بخش 2022 — تورنتو — اولین گلوله ها در جنگ سایبری روسیه و اوکراین تقریباً در 23 فوریه شلیک شد، زمانی که حملات مخربی علیه سازمان ها یک روز قبل از حرکت نیروهای نظامی روسیه به اوکراین انجام شد. مایکروسافت به معنای واقعی "آنجا" بود و تحولات را مشاهده می کرد - و محققان آن بلافاصله نگران شدند.
این غول فناوری اتفاقاً حسگرهایی از پیش تعیین شده در شبکههای مختلف عمومی و خصوصی در داخل کشور داشت که به همراه تیمهای بازیابی حوادث اوکراینی در پی حملات سایبری قبلی نصب شده بودند. آنها هنوز کار می کردند، و در حالی که ارتش روسیه در مرز جمع می شد، دامنه وسیعی از فعالیت های گلوله برفی نگران کننده را انتخاب کردند.
جان هیوی، افسر امنیت ملی مایکروسافت کانادا که این هفته در SecTor 200 در تورنتو روی صحنه رفت، گفت: «ما شاهد حملاتی علیه حداقل 2022 سیستم مختلف دولتی در مناطق مختلف بودیم که در اوکراین شناسایی کردیم. "دفاع از اوکراین: درس های اولیه از جنگ سایبری"
وی افزود: «ما همچنین قبلاً یک خط ارتباطی با مقامات ارشد اوکراینی در سراسر دولت و همچنین سازمانها در اوکراین ایجاد کرده بودیم - و توانستیم اطلاعات تهدیدات را به این سو و آن سو به اشتراک بگذاریم.
آنچه از تمام این اطلاعات در ابتدا به دست آمد این بود که موج حملات سایبری آژانسهای دولتی را هدف قرار میداد، قبل از اینکه به بخش مالی و سپس بخش فناوری اطلاعات، قبل از اینکه به طور خاص مراکز داده و شرکتهای فناوری اطلاعات را که از سازمانهای دولتی در کشور پشتیبانی میکنند، به صفر برسند. اما این فقط آغاز ماجرا بود.
جنگ سایبری: آسیب فیزیکی تهدید کننده
با ادامه جنگ، تصویر سایبری بدتر شد، زیرا زیرساختها و سیستمهای حیاتی برای حمایت از تلاشهای جنگی استفاده میشدند. در تیررس قرار گرفت.
بلافاصله پس از شروع تهاجم فیزیکی، مایکروسافت دریافت که همچنین میتواند حملات سایبری در بخش زیرساختهای حیاتی را با رویدادهای جنبشی مرتبط کند. به عنوان مثال، هنگامی که کمپین روسیه در ماه مارس در منطقه دونباس حرکت می کرد، محققان حملات هماهنگ برف پاک کن را علیه سیستم های لجستیکی حمل و نقل مورد استفاده برای تحرکات نظامی و ارسال کمک های بشردوستانه مشاهده کردند.
و هدف قرار دادن تاسیسات هسته ای در اوکراین با فعالیت های سایبری برای نرم کردن یک هدف قبل از تهاجمات نظامی چیزی است که محققان مایکروسافت به طور مداوم در طول جنگ مشاهده کرده اند.
هیوی خاطرنشان کرد: "این انتظار وجود داشت که ما یک رویداد بزرگ مانند NotPetya داشته باشیم که قرار بود به بقیه جهان سرایت کند، اما این اتفاق نیفتاد." در عوض، حملات بسیار طراحی شده و سازمانها را به گونهای هدف قرار دادهاند که دامنه و مقیاس آنها را محدود کرده است - برای مثال، استفاده از حسابهای دارای امتیاز و استفاده از Group Policy برای استقرار بدافزار.
او گفت: "ما هنوز در حال یادگیری هستیم و سعی می کنیم اطلاعاتی را در مورد دامنه و مقیاس عملیاتی که در آنجا انجام شده و اینکه چگونه آنها از دیجیتال به روش های معنی دار و دردسرساز استفاده می کنند به اشتراک بگذاریم."
