Kim Zetter, Did Trump Admin Order U.S. Cyber Command and CISA to Stand Down on Russia?

Două povești de succes publicate recent par să confirme ceea ce mulți americani bănuiau că se va întâmpla sub Administrația Trump, și anume că noul regim va fi mai blând față de Rusia decât administrațiile anterioare, în special în ceea ce privește amenințarea pe care o reprezintă Rusia în spațiul cibernetic.

De la publicare, însă, una dintre aceste narațiuni a fost contestată, iar a doua a ridicat mai multe întrebări decât a oferit răspunsuri. În plus, a fost publicată o a treia poveste, care oferă detalii noi.

Merită o trecere în revistă a acestora pentru a vedea cum stau lucrurile, mai ales că mult din ceea ce s-a relatat în primele zile ale acestei Administrații se bazează pe informații incomplete care sunt supuse revizuirii pe măsură ce sunt dezvăluite mai multe detalii.

În prima poveste, The Guardian a relatat că Administrația Trump a început să se retragă din poziția de lungă durată pe care a adoptat-o America și anume că Rusia reprezintă o amenințare cibernetică majoră pentru țară. A făcut acest lucru atât în ​​ceea ce oficialii Administrației au spus - sau, mai degrabă, nu au spus - despre amenințările cibernetice rusești, cât și printr-un memoriu recent al Agenției de Securitate Cibernetică și Infrastructurii (CISA), care a redirecționat analiștii. The Guardian susține că analiștilor CISA care se concentrează pe amenințările rusești li s-a cerut „să nu urmărească sau să raporteze”, în viitor, amenințările cibernetice din partea Rusiei.

La aproximativ 90 de minute după ce Guardian a publicat materialul, The Record a publicat un material separat, potrivit căruia secretarul Apărării, Pete Hegseth, a ordonat Comandamentului Cibernetic să renunțe la orice vizează Rusia, inclusiv acțiunile cibernetice ofensive desfășurate împotriva ei.

Luate împreună, cele două narațiuni au dat alarma și au generat temerea că schimbările politice ar avea un impact semnificativ asupra securității naționale a SUA și ar face țara mai vulnerabilă la atacurile cibernetice din partea hackerilor lui Vladimir Putin. The Record a menționat că ordinul către Cyber ​​Command a furnizat „dovada eforturilor Casei Albe de a normaliza legăturile cu Moscova”, iar The Guardian a citat o sursă care a spus că schimbarea de la CISA a reprezentat o victorie pentru Rusia. „Putin este în interior acum”, a spus sursa pentru The Guardian.

Deși un număr de persoane de pe rețelele sociale par să creadă că povestea The Record completează povestea The Guardian, cele două spun, de fapt, lucruri diferite și se bazează pe surse diferite.

Comandamentul cibernetic este o unitate militară aflată în subordinea Departamentului Apărării și desfășoară activități cibernetice atât ofensive, cât și defensive în afara SUA. Acestea includ operațiuni hunt forward (nn - operațiuni strict defensive pe care Cyber ​​Command le desfășoară la cererea națiunilor partenere) - asistarea Ucrainei și a altor națiuni în găsirea de activități rău intenționate în rețelele lor, de exemplu - efectuarea de operațiuni „effects” (atacuri cibernetice care degradează sau distrug infrastructurile electronice utilizate în scopuri adverse) împotriva SUA sau a partenerilor săi. CISA, pe de altă parte, este în întregime internă și defensivă în misiunea sa. Sarcina ei este de a contribui la apărarea rețelelor civile ale guvernului federal (rețelele militare sunt în sarcina Agenției Naționale de Securitate) și îi ajută pe proprietarii de infrastructuri critice - majoritatea fiind proprietate privată în SUA - să apere aceste rețele prin efectuarea de evaluări de risc, furnizarea de informații despre vulnerabilități și îndrumări pentru corecție și asistarea în răspunsul la incident după o breșă de securitate, atunci când este necesar.

Prin urmare, a dispune ca Cyber ​​Command să renunțe la Rusia este foarte diferit de a dispune ca CISA să renunțe, deși directivele de politică descrise în fiecare material publicat ar putea avea efecte similare în slăbirea securității SUA.

