Według przytaczanego już Thomasa Rida, profesora Uniwersytetu Johnsa Hopkinsa w Baltimore, kamieniem milowym na drodze do triumfalnego powrotu środków aktywnych, które w XXI wieku przeniosły się do cyberprzestrzeni, była estońska historia z 2007 r. związana z zamiarem usunięcia pomnika „wyzwoliciela” Tallina znanego jako brązowy żołnierz81. Rid proponuje autorską periodyzację cyfrowych środków aktywnych. Lata 1999–2014 określa mianem „czasu hakerów”, a okres od 2014 r. – „czasu wycieków”.

To bardzo umowny podział: „czas hakerów” był zarazem czasem aktywności bojówek sieciowych trolli wykorzystujących wycieki, co można też interpretować jako czas testowania starych technik (kradzieży danych, dywersji) na nowej platformie komunikacyjnej. W Tallinie połączono zresztą stare i nowe środki aktywne: cyberataki i trolling przeciwko „faszystowskiej eSStonii”  wspierała grupa ochotnicza Straż Nocna, której członkowie dyżurowali pod pomnikiem i nie dopuszczali do jego usunięcia. Ponadto techniki stosowane dziś w mediach społecznościowych stanowią w zgodnej opinii współczesnych autorów integralny element „klasycznych” środków aktywnych, tyle że dostosowany do współczesnych uwarunkowań cyberprzestrzeni, nowoczesnych technologii oraz społeczeństwa informacyjnego (i sieciowego). Podobnie jak Rid nie widzą oni różnicy między „fałszywką” i „fejkiem”, tzw. przeciekami kontrolowanymi i wyciekami elektronicznymi – te ostatnie uważają za przedłużenie środków aktywnych w nowych mediach.

Podzielając tę opinię, dodam, że – zgodnie z tradycją – do ich realizacji rosyjskie służby wykorzystują zarówno zdolnych programistów, jak i cyberprzestępców. W połączeniu z mechanizmami pracy wywiadowczej zaowocowało to wieloma głośnymi akcjami. W ramach pierwszej z nich – operacji „Księżycowy labirynt” z przełomu lat 1999 i 2000 – hakerzy przeprowadzili zmasowane natarcie na serwery Pentagonu, NASA i kluczowych amerykańskich ośrodków badawczych i skopiowali wiele tajnych materiałów. Wtedy jednak wydarzenia te nazwano ostrożnie „serią incydentów komputerowych”.

„Pierwszą cyberwojną” obwołano wspomniany wyżej atak z 27 kwietnia 2007 r., którego ofiarą padły estońskie strony rządowe, banki, media i firmy specjalizujące się w komunikacji. Przesądziła o tym skala uderzenia: specjaliści od cyberbezpieczeństwa przyznają, że użyta do niego sieć botnet była największą wówczas siecią tego typu (...). Rozmach operacji spowodował, że zaczęto o niej mówić w kategoriach inwazji cybernetycznej. Estonia w jednej chwili została odcięta od internetu i łączności. Rosja zademonstrowała światu, że przystąpiła do wyścigu zbrojeń w cyberprzestrzeni i jest gotowa urządzać kolejne pokazy siły. Nie trzeba było na nie długo czekać.

Miano „drugiej cyberwojny” przyznano atakom DDoS przeprowadzonym podczas małej wojny w Gruzji w sierpniu 2008 r. Rosyjscy hakerzy zablokowali serwery rządowe, w tym resortu obrony i oficjalną witrynę głowy państwa, a także najważniejsze media. Pozwoliło to wdrożyć zmasowaną kampanię propagandową, z jednej strony dyskredytującą prezydenta Micheila Saakaszwilego, a z drugiej – wybielającą „operację przymuszenia Gruzji do pokoju”, jak określono własne posunięcia. Konwencjonalne działania zbrojne połączono wówczas z tymi w cyberprzestrzeni i klasycznymi środkami aktywnymi.

Ośmieleni sukcesami na wirtualnym polu bitwy Rosjanie – pisze Piotr Łuczuk – zdecydowali się na kolejną cyberwojnę z Pentagonem. W 2008 r. wprowadzili do amerykańskiej sieci wojskowej groźny wirus, za pomocą którego wykradali tajne dane. Śledczy ustalili, że ataku dokonał rosyjski wywiad, już wcześniej operujący przy użyciu wirusa o zbliżonym kodzie źródłowym.

