SEKTOR 2022 – Toronto – Die ersten Schüsse im russisch-ukrainischen Cyberkrieg wurden praktisch am 23. Februar abgefeuert, als am Tag vor dem Einmarsch russischer Militärtruppen in die Ukraine zerstörerische Angriffe auf Organisationen gestartet wurden. Microsoft war im übertragenen Sinne „da“ und beobachtete die Entwicklungen – und seine Forscher waren sofort besorgt.
Der Technologieriese hatte zufällig Sensoren in verschiedenen öffentlichen und privaten Netzwerken im Land vorpositioniert, die in Zusammenarbeit mit ukrainischen Teams zur Wiederherstellung von Vorfällen nach früheren Cyberangriffen installiert wurden. Sie funktionierten immer noch und nahmen eine breite Schneise besorgniserregender Schneeballaktivitäten auf, als sich die russische Armee an der Grenze versammelte.
„Wir haben gesehen, wie Angriffe auf mindestens 200 verschiedene Regierungssysteme in verschiedenen Bereichen ausgeführt wurden, die wir in der Ukraine entdeckt haben“, sagte John Hewie, National Security Officer bei Microsoft Canada, der diese Woche in Toronto auf der Bühne der SecTor 2022 in einer Sitzung mit dem Titel stand „Verteidigung der Ukraine: Frühe Lehren aus dem Cyberkrieg"
Er fügte hinzu: „Wir hatten auch bereits eine Kommunikationslinie mit hochrangigen ukrainischen Beamten in der gesamten Regierung und auch mit Organisationen in der Ukraine eingerichtet – und wir konnten Bedrohungsinformationen hin und her austauschen.“
Aus all diesen Informationen ging zunächst hervor, dass die Welle von Cyberangriffen auf Regierungsbehörden abzielte, bevor sie auf den Finanzsektor überging, dann auf den IT-Sektor, bevor sie sich speziell auf Rechenzentren und IT-Unternehmen konzentrierte, die Regierungsbehörden im Land unterstützen. Aber das war erst der Anfang.
Cyber-Warfare: Drohender physischer Schaden
Im Laufe des Krieges verschlechterte sich das Cyber-Bild, da kritische Infrastrukturen und Systeme früher die Kriegsanstrengungen unterstützten landete im Fadenkreuz.
Kurz nach Beginn der physischen Invasion stellte Microsoft fest, dass es auch Cyberangriffe im Bereich kritischer Infrastrukturen mit kinetischen Ereignissen korrelieren konnte. Als sich beispielsweise die russische Kampagne im März in der Donbass-Region bewegte, beobachteten Forscher koordinierte Wiper-Angriffe auf Transportlogistiksysteme, die für militärische Bewegungen und die Lieferung humanitärer Hilfe verwendet wurden.
Und das Zielen von Cyber-Aktivitäten auf Nuklearanlagen in der Ukraine, um ein Ziel vor militärischen Übergriffen zu schwächen, ist etwas, das Microsoft-Forscher während des gesamten Krieges immer wieder beobachtet haben.
„Es gab diese Erwartung, dass wir ein großes NotPetya-ähnliches Ereignis haben würden, das sich auf den Rest der Welt ausbreiten würde, aber das ist nicht passiert“, bemerkte Hewie. Stattdessen waren die Angriffe sehr maßgeschneidert und zielten auf Organisationen auf eine Weise ab, die ihren Umfang und Umfang einschränkte – zum Beispiel die Verwendung privilegierter Konten und die Verwendung von Gruppenrichtlinien zur Bereitstellung der Malware.
„Wir lernen immer noch dazu und versuchen, einige Informationen über den Umfang und Umfang der dort beteiligten Operationen auszutauschen und wie sie die Digitalisierung auf sinnvolle und beunruhigende Weise nutzen“, sagte er.
Ein Füllhorn gefährlicher APTs auf dem Feld
Microsoft hat immer wieder darüber berichtet, was es im Russland-Ukraine-Konflikt gesehen hat, vor allem, weil seine Forscher der Meinung waren, dass „die Angriffe, die dort stattfanden, bei weitem nicht gemeldet wurden“, sagte Hewie.
