Cybernetyczna wojna USA‑Chiny. Amerykańska strategia odstraszania chińskich hakerów nie działa
• W sieci trwa cicha cyberwojna, której głównymi aktorami są Chiny i USA
• Amerykanie podejmują próby wdrożenia strategii cybernetycznego odstraszania
• Wywiad USA twierdzi, że liczba ataków hakerskich spada
• Jednak z tymi twierdzeniami nie zgadzają się prywatne podmioty i niektórzy politycy
• Eksperci oceniają, że strategia odstraszania nie przynosi znaczących rezultatów
06.07.2016 | aktual.: 06.07.2016 13:46
Zalogowani mogą więcej
Możesz zapisać ten artykuł na później. Znajdziesz go potem na swoim koncie użytkownika
Żaden element strategii odstraszania przyjętej przez USA nie miał znaczącego wpływu na zmiany chińskich zachowań w cyberprzestrzeni. Zamiast tego spadek liczby ataków, odnotowany oficjalnie w ostatnich latach, to rezultat czynników zewnętrznych, być może także ewolucji chińskiej strategii cybernetycznej. Jak dowodzą niezależni eksperci, nie jest wynikiem akcji podejmowanych przez Waszyngton. A niektórzy twierdzą wręcz, że liczba tych ataków wcale nie spadła - pisze Blaise Misztal dla portalu Cyberdefence24.pl.
Stosowanie odstraszania i strategii, która powstrzymuje niepożądane działania przeciwnika, odbywa się poprzez stworzenie wiarygodnej groźby odwetu o odpowiedniej skali. W kontekście cyberprzestrzeni taka strategia pozostaje kwestią otwartą, które jest przedmiotem szerokiej debaty. Trwająca dyskusja na ten temat nie jest jednak oparta na dużej liczbie rzeczywistych doświadczeń.
Jednym z głównych wyzwań, które sprawiły, że cyberodstraszanie pozostaje znacząco trudniejsze od np. odstraszania atomowego, jest problem atrybucji (czyli komu przypisać autorstwo ataku - przyp. red.). Przez ostatnie kilka lat rząd Stanów Zjednoczonych testował zarówno swoje zdolności atrybucji cyberataków, jak i szeroki zakres metod w zakresie odstraszania potencjalnych cyberagresorów w przyszłości, takich jak np. Chiny. W tym zawiera się także akt oskarżenia dotyczący pięciorga członków Chińskiej Armii Ludowo-Wyzwoleńczej za działania hakerskie, wydany wskutek porozumienia między prezydentami Barackiem Obamą i Xi Jinpingiem. Jego celem jest zatrzymanie opartych o cybernetykę działań mających na celu realizację szpiegostwa gospodarczego. Chodzi tu także o publiczne przypisanie naruszeń sieciom chińskiego Biura Zarządzania Personelem. Obecnie publikowane są pierwsze analizy chińskich zachowań w cyberprzestrzeni, odkąd USA wdrożyło nowe, opisane powyżej strategie. Niestety, analizy te nie przedstawiają
sytuacji w sposób wystarczająco klarowny, by wiedzieć, czy próby podejmowane przez USA w zakresie odstraszania cybernetycznego można uznać za skuteczne.
Firma FireEye opublikowała ostatnio raport pt. "Redline Drawn: China Recalculates its use of Cyber Espionage" (Rysując Czerwoną Linię: Chiny Rekalkulują Wykorzystanie Cyberszpiegostwa). Raport zajmuje się 72 grupami hakerskimi, które autorzy identyfikują jako najprawdopodobniej podmioty chińskie, i śledzi ich zachowanie od 2013 do połowy 2016 roku.
