímavým cieľom svojich aktivít pri- márne z dôvodu členstva v EÚ a NATO, pričom zámerom je týmito akti- vitami oslabiť tieto zoskupenia ako celok. Okrem hrozby pre demokra- ciu, šírenie pro-ruskej propagandy a spochybňovania zahraničnej poli- tiky Slovenskej republiky predstavuje Ruská federácia aj hrozbu z hľa- diska kybernetickej bezpečnosti. Podobne ako Čína, aj Rusko patrí me- dzi krajiny, odkiaľ pochádza mnoho kybernetických útokov. Spomeňme napríklad masívny útok na Estónsko v roku 2007 alebo kybernetickú vojnu počas rusko-gruzínskeho konfliktu v roku 2008. Je potrebné však spomenúť, že nie za všetkými kybernetickými útokmi rôznych ruských skupín stojí priamo Kremeľ. Na druhej strane, Správa o kybernetickej bezpečnosti v Slovenskej republike za rok 2019 označila viaceré ruské hackerské skupiny za štátom sponzorované skupiny. Ide napríklad aj o skupinu APT28, ktorá bola podľa českej spravodajskej služby zodpo- vedná za útoky na české ministerstvo zahraničných vecí, ale aj za ďalšie útoky v Európe. Tieto útoky sú vysoko sofistikované a terčom sú aj kra- jiny ako strednej, tak východnej Európy, preto sa nedá vylúčiť, že by sa cieľom takýchto útokov zo strany skupiny APT28 stala aj Slovenská re- publika. Z tohto dôvodu je dôležité posilňovať a sústrediť sa na efek- tívne zabezpečovanie informačných systémov strategických objektov a prvkov kritickej infraštruktúry. Nové strategické dokumenty Slovenskej republiky budú určite reflektovať aj oblasť kybernetickej bezpečnosti.

110 PRÍLOHA 1

Tomáš Handžarik Hlavný analytik SK-CERT pre kybernetické hrozby a škodlivých aktérov

V súčasnosti predstavuje Ruská federácia hrozbu veľmi nízku a zároveň absolútnu. Aj ako člen NATO sme malým štátom a na nadnárodnej úrovni nerozhodujeme o natoľko významných veciach. Výnimkou môžu byť medzinárodné návštevy SR, nakoľko SR v mnohých prípadoch slú- žila ako prívetivé neutrálne územie pre podpis bilaterálnych zmlúv a pre významné medzinárodné stretnutia. V prípade takýchto udalostí sa SR môže stať cieľom kybernetických útokov z RF. Je nutné sa teda pri- pravovať na útok obzvlášť v týchto prípadoch. Druhým výnimočným prípadom sú diplomatické škandály a potenciálny útok na partne- rov/susediace štáty SR. RF môže útočiť na kritické služby iného štátu a ak bude výpadok signifikantný, odzrkadlí sa to aj na okolitých štátoch. SR ako štát s dvoma jadrovými elektrárňami a Gabčíkovskou vodnou elektrárňou musí byť obzvlášť obozretné. Rovnako aj štáty, ktoré majú väčšinu ekonomiky v jednom priemysle. Zameranie APT skupín je cieľavedomé. APT28 je konštantne zameraná na sofistikovanú špionážnu aktivitu, ale aj likvidačné útoky spojené s geopolitickými cieľmi RF. Zameriava sa priamo na vysoké ciele, medzi ktoré patrí aj NATO do ktorého patrí SR. Nie je preto možné považovať APT28 za hrozbu, ktorá je pre SR kolísajúca a je nutné sa na potenciálny útok pripravovať, ako keby mohol nastať kedykoľvek, pretože to isté (okamžitá zmena), sa môže stať aj s geopolitickými záujmami RF. APT28 útočí cielene a neobyčajne sofistikovane a preto sa dá povedať, že väčšou hrozbou sú útoky APT29 (tiež atribuovaná RF). Pri nej je omnoho väčšia pravdepodobnosť, že sa SR stane vedľajším cieľom útoku

Zdroje vyjadrení: emailová komunikácia respondentov s autorom práce.

111

POUŽITÉ ZDROJE

Použité zdroje

Expertné texty a publikácie Ablon, L. Data thieves. Online. https://www.rand.org/con- tent/dam/rand/pubs/testimonies/CT400/CT490/RAND_CT490.pdf. Afcea.cz. Výkladový slovník kybernetické bezpečnosti. Online. https://afcea.cz/wp-content/uploads/2015/03/Slovnik_Fi- nal_screen_v2_0.pdf. Ahmad a kol. 2019. Strategically-motivated advanced persistent threat: Definition, process, tactics and a disinformation model of counte- rattack. In Computers & Security. Vol. 86, p. 402-418. Online. https://www.sciencedirect.com/science/ar- ticle/pii/S0167404818310988. Ayers, C. 2016. Rethinking Sovereignty In The Context Of Cyber- space. Online. https://www.hsdl.org/?abstract&did=802916. Bahrami a kol. 2019. Cyber Kill Chain-Based Taxonomy of Advanced Persistent Threat Actors: Analogy of Tactics, Techniques, and Proce- dures. In Journal of Information Processing Systems. Vol. 15, No 4. p. 865 – 889. Online. http://xml.jips-k.org/full- text/view?doi=10.3745/JIPS.03.0126. Braw, E. 2020. Regarding the aftermath of the Norwegian parlia- ment hack. Online. https://www.aei.org/society-and-culture/regarding- the-aftermath-of-the-norwegian-parliament-hack/. Bussolati, N. 2015. The Rise of Non-State Actors in Cyberwarfare. In Ohlin, J., Govern, K., and Finkelstein, C., (eds). Cyber War: Law and Ethics for Virtual Conflicts. Oxford University Press. Online. https://pa- pers.ssrn.com/sol3/papers.cfm?abstract_id=2764185. Buzan, B. 1991. People, States, And Fear: The National Security Problem In International Relations. Boulder: Lynne Rienner. CFR.org. Blurred Lines Between State and Non-State Actors. Online. https://www.cfr.org/blog/blurred-lines-between-state-and-non-state- actors. CFR.org1. APT 28. Online. https://www.cfr.org/cyber-operati- ons/apt-28.