Rastorgujew uważa, że cyberwojnę prowadzi się „środkami rozpoznania i monitoringu środowiska technicznego” oraz „środkami aktywnego wpływu na zasoby techniczne”. Hakowanie i niszczenie lub choćby osłabianie zasięgu zasobów przeciwnika to tylko jedno z zastosowań środków cyfrowych. Operacje w sieci są najczęściej operacjami kombinowanymi. Grupy hakerskie związane z jednostką 26 165 wywiadu wojskowego, dowodzone do 2018 r. przez Wiktora Nietykszę, a funkcjonujące pod różnymi hakerskimi przykrywkami (Sofacy, Pawn Storm, ART28, Strontium, Fancy Bear, CyberBerkut, CyberKalifat czy Anonymous Ukraina) łączą aktywność hakerską z ujawnianiem tajnych informacji przeciwnika oraz ze zwykłymi fałszerstwami. Na przełomie 2013 i 2014 r., w dobie pogłębiającego się kryzysu w relacjach z Zachodem w trakcie wydarzeń związanych z Euromajdanem, a następnie aneksją Krymu, Rosjanie zastosowali już całą paletę takich środków.

23 października na międzynarodowym portalu haktywistów CyberGuerrilla.org zamieszczono link do folderu zawierającego dokumenty ukraińskiego MSZ (głównie korespondencję tamtejszych urzędników z ich zachodnimi odpowiednikami, ale też kopie paszportów dyplomatycznych urzędników Departamentu Stanu USA) nadesłane jakoby przez ukraińskiego aktywistę międzynarodowego ruchu Anonymous dążącego do zwiększenia transparentności informacji w sieci.

Rosyjskie ataki cyfrowe towarzyszące Euromajdanowi

• 28 października na tym samym portalu pojawił się kolejny post od ruchu Anonymous Ukraina, w którym ogłoszono niezależność Ukrainy od Unii Europejskiej i Rosji. Zawierał on także filmik, na którym człowiek w charakterystycznej białej masce i bluzie z kapturem skandował hasło: „Nie będziemy sługusami NATO!”.

• 11 listopada, już po użyciu przez Wiktora Janukowycza oddziałów specjalnych policji Berkut, do Kijowa przybyła podsekretarz stanu Victoria Nuland (spotkała się z prezydentem, wyraziła w imieniu Stanów Zjednoczonych oburzenie z powodu brutalności funkcjonariuszy, a następnie odwiedziła protestujących na Majdanie, którym rozdała kanapki i wypieki cukiernicze). Władze FR natychmiast wykorzystały jej misję, interpretując ją jako „eskalację kryzysu” i „wtrącanie się w rosyjską strefę wpływów”. „Ciasteczka Nuland” albo „ciasteczka Departamentu Stanu” stały się popularnym memem i krążą w sieci do dziś; weszły również do języka rosyjskiego jako nowy frazeologizm synonimiczny z wyrażeniem „trzydzieści srebrników”

• 4 lutego 2014 r. na YouTubie pojawiły się dwa klipy przesłane z konta Re Post (utworzonego 14 grudnia 2013 r., u szczytu wydarzeń na Ukrainie). Pierwszy prezentował nagranie rozmowy telefonicznej Nuland z ambasadorem USA w Ukrainie Geoffreyem Pyattem. Podsekretarz, rozczarowana postawą UE („pieprzyć Unię Europejską”), uznała, że zerwaną umowę stowarzyszeniową Ukrainy z nią mogłaby „skleić ONZ”. Drugie nagranie stanowiło zapis przechwyconej rozmowy Helgi Schmid, niemieckiej urzędniczki pracującej w Brukseli, z ambasadorem UE w Ukrainie Janem Tombińskim. Schmid skarżyła się na krytykę UE ze strony Stanów Zjednoczonych i prosiła go o rozmowę w tej sprawie z ambasadorem Pyattem. Polityczny cel obu przecieków był oczywisty: pokazując rozbieżności między USA i UE w sprawie Ukrainy, Rosja wbijała klin między Waszyngton a Brukselę. Podwójny przekaz miał wzmocnić ową narrację.

Dyskredytacja Stanów Zjednoczonych i próba zaostrzenia relacji europejsko-amerykańskich szybko zdominowały obieg informacji politycznych w Europie i USA. Biały Dom musiał przeprosić za dosadne słowa Nuland, a przy tym nazwał przecieki rosyjskim środkiem aktywnym. Okazał się on skuteczny: nagrania ujawniono, kiedy podsekretarz po raz kolejny przybyła do Kijowa, aby próbować nakłonić Janukowycza do zakończenia kryzysu z pomocą mediacji Waszyngtonu. Operacje te łączyły starą technikę podsłuchu telefonicznego i wideo z nowymi – wykorzystaniem i wzmacnianiem materiału kompromitującego w internecie (błyskawicznie powielany mem).