Er fügte hinzu, mehrere Spieler Angriffe auf die Ukraine sind bekannte, von Russland gesponserte Advanced Persistent Threats (APTs), die sich als äußerst gefährlich erwiesen haben, sowohl aus Spionageperspektive als auch in Bezug auf die physische Störung von Vermögenswerten, die er als eine Reihe von „beängstigenden“ Fähigkeiten bezeichnet.
„Strontium war zum Beispiel dafür verantwortlich die DNC-Angriffe zurück im Jahr 2016; Sie sind uns in Bezug auf Phishing und Kontoübernahmen bekannt – und wir haben es getan Störungsaktivitäten ihrer Infrastruktur“, erklärte er. „Dann gibt es Iridium, auch bekannt als Sandworm, das ist die Entität, die einigen der früheren [Black Energy]-Angriffe gegen die zugeschrieben wird Stromnetz in der Ukraine, und sie sind auch für NotPetya verantwortlich. Dies ist ein sehr raffinierter Akteur, der sich tatsächlich darauf spezialisiert hat, industrielle Steuerungssysteme ins Visier zu nehmen.“
Unter anderem rief er auch Nobelium, die dafür zuständige APT, aus Angriff auf die Lieferkette von SolarWinds. „Sie haben im Laufe dieses Jahres nicht nur gegen die Ukraine, sondern auch gegen westliche Demokratien, die die Ukraine unterstützen, ziemlich viel Spionage betrieben“, sagte Hewie.
Politische Erkenntnisse aus dem russisch-ukrainischen Cyber-Konflikt
Forscher haben keine Hypothese dafür, warum die Angriffe so eng geblieben sind, aber Hewie bemerkte, dass die politischen Auswirkungen der Situation als sehr, sehr weitreichend angesehen werden sollten. Vor allem ist klar, dass es zwingend erforderlich ist, Normen für das Cyber-Engagement in der Zukunft festzulegen.
Dies sollte in drei verschiedenen Bereichen Gestalt annehmen, beginnend mit einer „digitalen Genfer Konvention“, sagte er: „Die Welt wird um Normen für chemische Waffen und Landminen herum entwickelt, und wir sollten dies auf das angemessene Verhalten nationalstaatlicher Akteure im Cyberspace anwenden .“
Der zweite Teil dieser Bemühungen besteht in der Harmonisierung von Gesetzen zur Cyberkriminalität – oder in der Befürwortung, dass Länder überhaupt Gesetze zur Cyberkriminalität entwickeln. „Auf diese Weise gibt es weniger sichere Häfen für diese kriminellen Organisationen, um ungestraft zu operieren“, erklärt er.
Drittens und allgemeiner gesagt, hat die Verteidigung der Demokratie und des Abstimmungsprozesses für demokratische Länder wichtige Auswirkungen auf das Internet, da sie den Verteidigern Zugang zu geeigneten Werkzeugen, Ressourcen und Informationen zur Abwehr von Bedrohungen ermöglicht.
„Sie haben gesehen, wie Microsoft aktive Cyberoperationen durchgeführt hat, mit der Unterstützung kreativer Zivilprozesse, mit Partnerschaften mit Strafverfolgungsbehörden und vielen in der Sicherheitsgemeinschaft – Dinge wie Trickbot or Emotet und andere Arten von Disruptionsaktivitäten“, so Hewie, alles möglich, weil demokratische Regierungen Informationen nicht unter Verschluss halten. „Das ist das Gesamtbild.“
Ein weiterer Imbiss ist auf der Verteidigungsseite; Die Cloud-Migration sollte allmählich als kritischer Teil der Verteidigung kritischer Infrastrukturen während der kinetischen Kriegsführung angesehen werden. Hewie wies darauf hin, dass die ukrainische Verteidigung durch die Tatsache erschwert wird, dass der Großteil der Infrastruktur vor Ort und nicht in der Cloud betrieben wird.
„Obwohl sie wahrscheinlich eines der besten Länder in Bezug auf die Verteidigung gegen russische Angriffe über mehrere Jahre sind, erledigen sie die Dinge immer noch hauptsächlich vor Ort, also ist es wie ein Nahkampf.“ sagte Hewie. „Es ist ziemlich herausfordernd.“