113 POUŽITÉ ZDROJE

CSIS 2020. Significant Cyber Incidents. Online. https://www.csis.org/programs/strategic-technologies-program/sig- nificant-cyber-incidents. Cunningham, C. 2020. A Russian Federation Information Warfare Primer. Online. https://jsis.washington.edu/news/a-russian-federa- tion-information-warfare-primer/. Cybersec.sk. Slovník kybernetickej bezpečnosti. Online. https://cy- bersec.sk/slovnik-kybernetickej-bezpecnosti/?name_directory_start- swith=K. Davis, J. a kol. 2017. Stateless Attribution. Online. https://cyber-pe- ace.org/wp-content/uploads/2017/10/RAND_RR2081.pdf. Gigitashvili, G. 2016. Russia’s National Interests and Foreign Policy Preferences. Online. https://www.lai.lv/viedokli/russias-national-inte- rests-and-foreign-policy-preferences-554. Gurganus, J., Rumer, E. 2019. Russia’s Global Ambitions in Per- spective. Online. https://carnegieendowment.org/2019/02/20/russia- s-global-ambitions-in-perspective-pub-78067. Hare, F. 2010. The Cyber Threat To National security: Why Canʼt We Agree? Talinn: International Conference on Cyber Conflict. Online. https://ccdcoe.org/uploads/2018/10/Hare-The-Cyber-Threat-to-Na- tional-Security-Why-Cant-We-Agree.pdf. Hare, F. 2012. The Significance of Attribution to Cyberspace Coer- cion: A PoliticalPerspective. Tallin: 4th International Conference on Cy- ber Conflict. Online. https://www.ccdcoe.org/uplo- ads/2012/01/2_5_Hare_TheSignificanceOfAttribution.pdf. Harknett, R.J., Smeets, M. 2020. Cyber campaigns and strategic out- comes. Journal of Strategic Studies. Online. https://www.tandfon- line.com/doi/full/10.1080/01402390.2020.1732354. Hendl, J. 1999. Úvod do kvalitativního výzkumu. Praha: Karolinum. Hetteš, M. 2013. Sociálna súdržnosť a istota v sociálnej práci. Nitra: UKF Nitra. Imeson, M. 2017. Russia’s efforts to ‘destabilise western democracy’ increase cyber insecurity. Online. https://www.ft.com/con- tent/93f6a15c-2424-11e7-a34a-538b4cb30025. Inkster, N. 2018. Why We Need To Measure Military Cyber Power. Online. https://www.weforum.org/agenda/2018/03/why-we-need-to- measure-military-cyber-power/.

114 POUŽITÉ ZDROJE

Juurvee, I. 2018. Hybrid CoE Strategic Analysis 7: The resurrection of ‘active measures’: Intelligence services as a part of Russia’s influencing toolbox. Online. https://www.hybridcoe.fi/publications/hybrid-coe- strategic-analysis-7-the-resurrection-of-active-measures-intelligence- services-as-a-part-of-russias-influencing-toolbox/. Larson, E., a kol. 2009. Foundations of Effective Influence Opera- tions. Online. https://www.rand.org/content/dam/rand/pubs/mono- graphs/2009/RAND_MG654.pdf. Lo, B. 2020. Global Order In The Shadow Of The Coronavirus: China, Russia And The West. Online. https://www.lowyinstitute.org/publicati- ons/global-order-shadow-coronavirus-china-russia-and-west. Maschmeyer, L. 2020. A tale of two cybers - how threat reporting by cybersecurity firms systematically underrepresents threats to civil society. Online. https://www.tandfon- line.com/doi/full/10.1080/19331681.2020.1776658. Mwiki, H. a kol. 2019. Analysis and Triage of Advanced Hacking Groups Targeting Western Countries Critical National Infrastructure: APT28, RED October, and Regin: Theories, Methods, Tools and Techno- logies. Online. https://www.researchgate.net/publica- tion/330071595_Analysis_and_Triage_of_Advanced_Hac- king_Groups_Targeting_Western_Countries_Critical_National_In- frastructure_APT28_RED_October_and_Regin_Theories_Methods_To- ols_and_Technologies. Radin, A. a kol. 2020. Understanding Russian Subversion. Online. https://www.rand.org/content/dam/rand/pubs/perspecti- ves/PE300/PE331/RAND_PE331.pdf. Saradzhyan, S. 2015. Russia and the U.S.: are national interests so different?. Online. https://www.belfercenter.org/publication/russia- and-us-are-national-interests-so-different. Schreier, F. 2015. On Cyberwarfare. DCAF Horizon Working Paper No.7. Online. https://www.dcaf.ch/sites/default/files/publications/do- cuments/OnCyberwarfare-Schreier.pdf. Thaircert. 2019. Threat Group Cards: A Threat Actor Encyclopedia. Online. https://www.thaicert.or.th/downloads/fi- les/A_Threat_Actor_Encyclopedia.pdf.

