SECTOR 2022 — Toronto — Los primeros disparos en la guerra cibernética Rusia-Ucrania se dispararon virtualmente el 23 de febrero, cuando se lanzaron ataques destructivos contra organizaciones el día antes de que las tropas militares rusas ingresaran a Ucrania. Microsoft estaba figurativamente "allí", observando los desarrollos, y sus investigadores se preocuparon de inmediato.
El gigante tecnológico tenía sensores preposicionados dentro de varias redes públicas y privadas en el país, instalados junto con equipos ucranianos de recuperación de incidentes a raíz de ataques cibernéticos anteriores. Todavía estaban funcionando y recogieron una amplia franja de actividad preocupante y creciente a medida que el ejército ruso se acumulaba en la frontera.
“Vimos ataques contra al menos 200 sistemas gubernamentales diferentes que comenzaron a ejecutarse en diferentes áreas que detectamos en Ucrania”, dijo John Hewie, oficial de seguridad nacional de Microsoft Canadá, al subir al escenario en SecTor 2022 esta semana en Toronto, en una sesión titulada “Defendiendo a Ucrania: primeras lecciones de la guerra cibernética."
Agregó: “También ya habíamos establecido una línea de comunicación con altos funcionarios ucranianos en todo el gobierno y también organizaciones en Ucrania, y pudimos compartir inteligencia de amenazas de un lado a otro”.
Lo que surgió inicialmente de toda esa información fue que la ola de ataques cibernéticos estaba dirigida a las agencias gubernamentales, antes de pasar al sector financiero, luego al sector de TI, antes de concentrarse específicamente en los centros de datos y las empresas de TI que respaldan a las agencias gubernamentales en el país. Pero ese era sólo el inicio.
Guerra Cibernética: Amenaza de Daño Físico
A medida que avanzaba la guerra, la imagen cibernética empeoró, porque la infraestructura y los sistemas críticos se utilizaron para apoyar el esfuerzo bélico. terminó en la mira.
Poco después del inicio de la invasión física, Microsoft descubrió que también podía correlacionar los ataques cibernéticos en el sector de la infraestructura crítica con eventos cinéticos. Por ejemplo, mientras la campaña rusa se movía por la región de Donbass en marzo, los investigadores observaron ataques de limpiaparabrisas coordinados contra los sistemas de logística de transporte utilizados para el movimiento militar y la entrega de ayuda humanitaria.
Y apuntar a las instalaciones nucleares en Ucrania con actividad cibernética para suavizar un objetivo antes de las incursiones militares es algo que los investigadores de Microsoft han visto constantemente durante la guerra.
“Había la expectativa de que íbamos a tener un gran evento similar a NotPetya que se extendería al resto del mundo, pero eso no sucedió”, señaló Hewie. En cambio, los ataques han sido muy personalizados y dirigidos a las organizaciones de una manera que restringió su alcance y escala, por ejemplo, usando cuentas privilegiadas y usando la Política de grupo para implementar el malware.
“Todavía estamos aprendiendo y estamos tratando de compartir información sobre el alcance y la escala de las operaciones que han estado involucradas allí y cómo están aprovechando lo digital de algunas maneras significativas y preocupantes”, dijo.
Una cornucopia de APT peligrosos en el campo
Microsoft ha informado constantemente sobre lo que ha visto en el conflicto entre Rusia y Ucrania, en gran parte porque sus investigadores sintieron que "los ataques que estaban ocurriendo allí no se informaron en gran medida", dijo Hewie.
Él agregó que varios de los jugadores apuntando a Ucrania se conocen amenazas persistentes avanzadas (APT) patrocinadas por Rusia que han demostrado ser extremadamente peligrosas, tanto desde la perspectiva del espionaje como en términos de la interrupción física de los activos, que él llama un conjunto de capacidades "aterradoras".
“El estroncio, por ejemplo, fue responsable de los ataques del DNC en 2016; los conocemos bien en términos de phishing, apropiación de cuentas, y lo hemos hecho actividades de disrupción a su infraestructura”, explicó. “Luego está Iridium, también conocido como Sandworm, que es la entidad que se atribuye a algunos de los ataques anteriores [Black Energy] contra el Red eléctrica en Ucrania, y también son responsables de NotPetya. Este es un actor muy sofisticado que en realidad se especializa en apuntar a sistemas de control industrial”.
Entre otros, también llamó a Nobelium, la APT responsable de la Ataque a la cadena de suministro transmitido por SolarWinds. “Han estado involucrados en bastante espionaje no solo contra Ucrania, sino también contra las democracias occidentales que apoyan a Ucrania a lo largo de este año”, dijo Hewie.
Conclusiones políticas del ciberconflicto entre Rusia y Ucrania
Los investigadores no tienen una hipótesis de por qué los ataques se han mantenido tan limitados, pero Hewie señaló que las ramificaciones políticas de la situación deben verse como muy, muy amplias. Lo que es más importante, está claro que es imperativo establecer normas para el compromiso cibernético en el futuro.
Esto debería tomar forma en tres áreas distintas, comenzando con una “Convención de Ginebra digital”, dijo: “El mundo se desarrolla en torno a normas para armas químicas y minas terrestres, y deberíamos aplicar eso al comportamiento apropiado en el ciberespacio por parte de los actores del estado-nación. .”
La segunda parte de ese esfuerzo radica en armonizar las leyes sobre delitos cibernéticos, o abogar por que los países desarrollen leyes sobre delitos cibernéticos en primer lugar. “De esa manera, hay menos puertos seguros para que estas organizaciones criminales operen con impunidad”, explica.
En tercer lugar, y en términos más generales, defender la democracia y el proceso de votación de los países democráticos tiene ramificaciones importantes para la cibernética, ya que permite que los defensores tengan acceso a las herramientas, los recursos y la información apropiados para desbaratar las amenazas.
“Ha visto a Microsoft realizar operaciones cibernéticas activas, con el respaldo de litigios civiles creativos, con una asociación con las fuerzas del orden y muchos en la comunidad de seguridad, cosas como Trickbot or Emotet y otros tipos de actividades disruptivas”, según Hewie, todo ello posible gracias a que los gobiernos democráticos no mantienen la información en secreto. “Ese es el panorama más amplio”.
Otra comida para llevar está en el lado de la defensa; La migración a la nube debe comenzar a verse como una pieza fundamental de la defensa de la infraestructura crítica durante la guerra cinética. Hewie señaló que la defensa ucraniana se complica por el hecho de que la mayor parte de la infraestructura se ejecuta en las instalaciones, no en la nube.
“Y por mucho que probablemente sean uno de los mejores países en términos de defensa contra los ataques rusos durante varios años, todavía están haciendo las cosas principalmente en las instalaciones, por lo que es como un combate cuerpo a cuerpo”. dijo Hewie. “Es bastante desafiante”.
- blockchain
- carteras de criptomonedas
- intercambio crypto
- seguridad cibernética
- ciberdelincuentes
- La Ciberseguridad
- Lectura oscura
- departamento de seguridad nacional
- billeteras digitales
- cortafuegos
- Kaspersky
- el malware
- Mcafee
- NexBLOC
- Platón
- platón ai
- Inteligencia de datos de Platón
- Juego de Platón
- PlatónDatos
- juego de platos
- VPN
- seguridad del sitio web