W omawianym okresie analitycy FireEye zaobserwowali, że ww. grupy stały za 262 naruszeniami sieciowymi, z których 182 ukierunkowane były przeciwko podmiotom prowadzącym działalność na terytorium USA. W przypadku 80 pozostałych operacji, celem były instytucje nade wszystko zlokalizowane w Europie i Azji, ale także w Brazylii, Izraelu, czy też w samych Chinach. Firma FireEye zaobserwowała znaczący spadek częstotliwości ataków tych grup w połowie 2014 roku, na rok przed tym jak Obama i Xi doszli do porozumienia, jednak tuż po tym, jak USA skazało hakerów chińskich. I faktycznie, średnia liczba ataków z 60 na miesiąc na początku 2014 roku spadła do mniej niż 10 w 2016. Ale podczas gdy ilościowo intensywność naruszeń z pewnością uległa zmniejszeniu w latach 2015 i 2016, badacze odnotowali, że nadal skupiały się na instytucjach militarnych, komercyjnych i rządowych sąsiadów Chin, nie na Stanach Zjednoczonych.
Jak odróżnić szpiegostwo polityczne od ekonomicznego?
FireEye, z wyżej wymienionego studium, wyciąga kilkanaście wniosków.
Po pierwsze, żaden element strategii odstraszania przyjętych przez USA nie miał znaczącego wpływu na zmiany chińskich zachowań w cyberprzestrzeni. Zamiast tego, spadek liczby ataków odnotowany w ramach badania stanowi odpowiedź na czynniki zewnętrzne, być może także na ewolucję chińskiej strategii cybernetycznej. "Nie interpretujemy porozumienia Xi-Obama jako przełomu. Dochodzimy do wniosku, że umowa ta była jedynie jednym z punktów dramatycznych zmian, które miały miejsce na przestrzeni ostatnich lat. Przypisujemy zaobserwowane zmiany dotyczące chińskich grup innym czynnikom, w tym inicjatywom militarnym i politycznym prezydenta Xi, szerokiemu wyeksponowaniu chińskich działań w cyberprzestrzeni, a także rosnącym naciskom ze strony rządu Stanów Zjednoczonych" - czytamy w raporcie.
Po drugie, linia między szpiegostwem ekonomicznym i politycznym może być trudna do zdefiniowania, biorąc pod uwagę cele, będące w zainteresowaniu Chin, szczególnie jeżeli chodzi o państwa sąsiednie. "Nasze badanie pozwoliło na zidentyfikowanie domniemanych chińskich grup, wyłudzających informacje od instytucji rządowych i komercyjnych, których siedziby zlokalizowano w państwach otaczających Chiny. Duża część aktywności zdaje się mieć charakter tradycyjnego szpiegostwa, przede wszystkim motywowanego argumentem bezpieczeństwa i polityką, w ramach rosnącego napięcia dyplomatycznego w rejonie (...) Jednakże częstokroć jesteśmy świadkami kompromisów, w obszarach gdzie grupa kradnie dane, które w równym stopniu mogłyby okazać się przydatne w zakresie obszarów militarnego, bezpieczeństwa i gospodarczego - takie jak na przykład informacje na temat technologii nawigacyjnych. Ta szara strefa między szpiegostwem gospodarczym a tym skupionym na bezpieczeństwie, czyni trudnym definitywne scharakteryzowanie działalności
szpiegowskiej, bez faktycznego wglądu w końcowy sposób wykorzystania zdobywanych danych".
Po trzecie, typy grup hakerskich podejmujących działania w Chinach, a także używana przez nie taktyka, są dużo bardziej zróżnicowane, niż jesteśmy w stanie sobie wyobrazić. Nie każdy haker pracuje na zlecenie Pekinu, a ci, którzy faktycznie działają na polecenie rządowe, także mają zróżnicowane cele, stosują także szeroki zakres metod. "Na chiński krajobraz (operacji cybernetycznych - przyp. tłum.), częstokroć uznawany za monolityczny, skupiony na celach państwowych, składa się szeroki zakres grup, w tym aktorzy rządowi i wojskowi, najemnicy, hakerzy patriotyczni, czy nawet kryminaliści. (...) Pomimo ogólnego spadku aktywności chińskiej, wiele grup w sposób aktywny podejmuje próby włamań sieciowych, podczas gdy inne próbują łamać zabezpieczenia serwerów i wykorzystać je w charakterze infrastruktury, w ramach planowanych włamań sieciowych. Odnotowaliśmy pewne zmiany taktyki wśród śledzonych grup, jednak brak nam dowodów na koordynowane, szeroko zakrojone zmiany sposobu ich działania".