115 POUŽITÉ ZDROJE

Tomšič, M. 2017. Decline Of Elite Consensus And Destabilisation Of Political Space In East-Central Europe. In Corvinus Journal Of Sociology And Social Policy Vol.8. Online. https://eds.b.ebscohost.com/eds/pdfvie- wer/pdfviewer?vid=2&sid=b2a738e7-0291-44b7-acfe- 3310aec3aa0e%40pdc-v-sessmgr02. Tran, D. 2018. The Law of Attribution: Rules for Attributing the Sourceof a Cyber-Attack. In The Yale Journal Of Law & Technology. Vol. 20. Online. https://yjolt.org/sites/default/fi- les/20_yale_j._l._tech._376.pdf. Unipo.sk. Slovník pojmov z oblasti IT. Online. https://www.unipo.sk/cvtpu/cvtpu/helpdesk/pomocky/it/. Voo, J. a kol. 2020. National Cyber Power Index 2020. Cambridge: Belfer Center for Science and International Affairs. Online. https://www.belfercenter.org/sites/default/files/2020- 09/NCPI_2020.pdf?fbclid=IwAR2CWxRT_q6C1LAP- nhMvpm3MoctJrDjlZ7wFGjd5-4viMo1z-RBE4_ryJM4. Weiss, A. 2020. Russia and Europe: Stuck on Autopilot. Online. https://carnegieendowment.org/2020/09/24/russia-and-europe- stuck-on-autopilot-pub-82773.

Texty a reporty štátnych orgánov a inštitúcií BIS. 2017. Výroční zpráva Bezpečnostní informační služby za rok 2016. Online. https://www.bis.cz/public/site/bis.cz/content/vyrocni- zpravy/2016-vz-cz.pdf. BIS. 2018. Výroční zpráva Bezpečnostní informační služby za rok 2017. Online. https://www.bis.cz/public/site/bis.cz/content/vyrocni- zpravy/2017-vz-cz.pdf. BIS. 2019. Výroční zpráva Bezpečnostní informační služby za rok 2018. Online. https://www.bis.cz/public/site/bis.cz/content/vyrocni- zpravy/2018-vz-cz.pdf.pdf. BIS. 2020. Výroční zpráva Bezpečnostní informační služby za rok 2019. Online. https://www.bis.cz/public/site/bis.cz/content/vyrocni- zpravy/2019-vz-cz.pdf. Cisecurity.org. Cybersecurity Spotlight – Cyber Threat Actors. On- line. https://www.cisecurity.org/spotlight/cybersecurity-spotlight-cy- ber-threat-actors/.

116 POUŽITÉ ZDROJE

Cpni.gov.uk. Espionage. https://www.cpni.gov.uk/espionage. Consilium.europa.eu. Kybernetické útoky: Rada už môže ukladať sankcie. Online. https://www.consilium.europa.eu/sk/press/press-re- leases/2019/05/17/cyber-attacks-council-is-now-able-to-impose- sanctions/#. Cyber.gc.ca. Cyber threat and cyber threat actors. Online. https://cy- ber.gc.ca/en/guidance/cyber-threat-and-cyber-threat-actors. Dni.gov. 2017. Background to “Assessing Russian Activities and In- tentionsin Recent US Elections”: The Analytic Process and CyberIncident Attribution. Online. https://www.dni.gov/files/docu- ments/ICA_2017_01.pdf. Facebook 2020. Embassy of Russia in the USA / Посольство России в США. Online. https://www.facebook.com/RusEmbUSA/pho- tos/a.493759737501088/1488755078001544/?type=3&theater. Economy.gov. 2011. Zákon 45/2011 Z.z. z 8. februára 2011 o kritic- kej infraštruktúre. Online. https://www.economy.gov.sk/uploads/fi- les/5WW6NWEK.pdf. Economy.gov. 2017. Definície v oblasti KI. Online. https://www.economy.gov.sk/ministerstvo/bezpecnost-a-krizove-ria- denie/ki-kriticka-infrastruktura/definicie-v-oblasti-ki. Enisa.europa.eu. Information Operations – Active Defence and Offensive Countermeasures. Online. https://www.enisa.europa.eu/to- pics/csirts-in-europe/glossary/information-operations-2013-active- defence-and-offensive-countermeasures. Eur-lex.europa.eu. Úradný vestník Európskej únie. Vykonávacie nariadenie Rady (EÚ) 2020/1536. Online. https://eur-lex.europa.eu/le- gal-content/SK/TXT/HTML/?uri=CELEX:32020R1536&from=EN. GCI. 2018. Global Cybersecurity Index. ITU. Online. https://www.itu.int/dms_pub/itu-d/opb/str/D-STR-GCI.01-2018-PDF- E.pdf. Gov.uk. 2018. Minister for Europe statement: attempted hacking of the OPCW by Russian military intelligence. Online. https://www.gov.uk/government/speeches/minister-for-europe-sta- tement-attempted-hacking-of-the-opcw-by-russian-military-intelli- gence.

