I Belarus opererer hackere med kirurgisk presisjon og streng hemmeligholdelse. I Ukraina går de til verks med alt digitalt skyts de har. Like fullt har begge cybermotstandsgruppene et felles oppdrag: å undergrave de autoritære regimene som truer deres hjemland.
Arbeidet som utføres bak kulissene på cyberfronten får ofte lite oppmerksomhet. I realiteten arbeider både Ukrainas IT-hær og de belarusiske cyberpartisanene hardere enn noen gang for å bidra til å beseire regimene i Minsk og Moskva.
Belarus’ cyberpartisaner, et hackerkollektiv som ønsker å styrte landets autokratiske styre, har også blitt en uvurderlig alliert for Ukraina. De støtter kampen mot russisk aggresjon samtidig som de jobber for endring på hjemmebane.
Den belarusiske diktatoren Aleksandr Lukasjenko har uttrykt økende frykt for dataangrep og sa til sine ministre at han nå er «mer redd for cybervåpen enn for atomvåpen». I en oppsiktsvekkende ordre advarte han tjenestemenn om at dersom de ikke kunne sikre datasystemene sine, måtte de «gå tilbake til papir».
Frykten hans er ikke grunnløs. Cyberpartisanene, et undergrunnskollektiv av belarusiske hackere, vokste frem fra de massive protestene mot Lukasjenkos regime i 2020. Selv om de bare teller noen få dusin medlemmer, opererer de under streng hemmelighet for å beskytte identiteten sin og sikkerheten til slektninger som fortsatt bor i Belarus.
«Dessverre kan vi ikke offentliggjøre våre mest betydningsfulle og vellykkede hackerangrep. Av sikkerhetsgrunner må vi beskytte vår kontinuerlige tilgang til fiendens nettverk», sier Juliana Sjemetovets, talsperson for cyberpartisanene.
Bare en kjernegruppe har tilgang til partisanenes interne database og myndighet til å kontrollere innhentet informasjon. Nye medlemmer gjennomgår en grundig bakgrunnssjekk som skal sile ut infiltratører fra belarusisk eller russisk etterretning.
Komplekse operasjoner
I januar 2022, bare uker før Russlands fullskalainvasjon, hacket cyberpartisanene Belarusjernbane for å forstyrre russiske troppeforflytninger til Ukrainas grense, kamuflert som «felles øvelser». Angrepet tvang jernbanen til å gå tilbake til papirbaserte rutiner. Innsatsen fortsatte i de første krigsukene og påvirket russiske offensiver rundt Kyiv.
Sjemetovets legger til: «En annen større aksjon rettet seg mot Grodno Azot, Belarus’ største statlige gjødselprodusent. Angrepet lammet anleggets energiproduksjon, og vi fikk tilgang til interne kameraer, dokumenter og e-poster.» Hun fremhever videre at cyberpartisanene «også trengte inn i varmeanlegg som ikke engang var koblet til internett. Denne komplekse operasjonen var en del av vårt press for å få regimet til å løslate politiske fanger.»
Les også: Fra Vilnius til verden: En lekse i motstand mot kinesisk desinformasjon🔒
«Vi vet at vi er en av de fremste organisasjonene regimet aktivt forsøker å motarbeide og undergrave. Det tar vi svært alvorlig,» sier Sjemetovets. Gruppen bistår også «den belarusiske diasporaen og ulike organisasjoner med identitetsverifisering, sikkerhetsveiledning og råd om digital beste praksis». Partisanene yter dessuten teknisk støtte til Kastus Kalinovskij-regimentet, en belarusisk frivillig enhet som nå kjemper sammen med de ukrainske styrkene.
Sterke samarbeidsnettverk
Cybersikkerhetseksperter har merket seg gruppens avanserte arbeidsmetoder. Ifølge Vasileios Karagiannopoulos, førsteamanuensis i cyberkriminalitet og cybersikkerhet ved University of Portsmouth, «ser cyberpartisanene ut til å ha en gjennomtenkt organisasjonsstruktur med ulik kompetanse og sterke samarbeidsnettverk innen landets bredere aktivistmiljø».
«De håndterer medieoppmerksomheten sin godt gjennom talspersonen, noe som er svært viktig for å gjøre kravene og aktivitetene deres kjent og anerkjent,» sier han. «Og de ser ut til å ha svært varierte taktiske valg for å maksimere effektiviteten, men også kanskje for å følge visse etiske retningslinjer fra de tidlige hacktivistgruppene.»
«De fremstår som et mer konkret kollektiv med nasjonalt fokus, men det har ikke hindret dem i å engasjere seg i aktiviteter som indirekte henger sammen med de nasjonale målene.»