قرنیه ای از APTهای خطرناک در میدان
هیوی گفت: مایکروسافت به طور مداوم در مورد آنچه در درگیری روسیه و اوکراین دیده می شود گزارش داده است، عمدتاً به این دلیل که محققان آن احساس می کردند که "حملاتی که در آنجا در جریان بودند بسیار کم گزارش شده بودند."
او افزود: چند تا از بازیکنان هدف قرار دادن اوکراین، تهدیدات پیشرفته پایدار (APTs) تحت حمایت روسیه هستند که هم از منظر جاسوسی و هم از نظر اختلال فیزیکی در داراییها، که او آن را مجموعهای از قابلیتهای "ترسناک" مینامد، بسیار خطرناک هستند.
به عنوان مثال، استرانسیوم مسئول آن بود حملات DNC در سال 2016; آنها از نظر فیشینگ، تصاحب حساب برای ما به خوبی شناخته شده اند - و ما این کار را انجام داده ایم فعالیت های اختلال به زیرساخت های آنها،» او توضیح داد. سپس Iridium، با نام مستعار کرم شنی وجود دارد، که موجودی است که به برخی از حملات قبلی [انرژی سیاه] نسبت داده می شود. شبکه برق در اوکراین، و آنها همچنین مسئول NotPetya هستند. این یک بازیگر بسیار پیچیده است که در واقع در هدف قرار دادن سیستم های کنترل صنعتی متخصص است.
در میان دیگران، او همچنین نوبلیوم، APT را که مسئول این امر است، صدا کرد حمله زنجیره تامین توسط SolarWinds. هیوی گفت: «آنها در طول سال جاری نه تنها علیه اوکراین، بلکه علیه دموکراسیهای غربی که از اوکراین حمایت میکنند، جاسوسی کردهاند».
نکات کلیدی از درگیری سایبری روسیه و اوکراین
محققان فرضیهای برای اینکه چرا حملات تا این حد محدود باقی ماندهاند ندارند، اما هیوی خاطرنشان کرد که پیامدهای سیاست این وضعیت باید بسیار بسیار گسترده دیده شود. مهمتر از همه، واضح است که ایجاد هنجارهایی برای تعامل سایبری در آینده ضروری است.
این باید در سه حوزه متمایز شکل بگیرد که با "کنوانسیون ژنو دیجیتال" شروع می شود. "
بخش دوم این تلاش در هماهنگ کردن قوانین جرایم سایبری نهفته است - یا حمایت از اینکه کشورها در وهله اول قوانین جرایم سایبری را توسعه دهند. او توضیح می دهد: «به این ترتیب، بندرهای امن کمتری برای این سازمان های جنایتکار وجود دارد که بدون مجازات عمل کنند.
ثالثا، و به بیان گسترده تر، دفاع از دموکراسی و فرآیند رأی گیری برای کشورهای دموکراتیک پیامدهای مهمی برای سایبری دارد، زیرا به مدافعان اجازه می دهد تا به ابزارها، منابع و اطلاعات مناسب برای مختل کردن تهدیدات دسترسی داشته باشند.
مایکروسافت را دیده اید که در حال انجام عملیات سایبری فعال، با حمایت از دعاوی مدنی خلاق، با مشارکت مجریان قانون و بسیاری در جامعه امنیتی – مواردی مانند ترفند or اموته و دیگر انواع فعالیتهای مخرب، به گفته هیوی، همه به این دلیل امکانپذیر شد که دولتهای دموکراتیک اطلاعات را مخفی نگه نمیدارند. "این تصویر گسترده تر است."
نکته دیگر در سمت دفاع است. مهاجرت ابرها باید به عنوان یک قطعه حیاتی برای دفاع از زیرساخت های حیاتی در طول جنگ جنبشی دیده شود. هیوی خاطرنشان کرد که دفاع اوکراین به دلیل این واقعیت پیچیده است که بیشتر زیرساخت ها در آنجا در محل اجرا می شوند، نه در فضای ابری.
"و به همان اندازه که آنها احتمالاً یکی از بهترین کشورها از نظر دفاع در برابر حملات روسیه طی چندین سال هستند، آنها هنوز هم عمدتاً کارها را در محل انجام می دهند، بنابراین مانند نبرد تن به تن است." هیوی گفت. "این کاملا چالش برانگیز است."