117 POUŽITÉ ZDROJE

Iees.es. Russian National Security Strategy, December 2015 – Full- text Translation. Online. http://www.ieee.es/Galerias/fi- chero/OtrasPublicaciones/Internacional/2016/Russian-National-Secu- rity-Strategy-31Dec2015.pdf. Itgovernance.co.uk. What does APT mean?. Online. https://www.it- governance.co.uk/advanced-persistent-threats-apt. Mirri.gov.sk. Strategická priorita: Informačná a kybernetická bez- pečnosť. Online. https://www.mirri.gov.sk/wp-content/uplo- ads/2019/08/SP_Inform_kybern_bezpecnost_schva- lena_2019_07_25_v1.0.pdf. Mod.gov.sk. Bezpečnostná Stratégia Slovenskej Republiky. Online. https://www.mod.gov.sk/data/files/833.pdf. Mosr.sk. 2005. Obranná Stratégia Slovenskej Republiky. Online. https://www.mosr.sk/data/files/832.pdf. NBÚ. 2019. Výrazný pokrok Slovenska v ITU Global Cyber Security Index 2018. Online. https://www.nbu.gov.sk/2019/04/25/vyrazny-po- krok-slovenska-v-itu-global-cyber-security-index-2018/index.html. NBÚ. 2020. Slovensko opäť boduje vo svete. Sme v TOP 10 National Cyber Security Index. Online. https://www.nbu.gov.sk/2020/07/09/slovensko-opat-boduje-vo- svete-sme-v-top-10-national-cyber-security-index/index.html. NBÚ. 20201. Správa o kybernetickej bezpečnosti v SR za rok 2019. Online. https://www.nbu.gov.sk/wp-content/uploads/urad/Sprava-o- kybernetickej-bezpecnosti-SR-2019.pdf. NBÚ.gov. Zoznam základných služieb. Online. https://www.nbu.gov.sk/wp-content/uploads/kyberneticka-bezpec- nost/zakladne-sluzby.htm. NBÚ.gov1. Koncepcia kybernetickej bezpečnosti Slovenskej repub- liky na roky 2015 – 2020. Online. https://www.nbu.gov.sk/wp-con- tent/uploads/kyberneticka-bezpecnost/Koncepcia-kybernetickej-bez- pecnosti-SR-na-roky-2015-2020-A4.pdf. NCSC 2018. Reckless campaign of cyber attacks by Russian military intelligence service exposed. Online. https://www.ncsc.gov.uk/news/reckless-campaign-cyber-attacks-rus- sian-military-intelligence-service-exposed.

118 POUŽITÉ ZDROJE

NCSI. 2018. National Cyber Security Index. e-governance academy. Online. https://ega.ee/wp-content/uploads/2018/05/ncsi_di- gital_smaller.pdf. NCSI. 2020. Index. Country – Slovakia. Online. https://ncsi.ega.ee/country/sk/. Nist.gov. Glossary. Online. https://csrc.nist.gov/glossary. NUKIB.cz. Zpráva o stavu kybernetické bezpečnosti ČR – 2019. On- line. https://www.nukib.cz/cs/infoservis/dokumenty-a-publi- kace/zpravy-o-stavu-kb/. SIS. 2019. Správa o činnosti SIS za rok 2018. Online. https://www.sis.gov.sk/pre-vas/sprava-o-cinnosti-2018.html. SIS. 2020. Správa o činnosti SIS za rok 2019. Online. https://www.sis.gov.sk/pre-vas/sprava-o-cinnosti.html#bezpec- nostna-oblast Sk-cert.sk. O nás. Online. https://www.sk-cert.sk/sk/o-nas/in- dex.html. Sk-cert.sk1. Detegované udalosti. Online. https://www.sk- cert.sk/sk/statistiky/detegovane-udalosti/index.html. Slov-lex.sk. Zákon 69/2018 Z. z.. https://www.slov-lex.sk/pravne- predpisy/SK/ZZ/2018/69/. Vs.mosr. 2019 Správa o činnosti Vojenského spravodajstva za rok 2018. Online. https://vs.mosr.sk/sprava-o-cinnosti-vs-2018/#5. Vs.mosr. 2020. Správa o činnosti Vojenského spravodajstva za rok 2019. Online. https://vs.mosr.sk/sprava-o-cinnosti-vs-2019/.

Texty a analýzy kybernetických spoločností a portálov Anomali.com. APT28 Timeline of Malicious Activity. Online. https://forum.anomali.com/t/apt28-timeline-of-malicious-acti- vity/2019. Arghire, I. 2020. FBI, NSA Share Details on New 'Drovorub' Linux Malware Used by Russia. Online. https://www.securityweek.com/fbi- nsa-share-details-new-drovorub-linux-malware-used-russia. Attack.mitre.org. APT28. Online. https://attack.mi- tre.org/groups/G0007/.