Ce a spus narațiunea CISA

Conform materialului The Guardian, semnat de Stephanie Kirchgaessner, Administrația Trump „nu mai caracterizează Rusia drept o amenințare pentru securitatea cibernetică” - o mișcare care a marcat o îndepărtare radicală de Administrațiile anterioare și de politica SUA. Povestea s-a bazat, parțial, pe omisiuni din declarațiile făcute de oficiali guvernamentali care indică faptul că Administrația nu consideră Rusia o amenințare principală în spațiul cibernetic. E vorba de un discurs susținut, la sfârșitul lunii februarie, de Liesyl Franz, secretar adjunct pentru securitate cibernetică la Departamentul de Stat. Franz a declarat unui grup de lucru al Națiunilor Unite că SUA este îngrijorată de amenințările cibernetice din China și Iran și a menționat, în mod special, așa-numitele atacuri Salt and Volt Typhoon, care au pătruns în telecomunicațiile americane și alte infrastructuri critice - dar nu a menționat atacul Rusiei împotriva SolarWinds, încercările sale de a compromite infrastructura electorală a SUA sau alte operațiuni cibernetice din Rusia.

Materialul The Guardian a menționat apoi că un memoriu a fost distribuit, recent, la CISA, care stabilea noi priorități pentru personalul instituției. Se pare că nota menționează China și abordează amenințările pe care aceasta le reprezintă pentru SUA, dar nu și Rusia. Se mai spune că analiștii de la agenție care se concentrează pe amenințările rusești „au fost informați verbal că nu mai trebuie să urmărească sau să raporteze despre amenințările rusești”. Această informație părea să fie atribuită unei singure surse anonime care a declarat pentru The Guardian că munca desfășurată la agenție cu privire la orice legătură cu Rusia a fost, în esență, „înlăturată”.

La două zile după publicarea articolului din The Guardian, CISA a negat relatarea într-o postare publicată pe X și într-o declarație dată reporterilor. „Misiunea CISA este de a apăra împotriva tuturor amenințărilor cibernetice la adresa infrastructurii critice din SUA, inclusiv din Rusia”. „Nu s-a produs nicio schimbare în postura noastră. Orice relatare contrară este falsă și subminează securitatea noastră națională”.

În plus, purtătorul de cuvânt al Department of Homeland Security, Tricia McLaughlin, a declarat reporterilor că „CISA rămâne angajată în abordarea tuturor amenințărilor cibernetice la adresa infrastructurii critice din SUA, inclusiv din Rusia. Nu a existat nicio schimbare în postura sau prioritatea noastră pe acest front.”

Calificare știrilor drept „false” este obișnuită pentru Administrația Trump (atât Trump I, cât și Trump II) atunci când se adresează articolelor publicate de mass-media mainstream. Însă alți jurnaliști nu au putut, până acum, să confirme existența memoriului sau a dispozițiilor verbale menționate. Și, de asemenea, deși surse din CISA fac afirmații contradictorii, nimeni nu a oferit, nici din interior, dovada existenței sale.

În povestea ulterioară a The Record despre Cyber ​​Command, reporterul Martin Matishak a indicat că, la sfârșitul lunii februarie, secretarul Apărării, Pete Hegseth, a ordonat Comandamentului să renunțe la orice demers planificat împotriva Rusiei, care includea acțiuni digitale ofensive. Iar Hegseth a dat ordinul șefului Comandamentului Cyber, general Timothy Haugh, care supraveghează operațiunile cibernetice. Ordinul nu are impact asupra Agenției Naționale de Securitate, pe care o comandă același Haugh, ceea ce înseamnă că activitatea de spionaj cibernetic NSA împotriva Rusiei rămâne intactă.

Inițial, poți citi materialul ca și cum ar relata că Cyber ​​Command a primit ordin să renunțe la toate operațiunile cibernetice active în prezent împotriva Rusiei, precum și la planificarea celor viitoare. Dar articolul nu spune, de fapt, că Hegseth a ordonat oprirea operațiunilor cibernetice actuale împotriva Rusiei, ci doar oprirea planificării unor astfel de operațiuni. Recunoaște, totuși, că o oprire a planificării ar putea avea ca rezultat oprirea unor operațiuni curente sau cel puțin să le afecteze.

Un articol ulterior din Washington Post menționează că celor de la Cyber ​​Command li s-a spus, într-adevăr, să oprească operațiunile cibernetice actuale.