Co ciekawe jednakże, reakcja rządu USA na raport FireEye - przynajmniej ta widoczna publicznie - nosi znamiona sceptycyzmu. - Chińska aktywność hakerska spada? - pytał retorycznie senator Ben Cardin, członek senackiej komisji spraw zagranicznych. - Uczestniczyłem ostatnio w kilkunastu spotkaniach i odprawach; nie jest to spójne z tym, co usłyszałem - mówił. Z kolei senator Richard Burr, przewodniczący komisji wywiadu, wystosował następujące stwierdzenie: - Trudno byłoby mi uwierzyć w to, że chińska działalność hakerska zmniejsza się (...) ponieważ znam poziom motywacji Chińczyków ku temu, by ją kontynuować.
Negocjacje z Chinami to oznaka słabości?
Nie jest to pierwszy przypadek, w którym prywatni badacze cyberbezpieczeństwa nie zgadzają się z oceną agencji wywiadu Stanów Zjednoczonych. Najsłynniejszym przykładem jest sytuacja, gdy wiele firm kwestionowało ocenę rządu, wedle której to Korea Północna stała za atakiem na Sony Pictures w 2014 roku. Warto jednak zastanowić się nad tym, dlaczego wnioski FireEye mogłyby być różne od tych, które tworzone są w toku analiz wywiadowczych, i przekazywane są na ręce znanych oficjeli USA.
Najbardziej oczywista kwestia to ta, która czyni odstraszanie tak trudnym: atrybucja. Firma FireEye podjęła kroki, by śledzić 72 grupy hakerskie, w odniesieniu do których wierzy się, że pochodzą one z Chin. Jednakże być może założenie było błędne - grupy te, lub przynajmniej część z nich, nie mają nic wspólnego z Państwem Środka. Możliwe także, że nie są one głównymi graczami w Chinach, których aktywność jest śledzona przez amerykański rząd. Co więcej, zachodzi prawdopodobieństwo, że Chiny dokonały przesunięcia swojej aktywności cybernetycznej, i zamiast skupiać się na aktorach znanych, obecnie działają w odniesieniu do podmiotów mniej oczywistych, w celu ukrycia faktycznego zakresu i motywów podejmowanej działalności hakerskiej. W każdym razie - widać, że wiedza na temat tego, kto i co robi online, jest ważna, nie tylko w zakresie tworzenia strategii odstraszania. Przydaje się też do tego, by stwierdzić, czy strategia ta jest faktycznie skuteczna.
Istotniejsze jednak są kwestie, w których widnieje zgoda między FireEye i oficjelami USA. Próby wdrożenia strategii odstraszania przez rząd USA są nieskuteczne. Albo nie spada liczba chińskich ataków (jak twierdzą niektórzy senatorowie), albo nawet jeżeli spada, nie jest to wynikiem akcji podejmowanych przez Waszyngton (zgodnie z naciskami FireEye). Pytanie dla strategów brzmi następująco: co poszło nie tak? Może groźby odwetu ze strony USA nie były wystarczająco wiarygodne? Może same kroki odwetowe - potencjalne pozbawienie wolności kilku pojedynczych hakerów - nie były wystarczające? Czy porozumienie między Xi i Obamą nie oferuje wystarczającej liczby pozytywnych inicjatyw, które mogłyby doprowadzić do zmiany zachowań Pekinu? Czy możliwe, że wola USA do negocjowania porozumienia została odczytana raczej jako oznaka słabości, a nie chęć stworzenia rozwiązania?
Wszystko co wiemy, to to, że walka o ustalenie efektywnej strategii cybernetycznego odstraszania nadal trwa.
Blaise Misztal - zajmuje się kwestiami bezpieczeństwa narodowego, ze szczególnym uwzględnieniem cyberbezpieczeństwa, w jednym z prominentnych waszyngtońskich think tanków, gdzie opracował m.in. symulację strategiczną Cyber ShockWave. Jest stałym ekspertem Cyberdefence24.pl.
Polecamy również: Na bazie CERT Polska rusza Narodowe Centrum Cyberbezpieczeństwa