119 POUŽITÉ ZDROJE

Azeria-labs.com. APT28 summary. Online. https://azeria- labs.com/intro-to-apt28-apt30/. Burt, T. 2019. New steps to protect Europe from continued cyber threats. Online. https://blogs.microsoft.com/eupolicy/2019/02/20/ac- countguard-expands-to-europe/. Burt, T. 20191. New cyberattacks targeting sporting and anti-doping organizations. Online. https://blogs.microsoft.com/on-the-is- sues/2019/10/28/cyberattacks-sporting-anti-doping/. Burt, T. 2020. New cyberattacks targeting U.S. elections. Online. https://blogs.microsoft.com/on-the-issues/2020/09/10/cyberattacks- us-elections-trump-biden/. Cimpanu, C. 2020. German authorities charge Russian hacker for 2015 Bundestag hack. Online. https://www.zdnet.com/article/german- authorities-charge-russian-hacker-for-2015-bundestag-hack/. Cloudfare.com. What is a DDOS Attack? Online. https://www.cloud- flare.com/learning/ddos/what-is-a-ddos-attack/. Corfield, G. 2020. GRU won't believe it: UK and US call out Russia for cyber-attacks on Georgia last year. Online. https://www.theregis- ter.com/2020/02/20/apt28_hacked_georgia_uk_us_declaration/. Crast, F. 2020. Russian threat actors use new ComRAT and Zebrocy malware in recent attacks. Online. https://www.secure- zoo.com/2020/11/russian-threat-actors-use-new-comrat-and-zebrocy- malware-in-recent-attacks/. Crowdstrike. 2019. Who is FANCY BEAR (APT28)? Online. https://www.crowdstrike.com/blog/who-is-fancy-bear/. Dunham, K. 2017. Tactics, Techniques and Procedures (TTPs) Within Cyber Threat Intelligence. Online. https://www.optiv.com/ex- plore-optiv-insights/blog/tactics-techniques-and-procedures-ttps- within-cyber-threat-intelligence. Eset.com. Kybernetický slovník pojmov. Online. https://bezpecne- nanete.eset.com/sk/kyberneticky-slovnik-pojmov/#C. Fireeye. 2014. APT28: A Window into Russia’s Cyber Espionage Operations? Online. https://www.fireeye.com/content/dam/fireeye- www/global/en/current-threats/pdfs/rpt-apt28.pdf. Fireeye.com. Advanced Persistent Threat Groups. Online. https://www.fireeye.com/current-threats/apt-groups.html.

120 POUŽITÉ ZDROJE

Fireye. 2017. APT28: At The Center Of The Storm. Online. https://www2.fireeye.com/rs/848-DID-242/images/APT28-Center-of- Storm-2017.pdf. Globsec.org. 2019. Hybridné hrozby na Slovensku: Kybernetická bezpečnosť. Online. https://www.globsec.org/wp-content/uplo- ads/2019/06/Hybridné-hrozby-na-Slovensku-Kybernetická-bezpeč- nosť.pdf. Goud, N. 2019. Russia APT28 Cyber Attacks European Political Par- ties. Online. https://www.cybersecurity-insiders.com/russia-apt28-cy- ber-attacks-european-political-parties/. Graff, G. 2018. Indicting 12 Russian Hackers Could Be Mueller's Biggest Move Yet. Online. https://www.wired.com/story/mueller-in- dictment-dnc-hack-russia-fancy-bear/. Greenberg, A. 2017. Everything We Know About Russia's Election- Hacking Playbook. Online. https://www.wired.com/story/russia- election-hacking-playbook/. Greenberg, A. 2019. Russian Hackers Are Still Targeting the Olym- pics, Three Years On. Online. https://www.wired.com/story/fancy-bear- antidoping-olympics-hacks/. Greenberg, A. 2020. Russia's GRU Hackers Hit US Government and Energy Targets. Online. https://www.wired.com/story/russia-fancy- bear-us-hacking-campaign-government-energy/. Intsights.com. Russia’s Most Dangerous Cyber Threat Groups. On- line. http://wow.intsights.com/rs/071-ZWD-900/images/Russi- anAPTs.pdf. Kačmár, R. 2016. Zabezpeč si vedomosti: Kybernetická bezpečnost. Online. https://slovaksecurity.org/wp-content/uploads/2016/10/Ky- berneticka-bezpecnost_SSPI.pdf. Kelley, D. 2020. Protecting your organization against password spray attacks. Online. https://www.microsoft.com/secu- rity/blog/2020/04/23/protecting-organization-password-spray-at- tacks/. Kosno, L. 2018. Slovenské ministerstvo napadla nadnárodná hac- kerská skupina. Mohla kradnúť dáta. Online. https://zive.aktua- lity.sk/clanok/135493/rezort-diplomacie-sa-stal-tercom-sofistikova- neho-kybernetickeho-utoku/.

121 POUŽITÉ ZDROJE

Lake, J. 2020. What is an advanced persistent threat (APT), with examples. Online. https://www.comparitech.com/blog/information- security/advanced-persistent-threat/. Lang, J. 2016. Expect more political cyber attacks. Online. https://movietvtechgeeks.com/expect-political-cyber-attacks/. Lineaedp.it. Cyber Security Predictions 2021. https://www.li- neaedp.it/files/2020/11/Cyber-Security-Predictions-2021.pdf. Lucas, R. 2020. DOJ Charges Chinese Nationals With Hacking More Than 100 Companies. Online. https://www.npr.org/2020/09/16/913618435/doj-charges-chinese- nationals-in-allegedly-hacking-of-more-than-100-compa- nies?t=04152170852. Maloney, S. 2017. Attack attribution: It's complicated. Online. https://www.cybereason.com/blog/attack-attribution-its-complicated. Maloney, S. 2018. What is an Advanced Persistent Threat (APT)?. Online. https://www.cybereason.com/blog/advanced-persistent- threat-apt. Malpedia.de. Sofacy. Overview. Online. https://malpe- dia.caad.fkie.fraunhofer.de/actor/sofacy#. Microsoft. 2015. Microsoft Digital Defense Report. Volume 19: Janu- ary-June 2015. Online. https://www.microsoft.com/en-us/secu- rity/business/security-intelligence-report. Microsoft. 2020. Microsoft Digital Defense Report, September 2020. Online. https://www.microsoft.com/en-us/download/de- tails.aspx?id=101738. Nsiteam.com. Malicious Non-state Actors and Contested Space Ope- rations. Online. https://nsiteam.com/social/wp-content/uplo- ads/2018/07/START_Malicious-Non-state-Actors-and-Contested- Space-Operations-Final.pdf. O'Donnell, L. 2019. Fancy Bear Targets Sporting, Anti-Doping Orgs As 2020 Olympics Loom. Online. https://threatpost.com/cyberattacks- sporting-anti-doping-orgs-as-2020-olympics-loom/149634/. Paganini, P. 2019. Analyzing how tactics, techniques and procedures of the Russia-linked APT28 cyberespionage group evolve over the time. Online. https://securityaffairs.co/wordpress/94747/apt/evolutions- apt28-attacks.html.