Au fost persoane în online care s-au referit la ordinul de „stand down” a lui Hegseth ca un ordin de „shut down”. Dar sunt două lucruri diferite. Standing down poate însemna renunțarea permanentă la o poziție sau încetarea definitivă a unei activități, dar poate fi și doar o pauză în activitate până la noi ordine. Pe de altă parte, shutting down, cu referire la o operațiune sau planificarea uneia, presupune destructurarea unui program. Aceasta ar putea include dezmembrarea infrastructurii care este utilizată în prezent pentru o operațiune cibernetică ofensivă, retragerea din rețelele pe care operatorii le-au penetrat deja și chiar realocarea personalului către alte operațiuni axate pe ținte non-rusești. Aceasta din urmă ar fi, evident, mai dificil de recuperat dacă Hegseth și-ar inversa ulterior ordinul și ar spune Cyber ​​Command să reînceapă planificarea și operațiunile împotriva Rusiei. Deci, este mai probabil ca Hegseth să intenționeze pur și simplu să întrerupă operațiunile, nu să le închidă complet. Opinie confirmată, ulterior, de articolul din Washington Post.

The Record nu a spus ce a determinat ordinul către Cyber ​​Command sau cât va dura ceea ce prevede dispoziția, doar că ordinul e valabil într-un „viitor previzibil”. Povestea nu a menționat nici negocierile pe care Administrația Trump speră să le ducă cu Rusia pentru a pune capăt războiului din Ucraina. Experții sunt de părere că acesta este contextul probabil pentru ordinul dat.

Jason Kikta, un fost oficial al Comandamentului Cibernetic, afirmă că oprirea operațiunilor cibernetice ofensive și a operațiunilor de informare împotriva unei țări în timpul negocierilor cu acea țară este normală. „Nu tocmai standard, dar este ceva destul de comun”.

SUA ar dori să oprească operațiunile cibernetice împotriva Rusiei în timpul negocierilor pentru a evita „nemulțumiri de cealaltă parte”, a menționat el, dar oprirea ar fi temporară. The Record a spus că Cyber ​​Command a început să întocmească un raport pentru secretarul Apărării care enumeră toate „acțiunile sau misiunile în curs” oprite ca urmare a ordinului primit și care detaliază, de asemenea, ce potențiale amenințări mai vin din Rusia. Ar fi logic ca un nou secretar al Apărării să dorească să înțeleagă ce operațiuni se desfășoară, în prezent, împotriva Rusiei, dacă SUA se pregătesc să intre în negocieri cu aceasta. Demnitarul ar putea dori să oprească toate operațiunile în timpul negocierilor cu Rusia sau pur și simplu să le oprească pe cele care, dacă ar fi detectate, ar fi mai probabile să declanșeze furie din partea Rusiei. Totuși, o lectură mai puțin îngăduitoare ar fi că Administrația Trump caută să colecteze informații despre operațiunile ofensive cibernetice ale SUA împotriva Rusiei pentru a împărtăși aceste informații cu Rusia - în special operațiunile care ar putea ajuta Ucraina în război. Dar, în prezent, nu există nicio dovadă că acesta este scopul.

Dacă oprirea temporară a operațiunilor în timpul negocierilor este obișnuită, după cum a remarcat Kikta, oprirea planificării operațiunilor nu este. Acest lucru ar fi în afara normelor, a remarcat el. „Pentru că dacă încetați să planificați pe o perioadă lungă, lucrurile devin învechite și opțiunile nu sunt viabile dacă aveți nevoie brusc de ele.” Oprirea planificării pentru câteva zile nu este o problemă. Dar oprirea lor pentru câteva săptămâni este riscantă.

Ceea ce vrea să spună este că situația rețelelor și software-ul se pot schimba brusc și des. Dacă un adversar pur și simplu aplică un software patch unui sistem sau modifică o configurație de rețea, de exemplu, acest lucru îi poate scoate din sistem pe războinicii cibernetici din SUA și le poate îngreuna revenirea atunci când au nevoie. Dacă operatorii americani nu monitorizează în mod activ modificările aduse sistemelor rusești și nu lucrează pentru a găsi modalități alternative de a le accesa, ei nu vor putea să ia măsuri împotriva acestor sisteme dacă vor trebui, dintr-o dată, să facă acest lucru. Este același motiv pentru care hackerii de stat care lucrează pentru Rusia și China încearcă să mențină accesul persistent la rețelele americane și prezența în interiorul acestora.

Povestea publicată de The Record a ridicat mult mai multe întrebări decât a dat răspunsuri. De ce a emis Hegseth ordinul către Cyber ​​Command? A fost o comandă permanentă sau temporară? S-a aplicat operațiunilor cibernetice active în prezent împotriva Rusiei?

