SEKTOR 2022 — Toronto — Esimesed lasud Venemaa-Ukraina kübersõjas kõlasid praktiliselt 23. veebruaril, kui päev enne Vene sõjaväelaste Ukrainasse siirdumist korraldati organisatsioonide vastu hävitavaid rünnakuid. Microsoft oli piltlikult öeldes "seal", jälgis arenguid - ja selle teadlased olid kohe mures.
Tehnikagigandil olid eelpositsioneeritud andurid riigi erinevatesse avalikesse ja eravõrkudesse, mis paigaldati eelmiste küberrünnakute järel koos Ukraina intsidentide taastamise meeskondadega. Nad töötasid endiselt ja võtsid osa murettekitavast lumepallist, kui Vene armee piiril kogunes.
"Nägime rünnakuid vähemalt 200 erineva valitsussüsteemi vastu, mis hakkasid erinevates piirkondades käima, mille me Ukrainas tuvastasime," ütles Microsoft Kanada riikliku julgeoleku ametnik John Hewie, astus sel nädalal Torontos SecTor 2022 lavale. “Ukraina kaitsmine: kübersõja esimesed õppetunnid. "
Ta lisas: "Samuti olime juba loonud suhtlusliini kõrgete Ukraina ametnikega üle valitsuse ja ka Ukraina organisatsioonide ning meil oli võimalik jagada ohuluuret edasi-tagasi."
Kõigest sellest teabest selgus algselt see, et küberrünnakute laine oli suunatud valitsusasutustele, enne kui liikus edasi finantssektorisse, seejärel IT-sektorisse, enne kui konkreetselt nulliti välja andmekeskused ja IT-ettevõtted, mis toetavad riigi valitsusasutusi. Aga see oli alles algus.
Kübersõda: füüsilise kahju ähvardamine
Sõja edenedes küberpilt halvenes, sest kriitiline infrastruktuur ja süsteemid toetasid sõjategevust. sattus sihikule.
Varsti pärast füüsilise sissetungi algust leidis Microsoft, et suudab ka kriitilise infrastruktuuri sektori küberrünnakuid korreleerida kineetiliste sündmustega. Näiteks kui Venemaa kampaania liikus märtsis Donbassi piirkonnas, jälgisid teadlased koordineeritud klaasipuhastite rünnakuid transpordilogistikasüsteemide vastu, mida kasutatakse sõjaliseks liikumiseks ja humanitaarabi kohaletoimetamiseks.
Ja Ukraina tuumarajatiste sihtimine kübertegevusega, et pehmendada sihtmärki enne sõjalisi sissetungi, on Microsofti teadlased kogu sõja vältel järjekindlalt näinud.
"Oli selline ootus, et meil on suur NotPetya-laadne sündmus, mis levib ka mujale maailma, kuid seda ei juhtunud," märkis Hewie. Selle asemel on rünnakud olnud väga kohandatud ja suunatud organisatsioonidele viisil, mis piiras nende ulatust ja ulatust – näiteks kasutades privilegeeritud kontosid ja rühmapoliitikat pahavara juurutamiseks.
"Me alles õpime ja proovime jagada teavet seal tehtud toimingute ulatuse ja ulatuse kohta ning selle kohta, kuidas nad digitaalset mõnel tähendusrikkal ja murettekitaval viisil võimendavad," ütles ta.
Ohtlike APT-de küllusesarve põllul
Microsoft on järjekindlalt teatanud sellest, mida ta on näinud Venemaa-Ukraina konfliktis, peamiselt seetõttu, et selle uurijad leidsid, et "seal aset leidnud rünnakutest teatati tohutult vähem," ütles Hewie.
Ta lisas mitmed mängijad Ukrainat sihivad Venemaa rahastavad arenenud püsivad ohud (APT), mis on osutunud äärmiselt ohtlikuks nii spionaaži vaatenurgast kui ka varade füüsilise lõhkumise seisukohalt, mida ta nimetab "hirmutavateks" võimeteks.
"Näiteks strontsium oli vastutav DNC rünnakud tagasi 2016. aastal; nad on meile hästi teada andmepüügi ja konto ülevõtmise poolest – ja oleme seda teinud häirivad tegevused nende taristule,” selgitas ta. "Siis on Iridium ehk Sandworm, mis on üksus, mis on omistatud mõnele varasemale [Black Energy] rünnakule. elektrivõrk Ukrainasja nad vastutavad ka NotPetya eest. See on väga kogenud tegija, kes on tegelikult spetsialiseerunud tööstuslike juhtimissüsteemide sihtimisele.
Teiste seas kutsus ta välja ka Nobeliumi, APT eest vastutava SolarWindsi tarneahela rünnak. "Nad on selle aasta jooksul tegelenud üsna suure spionaažiga mitte ainult Ukraina, vaid Ukrainat toetavate lääne demokraatiate vastu," ütles Hewie.
Poliitika väljavõtted Venemaa-Ukraina küberkonfliktist
Teadlastel pole hüpoteesi, miks rünnakud on nii kitsaks jäänud, kuid Hewie märkis, et olukorra poliitilisi tagajärgi tuleks vaadelda väga-väga laiaulatuslikena. Kõige tähtsam on see, et on selge, et edaspidi on vaja kehtestada kübertegevuse normid.
See peaks kujunema kolmes erinevas valdkonnas, alustades "digitaalsest Genfi konventsioonist", ütles ta: "Maailm on välja töötatud keemiarelvade ja maamiinide normide ümber ning me peaksime seda rakendama rahvusriikide osalejate asjakohase käitumise suhtes küberruumis. .”
Selle jõupingutuse teine osa seisneb küberkuritegevuse seaduste ühtlustamises või propageerimises, et riigid töötaksid välja küberkuritegevuse seadused. "Nii on vähem turvasadamaid, kus need kuritegelikud organisatsioonid saaksid karistamatult tegutseda," selgitab ta.
Kolmandaks ja laiemalt võttes on demokraatia kaitsmisel ja demokraatlike riikide hääletusprotsessil küber jaoks olulisi tagajärgi, kuna see võimaldab kaitsjatel juurdepääsu ohtude katkestamiseks sobivatele tööriistadele, ressurssidele ja teabele.
"Olete näinud, kuidas Microsoft teeb aktiivseid küberoperatsioone loovate tsiviilkohtuvaidluste toel, tehes koostööd õiguskaitseorganitega ja paljude turvaringkondadega – näiteks Trikkbott or Emotet ja muud tüüpi häirivad tegevused, ”ütles Hewie, sai kõik võimalikuks seetõttu, et demokraatlikud valitsused ei hoia teavet vaka all. "See on laiem pilt."
Teine võimalus on kaitse poolel; pilvemigratsiooni tuleks hakata nägema kriitilise tähtsusega osana kriitilise infrastruktuuri kaitsmisel kineetilise sõja ajal. Hewie tõi välja, et Ukraina kaitse teeb keeruliseks asjaolu, et suurem osa sealsest infrastruktuurist töötab kohapeal, mitte pilves.
"Ja kuigi nad on ilmselt üks parimaid riike, kes kaitsevad Venemaa rünnakute eest mitme aasta jooksul, tegelevad nad siiski enamasti kohapeal, nii et see on nagu käest-kätte võitlus," ütles Hewie. "See on üsna keeruline."