122 POUŽITÉ ZDROJE

Poulsen1, K. 2018. Mueller Finally Solves Mysteries About Russia’s ‘Fancy Bear’ Hackers. Online. https://www.thedailybeast.com/mueller- finally-solves-mysteries-about-russias-fancy-bear-hackers. Poulsen2, K. 2018. Russian Hackers Kept DNC Backdoor Longer Than Anyone Knew. Online. https://www.thedailybeast.com/russian- hackers-kept-dnc-backdoor-longer-than-anyone-knew. Pratley, P. (Bez dátumu). State-sponsored cyber attacks. Online. https://www.f-secure.com/en/consulting/our-thinking/state-sponso- red-cyber-attacks. Redlegg. 2020. 7 Types Of Cyber Threat Actors And Their Damage. Online. https://www.redlegg.com/blog/cyber-threat-actor-types. Seals, T. 2019. Microsoft: Russia’s Fancy Bear Working to Influence EU Elections. Online. https://threatpost.com/microsoft-russias-fancy- bear-working-to-influence-eu-elections/142007/. Seals, T. 2020. Nation-State Attackers Actively Target COVID-19 Vaccine-Makers. Online. https://threatpost.com/russia-north-korea-at- tacking-covid-19-vaccine-makers/161205/. Securelist. 2015. Sofacy APT hits high profile targets with updated toolset. Online. https://securelist.com/sofacy-apt-hits-high-profile-tar- gets-with-updated-toolset/72924/. Securelist. 2020. Advanced Threat predictions for 2021. Online. https://securelist.com/apt-predictions-for-2021/99387/. Secureworks. 2016. Advanced Persistent Threats: Learn the ABCs of APTs - Part A. Online. https://www.secureworks.com/blog/advanced- persistent-threats-apt-a. Securitybrief.co.nz. 2020. Data is more valuable to cyber attackers than cash – report. Online. https://securitybrief.co.nz/story/data-is- more-valuable-to-cyber-attackers-than-cash-report. Seker, E. 2020. Top Famous, Dangerous, and Active APT Groups who can Turn Life to A Nightmare. Online. https://medium.com/datadrive- ninvestor/top-famous-and-active-apt-groups-who-can-turn-life-to-a-ni- ghtmare-5d130168f43. Shoorbajee, Z. 2018. Report: APT28 breached German foreign and defense ministries. Online. https://www.cyberscoop.com/apt28-fancy- bear-germany-foreign-defense/.

123 POUŽITÉ ZDROJE

Shoorbajee, Z. 20181. APT28-linked trojan being developed in mul- tiple programming languages, research shows. Online. https://www.cy- berscoop.com/sofacy-apt28-zebrocy-go-palo-alto-networks/. Symantec 2018. APT28: New Espionage Operations Target Military and Government Organizations. Online. https://symantec-enterprise- blogs.security.com/blogs/election-security/apt28-espionage-military- government. Symantec. 2018. APT28: New Espionage Operations Target Military and Government Organizations. Online. https://symantec-enterprise- blogs.security.com/blogs/election-security/apt28-espionage-military- government. Tarantola, A. 2016. German Intel chief: Russia is trying to 'destabili- ze' the country. Online. https://www.engadget.com/2016-12-08-ger- man-intel-russia-is-trying-to-destabilize-country.html. Trendmicro.com. From Espionage to Cyber Propaganda: Pawn Storm's Activities over the Past Two Years. Online. https://www.trend- micro.com/vinfo/us/security/news/cyber-attacks/espionage-cyber- propaganda-two-years-of-pawn-storm. Trendmicro.com1. Two Years of Pawn Storm. Online. https://do- cuments.trendmiceminro.com/assets/wp/wp-two-years-of-pawn- storm.pdf. Trendmicro.com2. New Adobe Flash Zero-Day Used in Pawn Storm Campaign Targeting Foreign Affairs Ministries. Online. https://blog.trendmicro.com/trendlabs-security-intelligence/new- adobe-flash-zero-day-used-in-pawn-storm-campaign/. Ward, V. 2016. The Russian Expat Leading the Fight to Protect Ame- rica. Online. https://www.esquire.com/news-politics/a49902/the-rus- sian-emigre-leading-the-fight-to-protect-america/. Žaková, K. 2020. Ruskí hackeri cielia na spojenecké počítače “dôve- ryhodným” súborom z NATO. Online. https://cybersec.sk/spravy/zo- sveta/ruski-hackeri-cielia-na-spojenecke-pocitace-doveryhodnym-sub- orom-z-nato/.