Unele dintre aceste întrebări au primit răspuns, a doua zi, printr-un articol publicat de Washington Post. Materialul, scris de Ellen Nakashima și Joe Menn, a contestat, într-o anumită privință, narațiunea The Record. Acesta a dezvăluit că planificarea operațiunilor cibernetice împotriva Rusiei nu a fost anulată, dar că Cyber ​​Command a primit ordin să oprească operațiunile active, în prezent, împotriva Rusiei. De asemenea, a menționat că pauza este menită să dureze doar atâta timp cât negocierile cu Rusia continuă. Washington Post a confirmat și că oprirea operațiunilor în timpul negocierilor este obișnuită.

„Am văzut de multe ori când suntem într-un fel de negocieri cu o altă națiune, mai ales dacă este una cu un adversar, că oprim operațiunile, exercițiile, chiar anulăm discursurile uneori”, a declarat pentru Washington Post generalul în retragere Charlie „Tuna” Moore, fost comandant adjunct al US Cyber ​​Command. „Este destul de obișnuit să întrerupeți orice lucru care ar putea să deraieze discuțiile.”

Așa că acum știm, cel puțin conform relatărilor actuale, că Cyber ​​Command a primit ordin să oprească temporar operațiunile cibernetice ofensive actuale împotriva Rusiei, dar că planificarea acestor operațiuni și pregătirea pentru ele continuă. Ce tipuri de operațiuni cibernetice sunt afectate?

După cum s-a menționat, operațiunile de spionaj ale NSA împotriva Rusiei nu sunt afectate de ordin. Dar ce ar putea fi afectat sunt operațiunile pe care Cyber ​​Command le-a desfășurat în numele Ucrainei în timpul războiului cu Rusia.

Potrivit unei relatări anterioare, din 2022, tipurile de operațiuni cibernetice ofensive pe care Cyber ​​Command le desfășura, probabil, pentru a ajuta Ucraina nu s-ar califica drept folosire a forței sau atac armat, așa cum este definit de dreptul internațional. Asta deoarece politica SUA cu privire la Ucraina de la începutul războiului a fost aceea de a nu se implica direct în conflict sau de a se angaja în vreo activitate care ar putea declanșa un răspuns al Rusiei într-un mod care să atragă SUA în conflict. Deci, ce operațiuni ar putea conduce Cyber ​​Command împotriva Rusiei, care ar putea fi oprite de acest nouă ordin?

Conform doctrinei militare americane - subliniată în Cyberspace Operations Joint Publication 3-12 - operațiunile cibernetice ofensive sunt „misiuni menite să proiecteze putere în și prin spațiul cibernetic străin” în sprijinul comandanților combatanți sau a obiectivelor naționale. Această activitate poate include atacuri cibernetice care vizează capabilitățile cibernetice ale unui adversar sau provoacă „efecte în cascadă atent controlate” în domeniul fizic - de exemplu, pentru a afecta sistemele de arme, capacitățile de comandă și control sau operațiunile logistice. Acestea sunt tipurile de acțiuni pe care SUA probabil nu le face împotriva Rusiei, deoarece ar însemna că SUA este direct implicată în conflict - deși este posibil ca SUA să fi furnizat Ucrainei informații despre vulnerabilitățile sistemelor rusești care ar putea să o ajute să efectueze astfel de operațiuni pe cont propriu.

Dar, cel mai probabil, operațiunile ofensive pe care le fac SUA sunt misiuni de exploatare cibernetică - acestea sunt operațiuni de colectare de informații și alte acțiuni care nu creează „efecte”, dar care pot ajuta la pregătirea pentru viitoare operațiuni militare care produc efecte. Aceasta ar putea fi recunoașterea, de exemplu, care vizează cartografierea sistemelor informatice și arhitecturii sau testarea sistemele pentru a descoperi vulnerabilitățile care ar putea fi utilizate în atacuri cibernetice împotriva Rusiei. Operațiunile ar putea include și atacuri menite să aibă un efect asupra sistemelor rusești, fără a le deteriora efectiv.

Dacă Rusia, de exemplu, ar încerca să submineze moralul ucrainean prin operațiuni de intelligence, SUA ar putea realiza o operațiune cibernetică pentru a împiedica capacitatea Rusiei de a trimite aceste mesaje. Ceea ce nu ar fi o utilizare a forței, în funcție de tehnica folosită de SUA și de efectul pe care l-a avut asupra sistemelor rusești.

Gary Corn, consilier general al US Cyber ​​Command din 2014 până în 2019 și acum director al programului Tech, Law and Security la American University, a oferit și un alt exemplu. El a descris o situație în care Cyber ​​Command ar putea descoperi numele de utilizator și parola unui administrator rus care folosește un sistem pentru a lansa atacuri cibernetice împotriva Ucrainei și să intre în acel sistem pentru a schimba parola și a bloca operatorii ruși.