Najgłośniejszym przedsięwzięciem aktywnym były jednak ataki na skrzynkę mailową Johna Podesty, szefa kampanii wyborczej Hillary Clinton (19 marca 2016 r.), a następnie na Komitet Krajowy Partii Demokratycznej (18 kwietnia). W ten sposób rosyjski wywiad wojskowy zinfiltrował wewnętrzną i zewnętrzną komunikację Demokratów oraz zyskał dostęp do ich rozmów telefonicznych. Podszywając się pod amerykańskich haktywistów, założył stronę internetową DCLeaks.com, aby upublicznić tam pozyskane dane. Pierwszą partię dokumentów ze skrzynki Podesty opublikowano 4 czerwca. Ponieważ krok ten nie spotkał się z szerokim odzewem, Rosjanie skontaktowali się z Julianem Assange’em i przekazali materiały z włamań komputerowych WikiLeaks.

Tymczasem Demokraci zdecydowali się podzielić z opinią publiczną historią podwójnego włamania za pośrednictwem „The Washington Post” przy technicznym wsparciu firmy CrowdStrike. Spółka zajmująca się bezpieczeństwem w sieci ujawniła szczegóły rosyjskiego modus operandi – węzły dowodzenia i kontroli, łącza komunikacyjne i tajne kody dostępu. W ten sposób „spalono” cyfrowe odpowiedniki klasycznych skrzynek kontaktowych, tj. infrastrukturę cyfrowych środków aktywnych wywiadu FR w USA. Maskując skalę strat, zarejestrował on blog guccifer2.word-press.com, na którym wirtualny haker Guccifer przyznał się do działania w pojedynkę, opublikował 11 kolejnych dokumentów, w tym listę darczyńców Demokratów i badania popularności Donalda Trumpa, oraz nagłośnił przekazanie WikiLeaks tysięcy plików i e-maili. Bezskutecznie: 29 grudnia 2016 r. Biały Dom zareagował na wtrącanie się przez Rosję w wybory – wydalił z kraju 35 tamtejszych agentów, przejął dwie nadmorskie posiadłości i umieścił organizacje wywiadowcze na czarnej liście instytucji objętych sankcjami. W efekcie głośna operacja przerodziła się w spektakularną wpadkę: w lipcu 2018 r., po zebraniu wiarygodnych dowodów, Departament Sprawiedliwości USA oskarżył imiennie 12 oficerów Zarządu Wywiadu Sztabu Generalnego FR o cyberszpiegostwo i ingerencję w głosowanie oraz oświadczył, że poszukuje się ich międzynarodowym listem gończym85.

Bardzo możliwe, że Rosjanom nie chodziło o skuteczność, ale o efekt wizerunkowy („prężenie muskułów w sieci”) i manifestację własnego potencjału cyfrowego. W tym kontekście należy też – jak się wydaje – rozpatrywać ich posunięcia w cyberprzestrzeni towarzyszące pełnoskalowej inwazji na Ukrainę w lutym 2022 r. Od początku były one uważnie monitorowane przez badaczy. Nie odnotowali oni zmasowanych operacji cybernetycznych mających zniszczyć bądź wyłączyć infrastrukturę krytyczną przeciwnika, z wyjątkiem kilku z początku wojny. Eksperci uważają ponadto, że ofensywne użycie cyberbroni nie oddziałało znacząco na przebieg konfliktu. Uderzenia na ukraińskie portale informacyjne i skojarzony z nimi atak rakietowy na wieżę telewizyjną w Kijowie 1 marca 2022 r. jedynie na krótko ograniczyły stronie ukraińskiej możliwości przekazywania informacji. W kolejnych miesiącach wyrafinowanie i liczba akcji tego typu wyraźnie spadły. Zamiast wiperów (złośliwe oprogramowanie niszczące dane) stosowano nieskomplikowane ataki phishingowe (hakerskie wyłudzanie danych) i DDoS. W zgodnej ocenie amerykańskich analityków „rosyjskie operacje cybernetyczne w Ukrainie nie wywołały większego wpływu militarnego”; nie brak też zdań, że stanowią one dla agresora „upokarzające doświadczenie”86. To, jak się konkluduje, efekt nieskoordynowania poczynań w cybernetycznej i kinetycznej domenie tej wojny oraz różnego pojmowania przez Rosję celów inwazji w każdej z nich: tamtejsi stratedzy uznają przestrzeń cybernetyczną głównie za pole wojny informacyjnej, a kinetyczną – za teatr działań służących przejmowaniu terytorium. Niewykorzystanie cyberzdolności do ataków na infrastrukturę krytyczną byłoby więc rezultatem innych priorytetów, a nie braku umiejętności.

Jolanta Darczewska - Zawładnąć umysłami i urządzić świat