124 POUŽITÉ ZDROJE

Publicistické texty Angeli, O. 2019. Migration and the rise of populism: how closely re- lated are they? Online. https://www.vuesdeurope.eu/en/opinion/mig- ration-and-the-rise-of-populism-how-closely-related-are-they/. Auchard, E. 2017. Macron campaign was target of cyber attacks by spy-linked group. Online. https://www.reuters.com/article/us-france- election-macron-cyber-idUSKBN17Q200. BBC 2019. German politicians targeted in mass data attack. Online. https://www.bbc.com/news/world-europe-46757009. BBC. 2018. How the Dutch foiled Russian 'cyber-attack' on OPCW. Online. https://www.bbc.com/news/world-europe-45747472. Bednár, V. 2020. Prečo je Vojenské spravodajstvo v… Online. https://vladimirbednar.blog.sme.sk/c/524065/preco-je-vojenske- spravodajstvo-v.html. Bennhold, K. 2020. Merkel Is ‘Outraged’ by Russian Hack but Stru- ggling to Respond. Online. https://www.nyti- mes.com/2020/05/13/world/europe/merkel-russia-cyberattack.html. Bicchierai, L.F. 2016. Fancy Bear Hack of Ukrainian Artillery Figh- ters Shows Future of War. Online. https://www.vice.com/en/ar- ticle/4xapxd/fancy-bear-hack-of-ukrainian-artillery-fighters-shows-fu- ture-of-war. Cobus, P. 2017. Cyber Firm Rewrites Part of Disputed Russian Hac- king Report. Online. https://www.voanews.com/usa/cyber-firm-rewri- tes-part-disputed-russian-hacking-report. Corera, G. 2016. How France's TV5 was almost destroyed by 'Rus- sian hackers'. Online. https://www.bbc.com/news/technology- 37590375. Delcker, J. 2017. Germany fears Russia stole information to disrupt election. Online. https://www.politico.eu/article/hacked-information- bomb-under-germanys-election/. Dennikn.sk. 2020. Globsec: Polovica Slovákov verí, že Západ ohro- zuje ich hodnoty. https://dennikn.sk/minuta/2034650/. Ďurianová, N. 2002. Rusko: Vstup do NATO je voľba SR. Online. https://hnonline.sk/svet/49896-rusko-vstup-do-nato-je-volba-sr.

125 POUŽITÉ ZDROJE

Finreport.sk 2020. Slovensko má mať novú bezpečnostnú a obrannú stratégiu, odborník navrhuje pravidelnú aktualizáciu. Online. https://www.finreport.sk/agenturne-spravy/slovensko-ma-mat-novu- bezpecnostnu-a-obrannu-strategiu-odbornik-navrhuje-pravidelnu-ak- tualizaciu/. Heffer, G. 2020. Russian 'Fancy Bear' unit hit with sanctions by UK over cyber attack on German parliament. Online. https://news.sky.com/story/russian-fancy-bear-unit-hit-with-sancti- ons-by-uk-over-cyber-attack-on-german-parliament-12111663. Hodge, N., Ilyushina, M. 2020. Russian voters overwhelmingly back a ploy by President Vladimir Putin to rule until 2036. Online. https://edi- tion.cnn.com/2020/07/01/europe/russia-referendum-putin-power- 2036-intl/index.html. Irishtimes.com 2017. Macron emails posted online in ‘massive’ hac- king operation. Online. https://www.irishtimes.com/news/world/eu- rope/macron-emails-posted-online-in-massive-hacking-operation- 1.3074286. Jones, S. 2014. Russian government behind cyber attacks, says secu- rity group. Online. https://www.ft.com/content/93108ba0-5ebe-11e4- a807-00144feabdc0. Kern, M. 2020. Riaditeľ SIS: Tajná služba sledovala Kočnera do roku 2012 a zrazu prestala. Online. https://dennikn.sk/2157968/riaditel-sis- tajna-sluzba-sledovala-kocnera-do-roku-2012-a-zrazu-pre- stala/?ref=tit1. Lipton, E. a kol. 2016. The Perfect Weapon: How Russian Cyber- power Invaded the U.S.. Online. https://www.nyti- mes.com/2016/12/13/us/politics/russia-hack-election-dnc.html. Meduza.io. 2018. What is the GRU? Who gets recruited to be a spy? Why are they exposed so often? Online. https://meduza.io/en/fea- ture/2018/11/06/what-is-the-gru-who-gets-recruited-to-be-a-spy- why-are-they-exposed-so-often. Mesežnikov, G. 2016. Štvrťstoročie populizmu na Slovensku: vo vláde a v opozícii. Online. https://dennikn.sk/458294/stvrtstorocie-po- pulizmu-slovensku-vo-vlade-opozicii/. Mikušovič, D. 2019. Rusi poslali Slovensku protestnú nótu pre člá- nok štátneho tajomníka Ondrejcsáka v SME. Online. https://den- nikn.sk/1401373/rusi-poslali-slovensku-protestnu-notu-pre-clanok- statneho-tajomnika-ondrejcsaka-v-sme/.