O operațiune americană ar putea implica, de asemenea, ceva mai subtil, cum ar fi asigurarea că malware-ul lansat de Rusia nu funcționează, fie prin manipularea codului pe un sistem rusesc înainte de a fi lansat, fie făcând ceva pentru a bloca sau devia malware-ul de la ținta vizată.

The Record a sugerat că ordinul dat de Hegseth ar putea avea impact asupra așa-numitelor operațiuni de hunt forward efectuate de SUA în sprijinul Ucrainei pentru a-și apăra rețelele. Operațiunile hunt forward nu sunt, totuși, operațiuni „ofensive”. Acestea implică activități de vânătoare de amenințări în sistemele guvernamentale americane sau în sistemele unui partener guvernamental străin (cum ar fi Ucraina) pentru a găsi hackeri sau dovezi ale unui compromis în acele rețele. Astfel de operațiuni nu implică piratarea de către SUA a sistemelor rusești, dar oferă Ucrainei un avantaj.

Operatorii americani Cyber ​​Command au lucrat la Kiev alături de apărătorii cibernetici ucraineni în lunile premergătoare invadării Ucrainei de către Rusia, dar, de la începutul războiului, companii private precum Cisco, Mandiant, Microsoft și Eset au preluat, în mare măsură, rolul de a ajuta la apărarea rețelelor ucrainene. Deci, nu este clar în ce măsură Cyber ​​Command este încă activ în a susține Ucraina să-și apere rețelele. Dar dacă tot ar face acest lucru, ar putea opri participarea la această activitate în timpul negocierilor pentru a evita enervarea Rusiei, chiar dacă acestea nu sunt operațiuni ofensive.

Deci cam așa stau lucrurile deocamdată. Avem Comandamentul cibernetic al SUA care stopează, temporar, unele operațiuni cibernetice împotriva Rusiei, în timp ce Administrația încearcă să lanseze negocieri asupra războiului și avem întrebări fără răspuns despre dacă CISA va modifica activitatea pe care o desfășoară cu privire la amenințările cibernetice rusești sau va deveni mai puțin agresivă în urmărirea acestor amenințări.

Rămâne de văzut.

Update:

Bloomberg, 4 martie: Pentagonul a negat informațiile din presă conform cărora secretarul Apărării, Pete Hegseth, ar fi ordonat oprirea operațiunilor cibernetice ofensive împotriva Rusiei, potrivit unui înalt oficial. Hegseth nu a anulat și nici nu a amânat nicio operațiune cibernetică îndreptată împotriva țintelor ruse rău intenționate și nu a existat niciun ordin de încetare a acestei priorități.

Departamenul Apărării, 4 martie: „secretarul Apărării nu a anulat și nici nu a amânat nicio operațiune cibernetică îndreptată împotriva țintelor ruse rău intenționate și nu a existat niciun ordin de suspendare a acestei priorități”.

Un înalt oficial al Departamentului Apărării pentru Axios: „nu există o prioritate mai mare pentru secretarul Hegseth decât siguranța Warfighter-ului în toate operațiunile, inclusiv în domeniul cibernetic”.

Ellen Nakashima, jurnalist Washington Post, 5 martie: își menține poziția - personalul CyberCom a fost notificat cu privire la ordin pe 24 februarie. Nakashima crede că negarea Departamentului Apărării a vizat percepția publicului și, cum a scris anterior, spionajul NSA împotriva Rusiei va continua, la fel ca și planificarea operațiunilor cibernetice CyberCom. Aceasta înseamnă că SUA vor monitoriza în continuare Rusia și rețelele ruse pentru a dedectate semne ale unui eventual atac îndreptat împotriva SUA și aliaților săi.

Kurt Sanger, fost consilier general adjunct la Cyber ​​Command: „operațiunile cibernetice sunt eficiente pentru că pot avea un impact semnificativ asupra unei ținte fără a folosi forța. Folosirea forței împotriva unei națiuni țintă dă dreptul acelei națiuni să folosească forța ca răspuns. Abilitatea de a-ți afecta adversarul fără a folosi forța este un atu strategic enorm de valoros”. Operațiunile Comandamentului Cibernetic la acest nivel sunt o capacitate militară puternică ce poate fi eficientă în schimbarea deciziilor militare și politice ale unui adversar, fără a genera un răspuns violent.