De to gruppene benytter ulike taktikker; den ukrainske siden skyter ofte med digitalt skyts fra alle kanter. Ukrainas IT-hær spesialiserer seg på omfattende tjenestenektangrep (DDoS) som forstyrrer driften og lammer nettverk, noe som fører til omfattende avbrudd over hele Russland.
I en av deres siste aksjoner mot russisk teleinfrastruktur skrev kanalen på Telegram: «En bølge av angrep mot RUs ryggrads-teleselskaper lammet internett i Irkutsk-regionen. Raketa, DreamNet, Baikal Teleport—alle har offentlig bekreftet DDoS-angrep, nede tjenester og strømmer av brukerklager. Mobildata, IPTV, VoIP—borte. ‘Vi har vært uten internett i tre dager,’ skrev en bruker.»
Selv om Ukrainas IT-hær ikke lenger får samme internasjonale medieoppmerksomhet som i begynnelsen, er den fortsatt en kraft å regne med. Ifølge cybersikkerhetsekspert Pascal Geenens driver IT-hæren fremdeles en dynamisk nettbasert DDoS-tavle hvor de beste bidragsyterne opererer infrastruktur med nær 350 vertsmaskiner ved hjelp av automatiseringsverktøy som gruppen selv stiller til rådighet.
Telegram-kanalen legger jevnlig ut oppdateringer som ikke bare fremhever DDoS-angrep, men også innbrudd og datatyveri. Geenens beskriver IT-hæren som en uoffisiell forlengelse av Ukrainas forsvar, som hjelper bakkestyrker med etterretning fra datainnbrudd og bruker tjenestenektangrep som røyktepper for å holde russiske forsvarssystemer og institusjoner under konstant press.
Selv om den internasjonale deltakelsen har gått ned sammenlignet med 2022 og tidlig 2023, er kjernebidragsyterne som gjorde størst nytte i startfasen, fremdeles aktive og dedikerte.
Mål med høy verdi
En grunn til IT-hærens vedvarende styrke er den lave terskelen for å bli med. Geenens påpeker at gruppen har videreutviklet eksisterende DDoS-verktøy og pakket dem for enkel installasjon, med detaljert dokumentasjon og løpende støtte via Telegram. Denne tilgjengeligheten har demokratisert deltakelsen i cyberoperasjoner og gjort det mulig for et bredere publikum å bidra til Ukrainas digitale forsvar.
Les også: Skyggene bak skjermene: Avsløring av russisk desinformasjon
Russlands faste representant i FN, Vasilij Nebenzja, har til og med anklaget Ukrainas IT-hær for å føre en koordinert desinformasjonskampanje mot Russland. Det russiske cybersikkerhetsfirmaet F6 identifiserte Ukrainas IT-hær som den mest aktive hackergruppen mot russisk digital infrastruktur og rapporterte en økning på minst 50 prosent i DDoS-angrep i 2024.
«Hvis jeg skulle oppsummere 2024 med ett ord, er det fokus. Vi gikk bort fra brede angrep og begynte å slå til mot mål med langt større betydning. Tallene taler for seg selv: Vi konsentrerte oss om 79 sentrale IP-adresser, og de anslåtte økonomiske tapene vi påførte var nesten ti ganger høyere enn i 2023—omtrent 1,2 milliarder amerikanske dollar i vårt laveste estimat,» sier Ted, talsperson for IT-hæren.
«Vi holder oss til denne finslipte tilnærmingen: mål med stor effekt fremfor masseforstyrrelser,» fortsetter han. «I stedet for å slå ut tilfeldige nettsteder i noen timer, sikter vi på å holde verdifulle ressurser nede i dagevis. Bare i januar hadde vi to IP-er som var ute av drift i fem dager, noe som er en betydelig forbedring fra tidligere operasjoner.»
Ted påpeker også at «våre bånd til etterretningstjenester er blitt sterkere, og det bringer oss naturlig nok nærmere behovene på slagmarken. Jo mer innsatsen vår kan samsvare med Ukrainas overordnede strategi, desto bedre.»
«Vi ser også forbi Ukrainas umiddelbare behov og tenker på det større bildet. I år vil vi dokumentere og systematisere alt vi har lært og lage en håndbok for cybergeriljaoperasjoner. Ideen er enkel: Hvis et land noen gang havner i en situasjon som Ukrainas, skal de slippe å begynne fra bunnen av.»
Han avslutter: «Vi oppfordrer NATO og allierte regjeringer – dette er deres sjanse til å lære av vår erfaring og være klare til å starte IT-hær-lignende cybermotstand om nødvendig.»
