SECTOR 2022 — Toronto — De første skud i cyberkrigen mellem Rusland og Ukraine blev affyret praktisk talt den 23. februar, da destruktive angreb blev iværksat mod organisationer dagen før russiske militærtropper rykkede ind i Ukraine. Microsoft var billedligt talt "der" og observerede udviklingen - og dets forskere var straks bekymrede.
Teknikgiganten havde tilfældigvis forudplacerede sensorer inden for forskellige offentlige og private netværk i landet, installeret i samarbejde med ukrainske hændelsesteams i kølvandet på tidligere cyberangreb. De fungerede stadig, og optog en lang række bekymrende sneboldsaktivitet, da den russiske hær samlede sig på grænsen.
"Vi så angreb mod mindst 200 forskellige regeringssystemer begynde at køre i forskellige områder, som vi opdagede i Ukraine," sagde John Hewie, national sikkerhedsofficer hos Microsoft Canada, på scenen ved SecTor 2022 i denne uge i Toronto, i en session med titlen “Forsvar af Ukraine: Tidlige lektioner fra cyberkrigen".
Han tilføjede: "Vi havde også allerede etableret en kommunikationslinje med højtstående ukrainske embedsmænd på tværs af regeringen og også organisationer i Ukraine - og vi var i stand til at dele trusselsefterretninger frem og tilbage."
Det, der fremgik af al den information i første omgang, var, at bølgen af cyberangreb var rettet mod offentlige myndigheder, før de gik videre til den finansielle sektor, derefter IT-sektoren, før der specifikt blev fokuseret på datacentre og it-virksomheder, der støtter statslige myndigheder i landet. Men det var kun begyndelsen.
Cyberkrigsførelse: truende fysisk skade
Efterhånden som krigen fortsatte, forværredes cyberbilledet, fordi kritisk infrastruktur og systemer brugte til at understøtte krigsindsatsen endte i trådkorset.
Kort efter begyndelsen af den fysiske invasion fandt Microsoft ud af, at det også var i stand til at korrelere cyberangreb i den kritiske infrastruktursektor med kinetiske hændelser. For eksempel, da den russiske kampagne bevægede sig rundt i Donbas-regionen i marts, observerede forskere koordinerede viskerangreb mod transportlogistiksystemer, der blev brugt til militær bevægelse og levering af humanitær hjælp.
Og at målrette atomanlæg i Ukraine med cyberaktivitet for at blødgøre et mål forud for militære angreb er noget, som Microsoft-forskere har set konsekvent gennem hele krigen.
"Der var denne forventning om, at vi skulle have en stor NotPetya-lignende begivenhed, der ville sprede sig ud i resten af verden, men det skete ikke," bemærkede Hewie. I stedet er angrebene blevet meget skræddersyet og målrettet mod organisationer på en måde, der begrænsede deres omfang og omfang - for eksempel ved at bruge privilegerede konti og bruge gruppepolitik til at implementere malwaren.
"Vi lærer stadig, og vi forsøger at dele nogle oplysninger om omfanget og omfanget af de operationer, der har været involveret der, og hvordan de udnytter det digitale på nogle meningsfulde og bekymrende måder," sagde han.
Et overflødighedshorn af farlige APT'er på banen
Microsoft har konsekvent rapporteret om, hvad det er set i Rusland-Ukraine-konflikten, hovedsageligt fordi dets forskere mente, at "de angreb, der foregik der, blev stærkt underrapporteret," sagde Hewie.
Han tilføjede det flere af spillerne rettet mod Ukraine er kendte Rusland-sponsorerede avancerede vedvarende trusler (APT'er), som har vist sig at være ekstremt farlige, både fra et spionageperspektiv såvel som i form af fysisk afbrydelse af aktiver, som han kalder et sæt "skræmmende" kapaciteter.
”Strontium stod for eksempel for DNC-angrebene tilbage i 2016; de er velkendte for os med hensyn til phishing, kontoovertagelse – og det har vi gjort disruptionsaktiviteter til deres infrastruktur,” forklarede han. "Så er der Iridium, alias Sandworm, som er den enhed, der tilskrives nogle af de tidligere [Black Energy] angreb mod elnettet i Ukraine, og de er også ansvarlige for NotPetya. Dette er en meget sofistikeret aktør, der faktisk har specialiseret sig i at målrette industrielle kontrolsystemer."
Blandt andre kaldte han også Nobelium, APT ansvarlig for SolarWinds-båret forsyningskædeangreb. "De har været engageret i en del spionage mod ikke kun Ukraine, men mod vestlige demokratier, der støtter Ukraine i løbet af dette år," sagde Hewie.
Politikudtag fra den russisk-ukrainske cyberkonflikt
Forskere har ikke en hypotese for, hvorfor angrebene er forblevet så snævre, men Hewie bemærkede, at de politiske konsekvenser af situationen skal ses som meget, meget brede. Vigtigst af alt er det klart, at der er et bydende nødvendigt at etablere normer for cyber-engagement fremadrettet.
Dette bør tage form på tre forskellige områder, begyndende med en "digital Genève-konvention," sagde han: "Verden er udviklet omkring normer for kemiske våben og landminer, og vi bør anvende det på passende adfærd i cyberspace af nationalstatsaktører ."
Den anden del af denne indsats ligger i at harmonisere love om cyberkriminalitet - eller at slå til lyd for, at lande udvikler love om cyberkriminalitet i første omgang. "På den måde er der færre sikre havne for disse kriminelle organisationer at operere ustraffet," forklarer han.
For det tredje, og mere bredt set, har forsvar af demokrati og afstemningsprocessen for demokratiske lande vigtige konsekvenser for cyber, fordi det giver forsvarere adgang til passende værktøjer, ressourcer og information til at forstyrre trusler.
"Du har set Microsoft udføre aktive cyberoperationer med støtte fra kreative civile retssager, med partnerskab med retshåndhævelse og mange i sikkerhedssamfundet - ting som f.eks. trickbot or Emotet og andre former for disruptionsaktiviteter,” ifølge Hewie, alt sammen gjort muligt, fordi demokratiske regeringer ikke holder information skjult. "Det er det bredere billede."
En anden takeaway er på forsvarssiden; skymigrering bør begynde at blive set som en kritisk del af forsvaret af kritisk infrastruktur under kinetisk krigsførelse. Hewie påpegede, at det ukrainske forsvar er kompliceret af det faktum, at det meste af infrastrukturen der køres på stedet, ikke i skyen.
"Og så meget som de sandsynligvis er et af de bedste lande med hensyn til at forsvare sig mod russiske angreb over en årrække, så laver de stadig for det meste tingene på stedet, så det er som hånd-til-hånd kamp," sagde Hewie. "Det er ret udfordrende."