126 POUŽITÉ ZDROJE

Msn.org. Russia 'tried to hack MH17 inquiry system'. Online. https://web.achive.org/web/20180821223159/http://www.msn.com /en-au/news/world/russia-tried-to-hack-mh17-inquiry-system/ar- BBmmuuT. Nakashima, E. 2016. Russian hackers harassed journalists who were investigating Malaysia Airlines plane crash. Online. https://www.wash- ingtonpost.com/world/national-security/russian-hackers-harass-rese- archers-who-documented-russian-involvement-in-shootdown-of-ma- laysian-jetliner-over-ukraine-in-2014/2016/09/28/d086c8bc-84f7- 11e6-ac72-a29979381495_story.html. Pravda.sk. 2017. Slovensko bolo druhé na cvičení kybernetickej bez- pečnosti. Online. https://ekonomika.pravda.sk/ludia/clanok/437158- slovensko-bolo-druhe-na-cviceni-kybernetickej-bezpecnosti/. Pravda.sk. 2018. Zverejnili meno organizátora pokusu o prevrat v Čiernej Hore. Online. https://spravy.pravda.sk/svet/clanok/492662- zverejnili-meno-organizatora-pokusu-o-prevrat-v-ciernej-hore/. Pravda.sk. 2019. Politicko-ekonomické vzťahy Slovenska s Ruskom. Online. https://spravy.pravda.sk/domace/clanok/513142-politicko- ekonomicke-vztahy-slovenska-s-ruskom/. Radiopoland. 2017. Russian hackers behind attempted Polish fo- reign ministry hack: report. Online. http://ar- chiwum.thenews.pl/1/10/Artykul/291184,Russian-hackers-behind-at- tempted-Polish-foreign-ministry-hack-report. Reuters.com. 2020. Exclusive: Microsoft believes Russian hackers 'Fancy Bear' targeted Biden campaign firm. Online. https://www.reu- ters.com/article/us-usa-election-fancy-bear-exclusive- idUSKBN2613DH. Sanger, D. a kol. 2020. Scope of Russian Hacking Becomes Clear: Multiple U.S. Agencies Were Hit. Online. https://www.ny- times.com/2020/12/14/us/politics/russia-hack-nsa-homeland-secu- rity-pentagon.html. Samuel, H. 2015. Isil hackers seize control of France's TV5Monde network in 'unprecedented' attack. Online. https://www.tele- graph.co.uk/news/worldnews/europe/france/11525016/Isil-hackers- seize-control-of-Frances-TV5Monde-network-in-unprecedented-at- tack.html.

127 POUŽITÉ ZDROJE

Schneier, B. 2019. 8 Ways to Stay Ahead of Influence Operations. On- line. https://foreignpolicy.com/2019/08/12/8-ways-to-stay-ahead-of- influence-operations/. Slosiarik, M. 2019. Prieskumy verejnej mienky a populizmus. Online. https://transparency.sk/wp-content/uploads/2019/11/Populi- zmus_TIS_MS_final-1.pdf. Sme.sk1. 2019. Extrémisti, Rómovia, moslimovia. Koho mladí nechcú ako susedov. Online. https://domov.sme.sk/c/22171365/extremisti-ro- movia-moslimovia-koho-mladi-nechcu-ako-susedov.html. Sme.sk2. 2020. Eurobarometer: Slováci stále viac nedôverujú štát- nym inštitúciám. Online. https://domov.sme.sk/c/22299312/eurobaro- meter-slovaci-stale-viac-nedoveruju-statnym-instituciam.html. Teraz.sk. 2020. Slováci nedôverujú politickým stranám a justícii, ukázal prieskum. Online. https://www.teraz.sk/slovensko/slovaci-ne- doveruju-politickym-stran/492151-clanok.html. Tóda, M. 2020. Hekerom ruskej tajnej služby GRU pripisujú drsné útoky na Gruzínsko aj Ukrajinu. Prečo by to malo zaujímať slovenských politikov?. Online. https://dennikn.sk/1769524/hekerom-ruskej-tajnej- sluzby-gru-pripisuju-drsne-utoky-na-gruzinsko-aj-ukrajinu-preco-by- to-malo-zaujimat-slovenskych-politikov/. Tóda, M. 20201. Nie je to žiadny plyšový medvedík. Po útokoch na Ameriku majú ruskí hekeri Cozy Bear nový cieľ: vakcínu. Online. https://dennikn.sk/1975910/nie-je-to-ziadny-plysovy-medvedik-po- utokoch-na-ameriku-maju-ruski-hekeri-cozy-bear-novy-ciel-vakcinu/. Tost, D. 2017. Russia-linked Hackers Target German Political Foun- dations. Online. https://www.handelsblatt.com/english/poli- tics/election-risks-russia-linked-hackers-target-german-political-foun- dations/23569188.html?ticket=ST-11748673-dP2O3lsrkpwJS6VghluL- ap3. Trend.sk. 2019. Najväčšie platové rozdiely na Slovensku sú medzi Bratislavou a Sninou. Online. https://www.trend.sk/spravy/najvacsie- platove-rozdiely-slovensku-su-medzi-bratislavou-sninou. Tvnoviny.sk 2020. Slovensko vyhostilo troch ruských diplomatov. Online. https://www.tvnoviny.sk/domace/2004425_slovensko-vyhos- tilo-troch-ruskych-diplomatov. Wikipedia1. List of elections in 2021. Online. https://en.wikipe- dia.org/wiki/List_of_elections_in_2021.

128 POUŽITÉ ZDROJE

Wikipedia2.. List of elections in 2022. Online. https://en.wikipe- dia.org/wiki/List_of_elections_in_2022. Worldathletics.org. 2017. IAAF victim of cyber attack. Online. https://www.worldathletics.org/news/press-release/iaaf-cyber-attack. Yar, L. 2020. Rusko a stredná a východná Európa: Moskva stráca vplyv a krajinám má málo čo ponúknuť. Online. https://eu- ractiv.sk/section/all/linksdossier/rusko-a-stredna-a-vychodna-eu- ropa-moskva-straca-vplyv-a-krajinam-ma-malo-co-ponukat/.

Dostupnosť všetkých internetových zdrojov bola overená k 5.1.2021.

129